![Page 1: AIM © 2018 F5 Networks - ISSS€¦ · Kdo je to SITMP • IT pro ~100 organizacív Plzni • 20.000 uživatelskýchidentit • Úřady • Školy • Sportovní areály… Co zajišťujeme](https://reader036.vdocuments.net/reader036/viewer/2022070911/5fb3534b6203335c337e76e6/html5/thumbnails/1.jpg)
![Page 2: AIM © 2018 F5 Networks - ISSS€¦ · Kdo je to SITMP • IT pro ~100 organizacív Plzni • 20.000 uživatelskýchidentit • Úřady • Školy • Sportovní areály… Co zajišťujeme](https://reader036.vdocuments.net/reader036/viewer/2022070911/5fb3534b6203335c337e76e6/html5/thumbnails/2.jpg)
© 2018 F5 NetworksAIM
![Page 3: AIM © 2018 F5 Networks - ISSS€¦ · Kdo je to SITMP • IT pro ~100 organizacív Plzni • 20.000 uživatelskýchidentit • Úřady • Školy • Sportovní areály… Co zajišťujeme](https://reader036.vdocuments.net/reader036/viewer/2022070911/5fb3534b6203335c337e76e6/html5/thumbnails/3.jpg)
ANTI-
DDoS
APP INFRASTRUCTURE
ANTI-DDoS
DNSTLS/SSL
ADVANCED WEB APPLICATION FIREWALL
Web Application Attacks
App Infrastructure Attacks
DDoS Attacks
Client-Side Attacks
ANTI-DDoS
BOT DEFENSE
CREDENTIAL PROTECTION
WEB ACCESS MANAGEMENT WAF
IDENTITYACCESS
MGMT
IAM
DDoS Hybrid Defender
Advanced WAF
Access Management
SSL Orchestrator
![Page 4: AIM © 2018 F5 Networks - ISSS€¦ · Kdo je to SITMP • IT pro ~100 organizacív Plzni • 20.000 uživatelskýchidentit • Úřady • Školy • Sportovní areály… Co zajišťujeme](https://reader036.vdocuments.net/reader036/viewer/2022070911/5fb3534b6203335c337e76e6/html5/thumbnails/4.jpg)
Případová studie nasazení F5 v SITMPLoad Balancing, WAF, IAM
1. dubna 2019ISSS, ing. Martin Kylián
![Page 5: AIM © 2018 F5 Networks - ISSS€¦ · Kdo je to SITMP • IT pro ~100 organizacív Plzni • 20.000 uživatelskýchidentit • Úřady • Školy • Sportovní areály… Co zajišťujeme](https://reader036.vdocuments.net/reader036/viewer/2022070911/5fb3534b6203335c337e76e6/html5/thumbnails/5.jpg)
Kdo je to SITMP
• IT pro ~100 organizací v Plzni
• 20.000 uživatelských identit
• Úřady• Školy• Sportovní areály…
![Page 6: AIM © 2018 F5 Networks - ISSS€¦ · Kdo je to SITMP • IT pro ~100 organizacív Plzni • 20.000 uživatelskýchidentit • Úřady • Školy • Sportovní areály… Co zajišťujeme](https://reader036.vdocuments.net/reader036/viewer/2022070911/5fb3534b6203335c337e76e6/html5/thumbnails/6.jpg)
Co zajišťujeme
• Výpočetní technika• Metropolitní síť• Datová centra• Aplikace
• Procesy
• Kyberbezpečnost• Vzdělávání
![Page 7: AIM © 2018 F5 Networks - ISSS€¦ · Kdo je to SITMP • IT pro ~100 organizacív Plzni • 20.000 uživatelskýchidentit • Úřady • Školy • Sportovní areály… Co zajišťujeme](https://reader036.vdocuments.net/reader036/viewer/2022070911/5fb3534b6203335c337e76e6/html5/thumbnails/7.jpg)
Kde jsme byli
• Několik Core služeb • MS Exchange, MS
Sharepoint• Různé: webové servery
a technologie, aplikace, správci
![Page 8: AIM © 2018 F5 Networks - ISSS€¦ · Kdo je to SITMP • IT pro ~100 organizacív Plzni • 20.000 uživatelskýchidentit • Úřady • Školy • Sportovní areály… Co zajišťujeme](https://reader036.vdocuments.net/reader036/viewer/2022070911/5fb3534b6203335c337e76e6/html5/thumbnails/8.jpg)
Cíl č.1 – vysoká dostupnost
• SMTP Gatewaye
• Exchange
• Škola on-line
• Http proxy
![Page 9: AIM © 2018 F5 Networks - ISSS€¦ · Kdo je to SITMP • IT pro ~100 organizacív Plzni • 20.000 uživatelskýchidentit • Úřady • Školy • Sportovní areály… Co zajišťujeme](https://reader036.vdocuments.net/reader036/viewer/2022070911/5fb3534b6203335c337e76e6/html5/thumbnails/9.jpg)
Sekundární přínosy LB • Centrální správa SSL certifikátů• Centrální správa celého SSL stacku / offload SSL
Na co si dát pozor• Stavové aplikace – persistence Sessions
• Správné url – wsdl, odkazy na assety…
![Page 10: AIM © 2018 F5 Networks - ISSS€¦ · Kdo je to SITMP • IT pro ~100 organizacív Plzni • 20.000 uživatelskýchidentit • Úřady • Školy • Sportovní areály… Co zajišťujeme](https://reader036.vdocuments.net/reader036/viewer/2022070911/5fb3534b6203335c337e76e6/html5/thumbnails/10.jpg)
Cíl č.2 – bezpečnost web aplikací
Klíčové vlastnosti• OWASP top 10
• Ochrana přihlašovacích formulářů
Nejzranitelnější systémy• Redakční systém bez podpory výrobce (~150 webů)• Hostingové servery – WP, Joomla, Drupal
Portál občana
![Page 11: AIM © 2018 F5 Networks - ISSS€¦ · Kdo je to SITMP • IT pro ~100 organizacív Plzni • 20.000 uživatelskýchidentit • Úřady • Školy • Sportovní areály… Co zajišťujeme](https://reader036.vdocuments.net/reader036/viewer/2022070911/5fb3534b6203335c337e76e6/html5/thumbnails/11.jpg)
Portál občana
![Page 12: AIM © 2018 F5 Networks - ISSS€¦ · Kdo je to SITMP • IT pro ~100 organizacív Plzni • 20.000 uživatelskýchidentit • Úřady • Školy • Sportovní areály… Co zajišťujeme](https://reader036.vdocuments.net/reader036/viewer/2022070911/5fb3534b6203335c337e76e6/html5/thumbnails/12.jpg)
WAF - když to fungujeSQL Inj
Logon form protection
![Page 13: AIM © 2018 F5 Networks - ISSS€¦ · Kdo je to SITMP • IT pro ~100 organizacív Plzni • 20.000 uživatelskýchidentit • Úřady • Školy • Sportovní areály… Co zajišťujeme](https://reader036.vdocuments.net/reader036/viewer/2022070911/5fb3534b6203335c337e76e6/html5/thumbnails/13.jpg)
WAF – na co dbát při nasazení
• Znalost aplikace nebo alespoň principů• Cílit na přesné nastavení• False pozitiva v negativním modelu / využívat staging
• Vše co nejlépe testovat
![Page 14: AIM © 2018 F5 Networks - ISSS€¦ · Kdo je to SITMP • IT pro ~100 organizacív Plzni • 20.000 uživatelskýchidentit • Úřady • Školy • Sportovní areály… Co zajišťujeme](https://reader036.vdocuments.net/reader036/viewer/2022070911/5fb3534b6203335c337e76e6/html5/thumbnails/14.jpg)
Cíl č.3 – identity access
Aplikace - chceme zpřístupnit, ale jen někomu
Naše další požadavky• SSO
• Možnost řídit přístupové role• Integrace s 2FA (připravujeme)
![Page 15: AIM © 2018 F5 Networks - ISSS€¦ · Kdo je to SITMP • IT pro ~100 organizacív Plzni • 20.000 uživatelskýchidentit • Úřady • Školy • Sportovní areály… Co zajišťujeme](https://reader036.vdocuments.net/reader036/viewer/2022070911/5fb3534b6203335c337e76e6/html5/thumbnails/15.jpg)
![Page 16: AIM © 2018 F5 Networks - ISSS€¦ · Kdo je to SITMP • IT pro ~100 organizacív Plzni • 20.000 uživatelskýchidentit • Úřady • Školy • Sportovní areály… Co zajišťujeme](https://reader036.vdocuments.net/reader036/viewer/2022070911/5fb3534b6203335c337e76e6/html5/thumbnails/16.jpg)
Obecné poznatky z nasazení
K nasazení f5 je potřeba
• Síťový specialista• Aplikačního správce• Bezpečnostního specialistu• Programátora
![Page 17: AIM © 2018 F5 Networks - ISSS€¦ · Kdo je to SITMP • IT pro ~100 organizacív Plzni • 20.000 uživatelskýchidentit • Úřady • Školy • Sportovní areály… Co zajišťujeme](https://reader036.vdocuments.net/reader036/viewer/2022070911/5fb3534b6203335c337e76e6/html5/thumbnails/17.jpg)
Shrnutí
Díky technologii f5 se nám podařilo• Zajistit bezvýpadkový provoz
• Zabezpečit zranitelné aplikace• Efektivně řídit přístupy k aplikacím
![Page 18: AIM © 2018 F5 Networks - ISSS€¦ · Kdo je to SITMP • IT pro ~100 organizacív Plzni • 20.000 uživatelskýchidentit • Úřady • Školy • Sportovní areály… Co zajišťujeme](https://reader036.vdocuments.net/reader036/viewer/2022070911/5fb3534b6203335c337e76e6/html5/thumbnails/18.jpg)
Kam dál?
• Saml IdP
• Podpora kontejnerů