© f5 networks, inc 1 - internet pro...
TRANSCRIPT
© F5 Networks, Inc 1
© F5 Networks, Inc 3
Růst dat Útoky z internetu Internet of Things
Škálovatelnost
IPv4/IPv6Intel. traffic shaping
L4-L7 bezpečnost
DDoS ochrana
ISP TRENDY
Konkurence, Profitabilita
Konsolidace
© F5 Networks, Inc 4
1989
Dnes
Poklady pod hladinou
Shaping
FullProxy
xManagers
Konsolidace
Agenda
Bezpečnost
Krásné ženy
Tetris
© F5 Networks, Inc 5
PARTNEŘI F5
© F5 Networks, Inc 6
POZICE F5
© F5 Networks, Inc 7
LTM
AFMASM
DNS
CGNAT
PEM
Silverline
xManagers
© F5 Networks, Inc 8
iRulesTMOS
HorsePower
IPv6
CGNAT
PEM
Silveline
Poklady pod hladinou
© F5 Networks, Inc 9
© F5 Networks, Inc 10
LTM
Health monitoring
SSL Offload
IPv4/IPv6
http/2
Komprese
…Optimalizace TCP
© F5 Networks, Inc 11
DNS
Používáte Bind?
© F5 Networks, Inc 12
DDoS www.digitalattackmap.com
© F5 Networks, Inc 13
ISP – Třetí nejoblíbenější cíl pro DDoS útoky
Source: http://www.stateoftheinternet.com/downloads/pdfs/2014-internet-security-report-q4.pdf
© F5 Networks, Inc 14
DDoS V MÉDIÍCH
© F5 Networks, Inc 15
Application
SSL
DNS
Network
AFM, ASM, GTM
© F5 Networks, Inc 16
Heartbleed ShellShock
OWASP Top 10 SlowlorisSlow Post
GET floods
Connection FloodUDP Flood
SYN and ACK FloodsICMP Floods
DNS UDP FloodsDNS Query Floods
SSL Floods,SSL Renegotiation
Network
Application
SSL
DNS
AFM, GTM, ASM
© F5 Networks, Inc 17
http://www.securityweek.com/real-story-behind-kate-upton-nude-ddos-attack
Bring Your Own Modem a krásné ženy
© F5 Networks, Inc 18
1989
© F5 Networks, Inc 19
1989
© F5 Networks, Inc 20
0
20,000
40,000
60,000
80,000
100,000
120,000
19
90
19
91
19
92
19
93
19
94
19
95
19
96
19
97
19
98
19
99
20
00
20
01
20
02
20
03
20
04
20
05
20
06
20
07
20
08
20
09
20
10
20
11
20
12
20
13
20
14
20
15
20
16
20
17
20
18
20
19
EXP.
GLOBALNÍ INTERNETOVÝ PROVOZVE FIXNÍCH SÍTÍCH
[PB/MĚSÍC]
*Source: Cisco, The Zettabyte Era—Trends and Analysis
RŮST PROVOZU
© F5 Networks, Inc 21
*
Source: Sandvine
STRUKTURA PROVOZU
© F5 Networks, Inc 22
(1) ZNALOST: Uživatel, Aplikace, Zařízení
(2) KONTROLA SÍTĚ A OPTIMIZACIE
(3) MONETIZACE SÍTĚ
PEM
Inteligentní traffic shaping
© F5 Networks, Inc 23
PRINCIP INTELIGENTNÍHO TRAFFIC SHAPINGU
GLOBÁLNÍ PER APLIKACE
PER-UŽIVATEL A APLIKACE
Sub A + B + C “P2P” = 10 MbpsUživatel Sub B “P2P” = 4 Mbps
Overall P2P = 10 Mbps
Rest = 10 MbpsUživatel
Rest = 10 Mbps
Gold Subscriber = 20 Mbps
P2P = 512 kbpsP2P = 4 Mbps
NÁHRADA CISCO SCE
© F5 Networks, Inc 24
TETRIS?
© F5 Networks, Inc 25
Ne...Konsolidace síťových
prvků s F5DNS
Firewall
L3/L4/L7 Steering
Policy Enforcement
CGNAT
DNS
POLICY ENF.
L7 STEERING
FW/DDOS/CGN
HTTP HE
2010–2015L4–L7
Dedikované platformy, různí dodavatelé
Sjednocená platforma,L4–L7 konsolidace
© F5 Networks, Inc 26
Load Balancing, DNS, FW, NAT, DDoS ochrana, Inteligentní traffic shaping
Internet
Attacker
Web Bot
Konsolidace síťových elementů na jeden “box” F5
=> Úspora investičních a provozních nákladů, jednodušší správa infrastruktury
© F5 Networks, Inc 27
Konsolidace core prvků – F5 zákazníci- VoIP poskytovatel v Australii
- Scenar nasazeni – agregace broadbandu
- F5 reseni – load balancer, inteligentni traffic shaping a firewall v jednom boxu
- Tradicni model – box per funkce
- Nakladove uspory diky vyuziti F5
- Vice nez US$100,000 CAPEX (alternativni reseni US$250,000)
- Dalsi uspory v OPEX (sprava, trenink)
- Jednodussi troubleshooting
- ISP (kabelovy operator) v Israeli
- Scenar nasazeni
- Nedostatek IPv4 a pozadavek na loadbalancing Web cache serveru
- F5 reseni - Traffic Steering (pro web cache servery) a CGNAT
- Vyhody pro zakaznika
- NAT (NATovani https za specifickym IP subnetem; vysokorychlostni logovani)
- Nakladove uspory za internetovou konektivitu diky web cache serverum
- Zlepseni managementu site diky iRules
- “Muzeme pridat novou cache jednim klikem na platforme F5. Nemusime nic
menit v nasi siti. To pred tim nebylo mozne.” rika El Khoury, CTO IDM.
© F5 Networks, Inc 28
MageMojo Webhosting – DDoS ochrana a web aplikační firewall
MageMojo je poskytovatel webhostingu ve USA (2500 hostovanych websitu)
Pripad nasazeni
- DDoS utok a nasledny vypadek cele infrastruktury na 3 h behem nakupni horecky na svatek Dikuvzdani
- Pozadavky – Eliminace utoku, nizka latence a vysoky vykon, sitovy FW s PCI (payment card industry)
- F5 reseni – DDoS, AFM ICSA certifikovany FW pro ochranu DC, WAF pro L7 utoky, LTM pro skalovatelnost
Benefity pro zakaznika
- Nakladove uspory 70% diky konsolidaci
- “Nakonec jsme usporili 70% konsolidaci diky F5 misto abychom nakupovali jednotliva reseni zvlast
nebo si sluzbu eliminace DDoS utoku pronajali od externich scrubbing center.”
- V porovnani s jinymi DDoS resenimi, F5 poskytuje take aplikacni bezpecnost
- Diky full proxy architekture, DDoS utoky jsou detekovany jeste nez se dosahnou na aplikacni servery
- Skalovatelnost VIPRION platformy pro sezonni vykyvy (uspory internetove konektivity)
- Velka “hustota” vykonu “Zakladni vykonnost jedineho bladu Viprionu z pohledu spojeni za sekundu je
stejna jako vykon nejvetsich FW od Cisco nebo Juniperu.”
© F5 Networks, Inc 29
Datametrix DC a Cloud Loadbalancing virtualních serverů, bezpečnost DC, autentizace uživatelů, DRDatametrix je Cloud provider v Norsku (dcera Telenoru)
Pripad nasazeni
- Pozadavky - LB virtualnich serveru, DC FW, system pro autentizaci uzivatelu, Disaster recovery
- F5 reseni - 2xVIPRION 2400 chassis pro DC, moduly:
Local Traffic Manager (LTM) pro loadbalancing provozu napric virtualnimi servery
Advanced Firewall Manager (AFM) pro filtrovani prichozi komunikace a pro ochranu pred DDoS utoky
Access Policy Manager (APM) pro rizeni autentizace uzovatelu vcetne Single Sign-on
Global Traffic Manager (GTM), Virtual Edition, pro balancovani provozu napric dvema DC pro zajisteni
automatickeho fail-overu v pripade vypadku jednoho z datacenter.
Vyhody
- Nakladove uspory 60% diky konsolidovanemu reseni
- Bezpecnost a ochrana pred DDoS utoky
- Vysoka distupnost a skalovatelnost