© F5 Networks, Inc
1
Filip Kolář F5 Networks
[email protected] +420 720 704 746 © F5 Networks, Inc
2
Růst dat
Útoky z internetu
Internet of Things
Intel. traffic shaping
L4-L7 bezpečnost DDoS ochrana
Škálovatelnost IPv4/IPv6
Konsolidace
Konkurence, Profitabilita
ISP TRENDY © F5 Networks, Inc
3
1989 Dnes
Konsolidace Tetris
Shaping FullProxy
Poklady pod hladinou xManagers
Bezpečnost Krásné ženy
Agenda © F5 Networks, Inc
4
PARTNEŘI F5 © F5 Networks, Inc
5
POZICE F5 © F5 Networks, Inc
6
LTM ASM
DNS
CGNAT AFM
Silverline
PEM
xManagers © F5 Networks, Inc
7
PEM CGNAT
TMOS
Silveline
iRules
IPv6
HorsePower Poklady pod hladinou © F5 Networks, Inc
8
© F5 Networks, Inc
9
Health monitoring IPv4/IPv6
http/2 Komprese
SSL Offload Optimalizace TCP … LTM © F5 Networks, Inc
10
Používáte Bind?
DNS © F5 Networks, Inc
11
DDoS
www.digitalattackmap.com
© F5 Networks, Inc
12
ISP – Třetí nejoblíbenější cíl pro DDoS útoky © F5 Networks, Inc
Source: http://www.stateoftheinternet.com/downloads/pdfs/2014-internet-security-report-q4.pdf
13
DDoS V MÉDIÍCH © F5 Networks, Inc
14
Application SSL DNS
Network
AFM, ASM, GTM © F5 Networks, Inc
15
Application SSL DNS
Network
GET floods
Heartbleed
OWASP Top 10
Slow Post
SSL Renegotiation DNS Query Floods ICMP Floods UDP Flood
ShellShock Slowloris
SSL Floods, DNS UDP Floods
SYN and ACK Floods Connection Flood
AFM, GTM, ASM © F5 Networks, Inc
16
http://www.securityweek.com/real-storybehind-kate-upton-nude-ddos-attack
Bring Your Own Modem a krásné ženy © F5 Networks, Inc
17
1989
© F5 Networks, Inc
18
1989
© F5 Networks, Inc
19
RŮST PROVOZU 120,000
EXP.
GLOBALNÍ INTERNETOVÝ PROVOZ VE FIXNÍCH SÍTÍCH [PB/MĚSÍC]
100,000
80,000
60,000
40,000
20,000
© F5 Networks, Inc
*
2019
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
2006
2005
2004
2003
2002
2001
2000
1999
1998
1997
1996
1995
1994
1993
1992
1991
1990
0
Source: Cisco, The Zettabyte Era—Trends and Analysis
20
STRUKTURA PROVOZU
*
© F5 Networks, Inc
21 Source: Sandvine
Inteligentní traffic shaping
(1) ZNALOST: Uživatel, Aplikace, Zařízení (2) KONTROLA SÍTĚ A OPTIMIZACIE (3) MONETIZACE SÍTĚ PEM © F5 Networks, Inc
22
NÁHRADA CISCO SCE GLOBÁLNÍ PER APLIKACE Overall P2P = 10 Mbps
Uživatel
Sub B “P2P” = 4 Mbps
Sub A + B + C “P2P” = 10 Mbps
PER-UŽIVATEL A APLIKACE Gold Subscriber = 20 Mbps
Uživatel
Rest = 10 Mbps
Rest = 10 Mbps
P2P = 4 Mbps
P2P = 512 kbps
PRINCIP INTELIGENTNÍHO TRAFFIC SHAPINGU © F5 Networks, Inc
23
TETRIS?
© F5 Networks, Inc
24
Ne... Konsolidace síťových prvků s F5
L4–L7
2010–2015
DNS Policy Enforcement
DNS POLICY ENF. L7 STEERING
Firewall
FW/DDOS/CGN CGNAT
HTTP HE
L3/L4/L7 Steering
Dedikované platformy, různí dodavatelé
© F5 Networks, Inc
Sjednocená platforma, L4–L7 konsolidace
25
Load Balancing, DNS, FW, NAT, DDoS ochrana, Inteligentní traffic shaping
Attacker
Internet
Web Bot
=> Úspora investičních a provozních nákladů, jednodušší správa infrastruktury
Konsolidace síťových elementů na jeden “box” F5
© F5 Networks, Inc
26
Konsolidace core prvků – F5 zákazníci -
-
-
-
© F5 Networks, Inc
VoIP poskytovatel v Australii Scenar nasazeni – agregace broadbandu - F5 reseni – load balancer, inteligentni traffic shaping a firewall v jednom boxu - Tradicni model – box per funkce Nakladove uspory diky vyuziti F5 - Vice nez US$100,000 CAPEX (alternativni reseni US$250,000) - Dalsi uspory v OPEX (sprava, trenink) - Jednodussi troubleshooting ISP (kabelovy operator) v Israeli Scenar nasazeni - Nedostatek IPv4 a pozadavek na loadbalancing Web cache serveru - F5 reseni - Traffic Steering (pro web cache servery) a CGNAT Vyhody pro zakaznika - NAT (NATovani https za specifickym IP subnetem; vysokorychlostni logovani) - Nakladove uspory za internetovou konektivitu diky web cache serverum - Zlepseni managementu site diky iRules - “Muzeme pridat novou cache jednim klikem na platforme F5. Nemusime nic menit v nasi siti. To pred tim nebylo mozne.” rika El Khoury, CTO IDM. 27
MageMojo Webhosting – DDoS ochrana a web aplikační firewall MageMojo je poskytovatel webhostingu ve USA (2500 hostovanych websitu)
Pripad nasazeni - DDoS utok a nasledny vypadek cele infrastruktury na 3 h behem nakupni horecky na svatek Dikuvzdani - Pozadavky – Eliminace utoku, nizka latence a vysoky vykon, sitovy FW s PCI (payment card industry) - F5 reseni – DDoS, AFM ICSA certifikovany FW pro ochranu DC, WAF pro L7 utoky, LTM pro skalovatelnost Benefity pro zakaznika - Nakladove uspory 70% diky konsolidaci - “Nakonec jsme usporili 70% konsolidaci diky F5 misto abychom nakupovali jednotliva reseni zvlast nebo si sluzbu eliminace DDoS utoku pronajali od externich scrubbing center.” - V porovnani s jinymi DDoS resenimi, F5 poskytuje take aplikacni bezpecnost - Diky full proxy architekture, DDoS utoky jsou detekovany jeste nez se dosahnou na aplikacni servery - Skalovatelnost VIPRION platformy pro sezonni vykyvy (uspory internetove konektivity) - Velka “hustota” vykonu “Zakladni vykonnost jedineho bladu Viprionu z pohledu spojeni za sekundu je stejna jako vykon nejvetsich FW od Cisco nebo Juniperu.” © F5 Networks, Inc
28
Datametrix DC a Cloud
Loadbalancing virtualních serverů, bezpečnost DC, autentizace uživatelů, DR Datametrix je Cloud provider v Norsku (dcera Telenoru) Pripad nasazeni - Pozadavky - LB virtualnich serveru, DC FW, system pro autentizaci uzivatelu, Disaster recovery - F5 reseni - 2xVIPRION 2400 chassis pro DC, moduly: Local Traffic Manager (LTM) pro loadbalancing provozu napric virtualnimi servery Advanced Firewall Manager (AFM) pro filtrovani prichozi komunikace a pro ochranu pred DDoS utoky Access Policy Manager (APM) pro rizeni autentizace uzovatelu vcetne Single Sign-on Global Traffic Manager (GTM), Virtual Edition, pro balancovani provozu napric dvema DC pro zajisteni automatickeho fail-overu v pripade vypadku jednoho z datacenter. Vyhody - Nakladove uspory 60% diky konsolidovanemu reseni - Bezpecnost a ochrana pred DDoS utoky - Vysoka distupnost a skalovatelnost © F5 Networks, Inc
29
Filip Kolář
[email protected] +420 720 704 746
