3. Slide 3
Quais são os “TOP 5” problemas atuais?
Worms, Virus e SPAMs
Roubo de informações
Disponibilidade dos serviços
Legislação de Segurança
O Desconhecido
4. Slide 4
• Começa simples…
• Mais usuários e serviços
• Falhas de aplicações
• Brechas de Segurança
• Indisponibilidades
• Alto Custo
• Insatisfação
Data Center
6. Slide 6
Novo padrão comportamental de ataques
Não há mais
capanha
pública antes
dos ataques
Sem aviso
prévio
Pequena
quantidade de
hackers lançam
os ataques
Pequena
quantidade de
bots
participando
Os métodos de
ataque mudam
durante o
ataque
7. Slide 7
DDoS agora virou 3DoS
• Diverse Distributed Denial of
Service
• Não apenas os ataques são
distribuídos, mas também sua
natureza varia de camada 3-7
• Os ataques são realizados
simultaneamente
Conteúdo
(tipo, tamanh
o, segurança)
Status da
Aplicação
(desempenho
, localização,
capacidade)
Clientes
(Localização,
equipamento
, relaciona-
mento)
Condições de
rede
(local, remoto
, público, priv
ado)
8. Slide 8
Atualmente, é um
risco enorme
deixar um
firewall tradicional
“de cara” para a
internet!!
13. Slide 14
Figure 1: 2011 Sampling of Security Incidents by Attack Type, Time and Impact
Fox News
X-Factor
Citigroup
Bethesda
Software
Italy
PM Site
Epsilon
Sony
RSA
HB Gary
Nortrop
Grunman
Spanish
Nat Police
Sega
Gmail
Accounts
PBS
PBS
SOCA
Malaysian
Gov Site
Nintendo
Peru
Special
Police
NATO
Turkish
Government
US Senate
AZ Police
Lockheed
Martin
Sony BMG
Greece
L3 Communications
Booz
Allen
Hamilton
Monsanto
Diginotar
Vanguard
Defense
Hong Kong
Stock Exchange
Brazil
Gov
SK Communications
Korea
NetNames
DNS Service
NetNames
DNS Service
US Law
Enforcement
TGKK
Mitsubishi
Heavy Industries
Epson
Korea
PCS
Consulting
Valve
Steam
Finnish
Government
Sites
178.com
Duowan
CSDN
Trion
Nexon
7K7K.com
Tian.ya
Adidas
Israeli and
Palestinian Sites
Stratfor
United
Nations
Sony
Norway
MSN
Italian
Ministry
Hemmelig.com
SQL injection
URL tampering
Spear phishing
Third-party
software
DDoS
SecureID
Trojan software
Unknown
IMF
Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec
Size of circle estimates relative impact of breach
in terms of cost to business
Attack type
23. Slide 25
Arquitetura Dinâmica
• Se reconfigura
dinamicamente
• Gerencia
aplicações, não
objetos ou blocos IP
• Políticas por contexto
24. Slide 26
Onde cada solução F5 atua?
Ataques de AplicaçãoAtaques de Rede Ataques de Sessão
OWASP Top 10 (SQL
Injection, XSS, CSRF, et
c.), Slowloris, Slow
Post, HashDos, GET
Floods
SYN Flood, Connection Flood, UDP Flood, Push e ACK
Floods, Teardrop, ICMP Floods, Ping Floods e Smurf Attacks
BIG-IP ASM
Positive and negative
policy
reinforcement, iRules,
full proxy for
HTTP, server
performance
anomaly detection
DNS UDP Floods, DNS Query
Floods, DNS NXDOMAIN
Floods, SSL Floods, SSL
Renegotiation
BIG-IP LTM e GTM
High-scale performance, DNS
Express, SSL
termination, iRules, SSL
renegotiation validation
BIG-IP AFM
SynCheck, default-deny posture, tabela de conexões de
alta capacidade, visibilidade full-proxy, rate-limiting, strict
TCP forwarding.
Packet Velocity Accelerator (PVA) é uma solução em
hardware criada que aumenta a escalabidade do
sistema, aliviando a CPU para funções específicas como
SSL, compressão HTTP e DoS.
Aplicação (7)Apresentação (6)Sesssão (5)Transporte (4)Rede (3)Data Link (2)Física (1)
Crescente dificuldade de detecção de ataque
28. Slide 30
Análise de Acessos
• Aplicações
• Virtual Servers
• Query Name
• Query Type
• Client IP
29. Slide 31
Otimização
• Balanceamento de Carga
Dinâmico entre DataCenters
• Otimização TCP
• Monitoramento de Saúde
• Geolocalização
• Failover automático entre sites
• Tradução IPv6/IPv4
• DNS Offload
Segurança
• Garantia de Transação
• DNS iRules
• DNSSEC dinâmico
• Mitigação de DNS DDoS
• DNS Firewall
Funcionalidades
30. Slide 32
“BIG-IP GTM has had an immediate and
profound effect on our reliability. If a resource
ever goes down, it reduces our downtime from
8–10 minutes to a couple of milliseconds.
Don Wood,
Director of Technology, DNSstuff.com
33. Slide 35
Limitar acesso por Localização
Como bloquear
acessos de países ou
regiões por restrições
de compliance?
34. Slide 36
DNSSEC
Simple DNSSEC compliance:
• Implement BIG-IP GTM in front of existing DNS servers
• Ensure trusted DNS queries with dynamically signed
responses
• Reduce management costs
35. Slide 37
DNSSEC em três passos
1 2 3
1. Create the key signing key (KSK)
2. Create the zone signing key (ZSK)
3. Create the DNSSEC zone with the KSK and ZSK keys
36. Slide 38
Geolocation
Location Included Premium
Continent ✔ ✔
Country ✔ ✔
State ✔ ✔
Carrier ✔ ✔
Registered Org ✔ ✔
City ✔
Post / Zip Code ✔
Lat / Long ✔
Confidence Factor ✔
Routing Type ✔
when DNS_REQUEST {
if {[whereis [IP::client_addr]]
contains "Asia"} {
pool asia_pool
} else {
pool general_pool
}
}
38. Slide 40
Benefícios
• Eliminar downtime causados por falhas de link e ISP;
• Melhorar o desempenho das aplicações;
• Controlar custos com ISP;
• Ter granularidade de configurações;
• Melhor monitoramento dos links/DataCenters;
• DNSSEC, Geolocalização e Topologia;
• Elimina as barreiras do Multi-Homing com BGP:
• Não há necessidade de roteadores gigantescos,
• Nem coordenação entre operadoras
• Nem custos com bloco IP próprio (AS) e gerenciamento.
40. Slide 42
BGP e GTM
Foram feitos para resolver problemas diferentes
BGP interliga múltiplas
redes
Filtros para não
virar trânsito de
múltiplas
operadoras
Não tem
granularidade
e não
considera
consumo
GTM usa operadoras
diferentes com redes
diferentes
15 métricas
(usuário, link e
infra)
Funciona via
DNS com
granularidade
por host
41. Slide 43
Destino Next Hop Métrica
192.168.0.1/32 B 10
192.168.0.1/32 C 10
Destino Next Hop Métrica
192.168.0.1/32 B 10
192.168.0.1/32 C 10
192.168.0.1/32 D 10
Como funciona o IP AnyCast?
IP 10.10.0.1 (Unicast)
192.168.0.1 (AnyCast)
IP 10.20.0.2 (Unicast)
192.168.0.1 (AnyCast)
IP 10.30.0.1 (Unicast)
192.168.0.1 (AnyCast)
B
D
A
Cliente
172.16.0.1
E
FC
G
Rota 192.168.0.1/32 via BGP
Rota 192.168.0.1/32 via BGP
Rota 192.168.0.1/32 via BGP
43. Slide 45
Desempenho incomparável
• Permite acesso mesmo durante picos de acesso
• Escalabilidade via hardware
• CMP habilitado utilizando todos os cores de
processamento
• Até 6 milhões de QPS
• Cada CPU Core ~ a um bom servidor DNS: +130k QPS
600k
QPS
1.5M
QPS
3M
QPS
6M
QPS
2M
QPS
44. Slide 46
Queries DNS 6 milhões/s
SSL TPS 600 mil/s
Throughput 320Gbps
Concurrent Conn. 192 Milhões
New Connections/s 5,6 Milhões
DNS Security
Muitasvezes, estamoscriandoverdadeiras “gambiarras” no nossoambiente. Algumasvezesatéfuncionam…
… outrasvezesnão!
O que assoluçõesprecisamser?
Manter-se operacional, mesmo sob ataqueManter a privacidade dos clientesControlarcustos
Hojetemosduasabordagensmuitodiferentes do tráfego e da segurançaAplicações, conteúdos, comportamentos de usuários
Foramfeitospara resolver problemasdiferentes:BGP foifeitoparainterligarmúltiplasredes e estabelecequetodaredepodesertrânsitouma da outra;GTM foifeitoparaque um end-user se conecte via diversasoperadorasdiferentes, com endereçamentosdiferentes via DNS