F5 Networks
2 Customer Cases Jan-Bart Hilhorst – Public Sector
AGENDA • Case 1: SSL Off Load • Case 2: Een nieuwe NGFW… wat nu?
Case 1
Case 1
• Klantvraag: Wij zijn op zoek naar een SSL Offload oplossing.
5 Networks, Inc
F5 voor SSL Offload en Certificate Management
Encrypted HTTPS
Intelligently maintain SSL session persistence
Accelerate both SSL Key Exchange & Bulk Encryption
5 Networks, Inc
SSL & Certificate
HTTP
SSL & Certificate SSL & Certificate SSL & Certificate
• High-performance SSL handling via dedicated crypto hardware • Reduce SSL deployment complexity
• Optional SSL to server using different-strength keys
• Eliminate load from servers & increase capacity
• Eliminate extra certific management
• FIPS certified solution available
Extra voordeel: Compression van de data
x Client erformance mprovement
• Up to 66% reduction in bandwidth
utomatic browser workarounds
• Client-aware compression
• Compression performed in either TMM or dedicated compression hardware (specific models)
uperior targeting nd control
• F5 provides the fastest compression on the market (as measured by Time to Last Byte) • F5 is the only vendor to offer hardware accelerated compression
5 Networks, Inc
• Remove the burden of compression from servers • Increase server capacity
Extra voordeel: Fast Cache
est Cache
Requests
educed Client atency
5 Networks, Inc
Cache
• Configurable Per VIP Memory Store
• Content Serving Offload
• Utilizes Excess RAM
• Server Connection Offload
• Configurable caching profile
Extra veilig: SSL traffic termination Fully terminate SSL traffic to inspect payload, preventing viruses, trojans, or network attacks.
Gain visibility and detection of SSL-encrypted attacks
SSL SSL
Ensure High-scale/highperformance SSL proxy
Off-load SSL to reduce server load
5 Networks, Inc
SSL SSL
Doorvragen
• Q: Is er een SIEM oplossing in gebruik? • A: ArcSight • R: Ook AFM nodig voor de koppeling met ArcSight
• Aandachtspunten: • ArcSight in beheer bij andere afdeling • ArcSight Server is “verborgen” • Samenwerking tussen security beheer en netwerkoperations minimaal
5 Networks, Inc
USP´s van F5 Networks Advancements in SSL Leadership • Camellia Cipher — Recommended by the EU and Japan
• Hybrid Crypto Services —Combine both hardware performance and software flexibility to scale virtual services for SSL
SSL Visibility iRules
Performance Cipher Agility
• Per-guest Rate Limiting— Allocate and manage bandwidth and SSL to achieve different performance levels for each guest Proactive protocol and cipher support Running multiple algorithms together helps protect your data with a broader array of encryption options • • • •
TLS 1.2 ECC GCM Camellia
• • • •
5 Networks, Inc
FIPS HSM Key Management OCSP Stapling
• • • •
HTTP/2 SPDY HSTS NPN/ALPN
Aggressive vulnerability mitigation F5 helps reduce the time to remediate vulnerabilities • One (or few) day resolutions to zero day vulnerabilities • Immediate workarounds and then official patches • Public and mailing list notifications • Best practice TLS (A/A+ out-of-the-box)
SSL Offlo
Key Protectio
Hardware and Software
F5 VEs are built on the same extensible platform a Hardware … • Accelerated TLS • FIPS HSM (Internal and network) • Combine Hardware + Software with crypto offlo • Per-guest Rate Limiting • SSL Session and connection mirroring
Case 2
Case 2
• We hebben een nieuwe Next Generation Firewall NGFW geïnstalleerd en nu meldingen, zoals NMAP van IP scanners et cetera. Wat kan of moet ik hiermee?
• NMAP is an open source utility used to scan map networks, and scan for open ports on workstations and servers. During the scripting stage of the network scan, NMAP will attempt to connect using HTTP, and has it's own user agent.
5 Networks, Inc
Doorvragen
• Q: Is de NMAP gebruiker bekend? Is het intern en legaal, of een externe? • A: Onbekend, maar ik denk een externe hacker • Realiseer dat het internet vol zit met scanners van ondeugend tot kwaad.
5 Networks, Inc
Wat is NMAP
Het is de meest gebruikte en efficiëntste netwerk/host scanner.
NMAP kan (ook als basis van dure commerciële scanners) een netwerk fingerprinten, oftewel proberen uit te zoeken welke machines online zijn.
Voor de illegale NMAP scanners geldt:
In de loop der jaren zijn er veel nieuwe functionaliteiten bijgekomen die het scan process fijner maken, vooral op gebied applicatie fingerprinting.
NMAP kan ook via een TOR netwerk werken, alsook via ANONYMOUS proxies.
NMAP wordt steeds verder ontwikkeld met steeds betere evasion technieken
5 Networks, Inc
5 Networks, Inc
• De nieuwere versies van NMAP hebben evasion technieken, maar ook die kunnen door de BIG-IP gestopt worden.
• NMAP door een (NG) firewall tegenhouden is moeilijk: • Firewalls kunnen in principe NMAP scans tegenhouden, maar moeten (en kunnen niet anders) applicatie requests doorlaten. • Een NMAP in een applicatie request wordt altijd doorgelaten
• F5 is een Full Proxy en kan dus wel volledig in alle data (laten) kijken, ook als de data encrypt is.
• Ook heeft F5 Networks de IP Intelligence oplossing. Deze blokkeert op voorhand al alle scanners die op het internet bekend zijn met Blacklisting. • Alsook andere bronnen waar scanners zitten zoals TOR netwerken en proxies.
5 Networks, Inc
F5 Reference Architecture Threat Intelligence Feed Next-Generation Firewall Scanner
Anonymous Proxies
Anonymous Requests
Botnet
Cloud
Attackers
Network
Volumetric attacks: L3-7 DDoS, floods, known signature attacks Multiple ISP strategy
Corporate U
Application
Network attacks: ICMP flood, UDP flood, SYN flood
SSL attacks: SSL renegotiation, SSL flood
Fina Ser
e
E-Com F5 Silverline
24/7 expert support: security operations center
5 Networks, Inc
CPE Cloud Signaling: Bad Actor IPs, Whitelist/ blacklist data
DNS attacks: DNS amplification, query flood, dictionary attack, DNS poisoning
Network and DNS
HTTP attacks: Slowloris, slow POST, recursive POST/GET
Application
Subs
IPS
Strategic Point of Contro
IP Reputation Services in BIG-IP
Know where traffic is coming from… Make intelligent decisions based on a client’s IP address. Cloud based services provide location and reputation information.
Reputation
IP Location
Windows Exploits
• Continent
Web Attacks
• Country
Botnets
• State
Scanners
• Carrier
Denial of Service
• Registered Org
Reputation
• City
Phishing
• Post / Zip Code
Proxy
• Lat / Long
Spam Reputation • Spam Source
5 Networks, Inc
FULL PROXY Outside “Untrusted”
Security Digital Air Gap (Inherently more secure)
HTTP SSL
Inside “Trusted”
HTTP SSL
Voordelen
• De F5 Networks AFM / firewall beschermt tegen NMAP
• Data decrypten en door een externe IDS/IPS inspecteren is mogelijk met F5
• F5 is Full Proxy en maakt daarom het netwerk DDoS “bestendig”
• IP Intelligence biedt interessante oplossing voor preventief Blacklisten !
5 Networks, Inc
You made it… Thank You!
TMOS Architecture LTM
GTM
AAM
AFM
APM
BIG-IP Local Traffic Manager
BIG-IP Global Traffic Manager
BIG-IP Application Acceleration Manager
BIG-IP Advanced Firewall Manager
BIG-IP Access Policy Manager
Full Proxy Architecture
ASM BIG-IP Application Security Manager
A
Appl Vis and R
TCP Express
Server Side
OneConnect
Client Side
Compression
3rd Party
APM XML
Web Caching
SSL
TCP Proxy TCP Express
Rate Shaping
Microkernel
ASM
AFM
Software modules plugins for all F5 products and solutions
iRules DoS and DDOS Protection
High Performance SSL
GeoLocation Services
Rate Shaping
iSessions: F5 secure, optimized tunneling
TCP Multiplexing & Optimal Connection Handling
Full IPv6/IPv4 Gateway
iRules Programming
5 Networks, Inc
Fast Cache
High Performance Compression
Dynamic Routing
Message-Based Traffic Management: Universal Switching Engine (USE)
iControl API
Management Control Plane (MCP) & High Speed Logging
Full L2 Switching
Universal Persistence: Transaction Integrity
High Performance Hardware
iControl API
Serv
