Cisco Confidential© 2015 Cisco and/or its affiliates. All rights reserved. 1
Seguridad Avanzada:Waf Bidireccional, Jugando con SSL, Ataques DDoSRaul Flores FriazaFSE Iberia
12 de Mayo de 2016
Madrid, Spain
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2
¿Quién es F5?
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3© F5 Networks, Inc 3
Gartner Magic Quadrant for Application Delivery Controllers2015
This graphic was published by
Gartner, Inc. as part of a larger
research document and should be
evaluated in the context of the
entire document. The Gartner
document is available upon
request from F5 Networks.
Gartner does not endorse any vendor, product or service depicted in its research publications, and does not advise technology users to select only those vendors
with the highest ratings. Gartner research publications consist of the opinions of Gartner's research organization and should not be construed as statements of fact.
Gartner disclaims all warranties, expressed or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose.
ADC Market Share
56.6%
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 4© F5 Networks, Inc 4
Application
Delivery
Network
Users Data Center/ Cloud
Líder en la entrega de aplicaciones
SAP
Microsoft
Oracle
SaaS
Cualquier dispositivo
Cualquier localización
Objetivo: Entrega de las aplicaciones en la manera
mas optima
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 5© F5 Networks, Inc 5
F5 está en todas partes…47 de las
50Compañías “Fortune”
9 de lastop 10
Aerolíneas americana
s29 de las
top 30Entidades Bancarias
10 de los top 10Telcos
Americanas
9 de las top 10
Carriers WirelessAmericanas
10 delas top 10Marcas Globales
10 de lastop 10
Compañías globales de automoción
9 de las top10 compañías globales de
Gas y Petróleo
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 6
PLATAFORMA HARDWARE O SOFTWARE
SISTEMA OPERATIVO
TMOSAltas prestaciones SSLGeolocalizaciónReputación IP *Routing Dinámico *Rate Shaping
MultiplexacionconexionesRAM CacheUniversal InspectionEngineScale n+1IPV6 Gateway
Log de alta velocidadProgramación de iRulesMultitenancyProtección de DoSCompresión por
LTMBalanceo LocalAlta disponibilidadMonitorizaciónGestión de conexionesSSL offload
DNSBalanceo de sitesSeguridad DNSAlto rendimiento DNSGestión total del DNS
WAMCache en DiscoMulticonnectCambio de ReferHostReescritura URL
WOMCache diccionarioCompresión simetricaSeguridad SSL
ASMBrute Force LoginDoS level 7Web ScrapingIntegracion Scanners
APMAutenticacionVPN SSLBYODApp Tunnel
AFMFirewall de RedProtección DoSDatacenterFirewall
iControl iApp iRules
Enterprise Manager BIG-iQ
ALTA DISPONIBILIDAD Y
BALANCEO DE CARGAACELERACION SEGURIDAD
Equipo de Soporte / Comunidad de usuarios / Presencia Mundial
AAM
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 7© F5 Networks, Inc 7
4000 series 10000 Series5000 Series 7000 Series
Good, Better, Best Platforms
11000 Series
Dimensionando la Plataforma
5Gbps3Gbps1Gbps200M25M VIPRION 2400
VIPRION 4480 VIPRION 4800
Appliance ChasisVirtual
2000 series*
New 10Gbps
*Note: 2000 Series appliances is not offered with Better or Best bundles
New VIPRION 2200
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8
Jugando con el SSL
SSL everywhere!
HOY2017
50%
TRÁFICO CIFRADO EN ENTORNO ENTERPRISE
75%
Crecimiento anual30%
Los protocolos de nueva generación requieren SSL
• HTTP/2
• SPDY
• TLS 1.3
Drivers del cambio
• Amenazas internas• Regulación y cumplimiento• Evolución de la criptografía• Todo está conectado
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 11© F5 Networks, Inc 11
• Set the option for Secure Renegotiation to “Require”
• Disable SSLv2 and SSLv3 (default in 11.5+)
• Use an explicit, strong cipher string, such as:NATIVE:!SSLv3:!TLSv1:!EXPORT:!DH:!MD5:!RC4:RSA+AES:RSA+3DES:ECDHE+AES:ECDHE+3DES:ECDHE+RSA:@STRENGTH
• Prefer Perfect Forward Secrecy (PFS)Done via prioritizing Ephemeral (DHE, ECDHE) ciphers in the string above
• Enable HTTP Strict Transport Security (HSTS)iRule in pre-Badger versions of TMOSIntegrated into HTTP profile in Badger
Achieving A+ Grades on SSLLabs.com
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 12
56%
56% de los dispositivos indexados usan versiones de
OpenSSL de más de 50 meses de antigüedad
Cisco annual security report 2015
HeartBleed + POODLE =
281
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13© F5 Networks, Inc 13
Pérdida de rendimiento por SSL según fabricante
Visibilidadis reduced due to the growth of SSL usage
Malwareuses encrypted channels
to evade detectionfor decryption is a
significant undertaking
Descifrar SSL en un cortafuegos, o IPS puede reducir el rendimiento del appliance en torno a
un 70%
Rendimiento
Source: NSS Labs and vendor data
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14
Sector:
Problemática:
AlternativasSolución con F5:
© F5 Networks, Inc
Con F5 podemos abrir las comunicaciones cifradas mediante la técnica de Man-in-the-middle, entregando el tráfico en claro a los servidores web o a los elementos de red que se requieran para realizar análisis (Firewalls, IDS/IPS, Antivirus, URL Filtering, DPI´s…)
De esta forma proporcionamos la visibilidad necesaria y consecuentemente reducimos el dimensionado de los equipos receptores de éste tráfico (FireEye, PAN, CheckPoint, SourceFire) permitiendo además su escalabilidad horizontal.
A diferencia de otras soluciones del mercado basadas en CPU, F5 utiliza aceleración hardware para el procesamiento de tráfico SSL (SSL Offloading), lo cual le confiere un gran rendimiento con un coste contenido.
SSL/TLS es un protocolo de cifrado que securiza las conexiones en internet utilizando certificados de clave pública para verificar la identidad de los extremos y garantizar la confidencialidad. Uno de los usos más importantes es junto a HTTP para formar HTTPS, que es utilizado para asegurar páginas web en aplicaciones de comercio electrónico –por ejemplo- pero también es utilizado por atacantes para evadir los dispositivos de seguridad de red.
Asumir la tarea de cifrar/descifrar el tráfico HTTPS impacta considerablemente en el rendimiento de los elementos de red que requieren inspeccionar ese tráfico (Firewalls, IDS/IPS, Antivirus, URL Filtering, DPI´s…). De media, el rendimiento de un NGFW cae un 81% cuando tiene que inspeccionar tráfico cifrado. Por tanto tenemos dos problemas: uno de visibilidad y otro de eficiencia de recursos.
• Arquitectura tradicional de servicios en línea, poco óptima y normalmente basadas en soluciones con alto consumo de CPU (por tanto muy costosas)
14
Solución de Visibilidad TLS/SSLTodos
LTM
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 15© F5 Networks, Inc 15
Internet Firewall de Red
Firewallde Red
RON
DMZ
AV
Terminación e Inspección SSL+ Cipher Agility + SSL Transformation
+ Intelligent Traffic Management + SSL Re-Encryption
BIG-IP
NGFW DLP
LTM
IPS
Solución de Visibilidad TLS/SSL
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 16
Sector:
Problemática:
AlternativasSolución con F5:
© F5 Networks, Inc
• La plataforma F5 dispone de hardware específico para la aceleración del cifrado y descifrado mediante TLS/SSL, liberando a los servidores de la carga de procesamiento generada por el uso de TLS/SSL.
• TLS/SSL Offloading permite a las organizaciones migrar el 100% de sus comunicaciones a TLS/SSL para incrementar la seguridad, sin impacto para los servidores frontales o de aplicación, y proporciona un repositorio común donde consolidar los certificados, centralizando la gestión de los mismos.
• En entornos donde se requiere el cifrado extremo-a-extremo, es posible utilizar claves de menor tamaño (1024-bits, por ejemplo) de cara a los servidores de aplicación, y utilizar claves de mayor tamaño (2048-bits) de cara a los usuarios de Internet.
• F5 dispone de modelos que cumplen el estándar FIPS, y puede integrarse con soluciones HSM de terceras partes.
El uso de HTTPS (HTTP sobre TLS/SSL) en las comunicaciones a través de Internet crece día a día. Servicios de contenido OTT (Over-The-Top), redes sociales, buscadores web, servicios Peer-To-Peer, etc… La lista es casi interminable. Publicar servicios Web sin cifrar en Internet es ya una práctica inusual, además de insegura. La llegada de HTTP/2 (donde el cifrado es ”opcional”) ha vuelto a sacar el tema a discusión; paradójicamente, en la actualidad no existen implementaciones de navegadores con soporte de HTTP/2 sin encriptación. El uso de TLS/SSL para cifrar y descifrar las comunicaciones, aunque seguro, es muy costoso en términos de consumo de CPU, y pone en riesgo el rendimiento de los propios servidores Web. La migración de claves de 1024-bits de longitud por nuevas claves de 2048-bits (según la recomendación del NIST en 2011) ha multiplicado por cinco (x5) la necesidad de cómputo en los servidores Web para gestionar el mismo número de sesiones TLS/SSL, reduciendo hasta en un 80% el número de conexiones por segundo que esos mismos servidores pueden gestionar. Este modelo no escala.
El incremento del número de servidores frontales o de aplicación para hacer frente al incremento de cómputo necesario para procesar el tráfico TLS/SSL es una alternativa costosa, tanto en términos económicos como operativos.
Además, la gestión independiente de los certificados en cada uno de los servidores no es eficiente, y aumenta el riesgo de errores en casos en los que es necesario gestionar hasta decenas de certificados por cada servidor.
Las soluciones de “aceleración” basadas en hardware de propósito general liberan a los servidores de la carga computacional, pero están limitados por los mismos factores, y no escalan de forma adecuada.16
Solución de Offloading TLS/SSLTodos
LTM
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 17© F5 Networks, Inc 17
Usuarios
Internet ServidoresWeb/Aplicación
TLS/SSL OffloadingGestión centralizada de Certificados
HSM
BIG-IP
Solución de Offloading TLS/SSL
Integración con HSM externo
(opcional)
Tráfico HTTPS Tráfico HTTP
TLS/SSL OFFLOAD
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 18
Firewall Bidireccional
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 19© F5 Networks, Inc 19
- Dirección InBound: Protección de la aplicación. WAF mas implementado a nivel mundial
Browser
Política de
seguridad
Control Content ScrubbingApplication Cloaking
OWASP, firmas, RFC, Bots, Ddos,
Websocket
Browser
Política de
AntiFraude
Injección JavaScript Ofuscado
Alertas Antifraude:Detección Malware,
Web Injection, Encriptación
Aplicativa, Phising…
- Dirección OutBound: Protección de los usuarios. Única tecnología capaz de detectar malware DYRE
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 20© F5 Networks, Inc 20
Patrones mas comunes
70% de las amenazas utilizan ataquescombinados
Hacking actions within Web App Attacks pattern
40%
USE OF BACK
DOOR/C2 USE OF STOLEN
CREDENTIALS
50.7%
SQL INJECTION
19%USE OF RFI
OR APP MISUSE 19%
BRUTE FORCE
6.8%
USE OF XSS
6.3%
Verizon 2015 DBIR
• Proteccion OWASP. Mas de 2000 Firmas• Firewall para Websocket, XML, Json..• Cumplimiento Normativa PCI• Deteccion y Mitigacion DDoS• Deteccion y Mitigacion de Bots/Scripts• Intergracion con DAST. • ICAP
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 21© F5 Networks, Inc 21
El navegador es el punto mas debily contiene mucha informacion valiosa para los hacker: Credenciales
El navegador del usuario
HTTP/HTTPS
Seguridad en el
Data center
Web Fraud Detection
WAF
HIPS
Traffic Management
IPS
DLP
Network firewall
SIEM
Encritacion
Aplicativa• HFO• Keyloggers
Deteccion de
Phissig• A 3 Niveles: Copia,
Publicacion, Victima
Deteccion de
malware:/WebInjection• Dyre, Zeus, Citadel…• Analisis de comportamiento• Modificacion de contenido
por los malware• RAT’s
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 22© F5 Networks, Inc 22
• Reconocido como lider del mercado en WAF por Gartner y nombrado como Best Web Application Firewall por SC Magazine en 2015 y 2016
• 1st WAF con Visibilidad del trafico WebSocket
• Único WAF en Appliance, VE y Servicio Gestionado
Líder del Mercado
El WAF mas desplegado
mundialmente
Recomendado por NSS Labs
BIG-IP ASM
#1 (451 Research)
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 23
Sector:
Problemática:
AlternativasSolución con F5:
© F5 Networks, Inc
• La combinación de los módulos de F5 ASM y WebSafe permite proteger tanto a las aplicaciones de la empresa como a los usuarios de estas sin necesidad de instalar ningún agente, ni en las aplicaciones, ni en los dispositivos de acceso, bien sean fijos o móviles.
• La solución se despliega en un único equipo, y por tanto la gestión está unificada en una única consola de administración.
Si bien una solución WAF protege nuestras aplicaciones del uso malintencionado de posibles atacantes frente a DDoS o los ataques de OWASP, no puede proteger a los usuarios de nuestras aplicaciones frente a ataques de Phising, RATs, Man-in-the-Browser, Keyloggers…
Esta protección es especialmente compleja, ya que no tenemos acceso a los equipos de nuestros clientes (fijos y/o móviles) ni podemos instalar ningún agente en estos dispositivos, que además cuentan con una infinidad de sistemas operativos y navegadores diferentes.
Este tipo de fraude daña enormemente la reputación de las organizaciones y puede suponer importantes perdidas económicas con implicaciones legales
• Soluciones de otras fabricantes requieren de la instalación de agentes en el servidor o en la maquina cliente, lo cual no es viable en la mayoría de las ocasiones, por la interacción entre el agente y el propio software de las aplicaciones (en el caso de los servidores) o por ser dispositivos ajenos a nuestra organización (en el caso de los clientes).
• Confiar sólo en el módulo WAF no protege a los usuarios de nuestras aplicaciones.
Solución Enhanced – Web Application Firewall (e-WAF)
Todos
ASM + Websafe
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 24© F5 Networks, Inc 24
Strategic Point of Control
Web FraudProtection
Online CustomersA
B
C
Online Customers
Online Customers
F5 SecurityOperations Center
A
B
C
Customer Scenarios
Malware Detection and Protection
Anti-Phishing
Transaction Analysis
Account
Amount
Transfer Funds
NetworkFirewall
Copied Pagesand Phishing
Man-in-the-Browser Attacks
Application
AutomatedTransactions
andTransaction
integrity
F5 local alert server (optional)
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 25
Sector:
Problemática:
AlternativasSolución con F5:
© F5 Networks, Inc
Uno de los mecanismo más efectivos y económicos para reducir el spam es bloqueando el tráfico de cierto correo con mecanismos de Listas de Reputación en tiempo real.
La solución F5 IP Intelligence añade una capa de seguridad, con una visión actualizada sobre las direcciones IPs entrantes, así como las direcciones de salida. Las empresas pueden proteger sus activos del DC identificando en tiempo real si las direcciones IP son maliciosas o de dudosa reputación y configurar las políticas del BIG-IP para bloquear el acceso de estas. El resultado es una reducción de carga en el backend, incluyendo los firewalls y servidores.
El IP Intelligence se puede implementar en cualquier Big-IP o bien integrarlo con el ASM (WAF de F5) para poder ver en detalle la actividad de las direcciones IP sospechosas.
Los servidores de aplicaciones de las empresas se enfrentan cada día a ataques tanto de botnets, como de scanners y phising. Al mismo tiempo, las redes deben evitar las conexiones de salida a servidores C&C o a sites con malware. Detectar y bloquear estas amenazas cada vez es más difícil, dada la necesidad de mantener la alta disponibilidad de las aplicaciones.
Las aplicaciones y los sitios web deben estar disponibles para usuarios legítimos, pero al mismo tiempo, las empresas tienen que ser capaces de evitar el acceso ilegítimo y malicioso. Los endpoints infectados intentan conectarse a las redes de la empresa y esto provoca una pérdida de los recursos de la red. Los usuarios pueden por tanto conectarse a sites con malware. Las empresas necesitas prevenir la infección de los endpointsteniendo en cuenta que las amenazas son persistentes y cada vez más avanzadas.
• Los NGFW no son capaces de escalar en el caso de que se produzca un ataque de DDoS y tampoco son capaces de filtrar los vectores de DDoS IP.
Seguridad en base a listas de reputaciónTodos
IP Intelligence
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 26© F5 Networks, Inc 26
Seguridad en base a listas de reputación
Geolocation database
Intelligent Services
Advanced Threat Intelligence
Data Center
?
Scanners
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 27
Escenarios de DDoS
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 28© F5 Networks, Inc 28
0
50000
100000
150000
200000
250000
300000
350000
Evolucion Ataques DDos:De ataques de 1Gbps a 300Gbps
Es facil contratar un ataque DDoS. Por 100€, 100 gbps durante unahora
FEB 14 325 Gbps
JAN 14 150 Gbps
DEC 13100 Gbps
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 29© F5 Networks, Inc 29
F5 Offers Comprehensive DDoS Protection
LegitimateUsers
DDoS Attackers
Scanner Anonymous Proxies
Anonymous Requests
Botnet Attackers
Threat Intelligence Feed
CloudNetwork Application
Volumetric and App attacks: L3-7 DDoS, floods, Slowloris
SQL Inj., XSS, CSRFsignature attacks
Multiple ISP strategy
Network attacks:ICMP flood,UDP flood,SYN flood
DNS attacks:DNS amplification,
query flood,dictionary attack,DNS poisoning
IPS
BIG-IP Platform
BIG-IP Platform
HTTP attacks:Slowloris,
slow POST,recursive POST/GET
Next-GenerationFirewall Corporate Users
SSL attacks:SSL renegotiation,
SSL floodFinancialServices
E-Commerce
Subscriber
CPE Cloud Signaling:Bad Actor IPs,
Whitelist/blacklist data
24/7 expert support:security operations center
F5 SilverlineCloud-based
Platform
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 30
Sector:
Problemática:
AlternativasSolución con F5:
© F5 Networks, Inc
Los módulos AFM y ASM de F5 permiten tener visibilidad de ataques DDoS desde L3 hasta L7 en todo el agregado de líneas de Internet del cliente, por lo que podremos desplegar una estrategia de contratación servicios de protección frente a ataques volumétricos DDoS con un solo ISP.
Una vez detectado un ataque a través de cualquiera de los ISPs, la plataforma F5 mitigará el ataque L3-L7 hasta la capacidad de la línea de cada uno de los proveedores, minimizando el uso de bonos de defensa.
En el caso de tratarse de un ataque volumétrico, la plataforma F5 podrá notificarlo mediante “Cloud Signaling” al ISP con el que se tiene contratada la protección Cloud de DDoS, dejando de anunciar los prefijos de los servicios al resto de ISPs con las que no se tiene contratada la protección, asegurando así la disponibilidad del servicio.
Esta solución contempla también el escenario de ataques sobre trafico cifrado.
Los clientes con más de un proveedor de salida a Internet (ISP) se enfrentan al dilema de con quién contratar el servicio de protección contra ataques volumétricos DDoS.
Contratar el servicio de protección con todos los proveedores no parece una solución económicamente viable. Por otra parte, contratar el servicio con un solo un proveedor exige la inspección on-premise (en las instalaciones del cliente) del agregado de tráfico procedente de todos los proveedores.
• Contratar un servicio de protección DDoS con todos los proveedores no es rentable económicamente, ni mejora la calidad del servicio
• Colocar la extensión CPE para la detección de ataques de cada ISP encarecería enormemente el coste y la complejidad de la solución
30
Detección de ataques DDoS en escenarios multihoming
Todos
AFM+ASM
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 31© F5 Networks, Inc 31
Customers
DDoS Attack
Partners
DDoS AttackISP provides
volumetric DDoSservice
CloudScrubbing
Service
ISPa
ISPb BIG-IP Platform
Data Center
Cloud Signal for Volumetric attacks
Detección de ataques DDoS en escenarios multihoming
Network Firewall Services + Web App Firewall
Thank you.