SlideShare ist ein Scribd-Unternehmen logo

Agility Networks - F5 GTM v20131009a

Als PPTX, PDF herunterladen
Agility Networks
Agility Networks
Technologie
1 von 49
Soluções de Segurança – F5 GTM Rodrigo EV, SE Manager v20131009a
Problemas
Slide 3 Quais são os “TOP 5” problemas atuais? Worms, Virus e SPAMs Roubo de informações Disponibilidade dos serviços Legislação de Segurança O Desconhecido
Slide 4 • Começa simples… • Mais usuários e serviços • Falhas de aplicações • Brechas de Segurança • Indisponibilidades • Alto Custo • Insatisfação Data Center
Slide 5 Ataques Codificados
Slide 6 Novo padrão comportamental de ataques Não há mais capanha pública antes dos ataques Sem aviso prévio Pequena quantidade de hackers lançam os ataques Pequena quantidade de bots participando Os métodos de ataque mudam durante o ataque
Slide 7 DDoS agora virou 3DoS • Diverse Distributed Denial of Service • Não apenas os ataques são distribuídos, mas também sua natureza varia de camada 3-7 • Os ataques são realizados simultaneamente Conteúdo (tipo, tamanh o, segurança) Status da Aplicação (desempenho , localização, capacidade) Clientes (Localização, equipamento , relaciona- mento) Condições de rede (local, remoto , público, priv ado)
Slide 8 Atualmente, é um risco enorme deixar um firewall tradicional “de cara” para a internet!!
Problemas Impactos
Slide 10 ©Verizon 2011 Data Breach Investigations Report
Slide 11
Slide 13 Vulnerabilidades móveis (cont.)
Slide 14 Figure 1: 2011 Sampling of Security Incidents by Attack Type, Time and Impact Fox News X-Factor Citigroup Bethesda Software Italy PM Site Epsilon Sony RSA HB Gary Nortrop Grunman Spanish Nat Police Sega Gmail Accounts PBS PBS SOCA Malaysian Gov Site Nintendo Peru Special Police NATO Turkish Government US Senate AZ Police Lockheed Martin Sony BMG Greece L3 Communications Booz Allen Hamilton Monsanto Diginotar Vanguard Defense Hong Kong Stock Exchange Brazil Gov SK Communications Korea NetNames DNS Service NetNames DNS Service US Law Enforcement TGKK Mitsubishi Heavy Industries Epson Korea PCS Consulting Valve Steam Finnish Government Sites 178.com Duowan CSDN Trion Nexon 7K7K.com Tian.ya Adidas Israeli and Palestinian Sites Stratfor United Nations Sony Norway MSN Italian Ministry Hemmelig.com SQL injection URL tampering Spear phishing Third-party software DDoS SecureID Trojan software Unknown IMF Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec Size of circle estimates relative impact of breach in terms of cost to business Attack type
Slide 15
Slide 16
Slide 17
Slide 18
Problemas Impactos Soluções
Slide 21
Slide 22 Viável Flexível Simples Disponível Seguro Rápido
Slide 23
Slide 24 DataCenter (Inbound) Corporate (Outbound) Existem hoje basicamente dois tipos de tráfego:
Slide 25 Arquitetura Dinâmica • Se reconfigura dinamicamente • Gerencia aplicações, não objetos ou blocos IP • Políticas por contexto
Slide 26 Onde cada solução F5 atua? Ataques de AplicaçãoAtaques de Rede Ataques de Sessão OWASP Top 10 (SQL Injection, XSS, CSRF, et c.), Slowloris, Slow Post, HashDos, GET Floods SYN Flood, Connection Flood, UDP Flood, Push e ACK Floods, Teardrop, ICMP Floods, Ping Floods e Smurf Attacks BIG-IP ASM Positive and negative policy reinforcement, iRules, full proxy for HTTP, server performance anomaly detection DNS UDP Floods, DNS Query Floods, DNS NXDOMAIN Floods, SSL Floods, SSL Renegotiation BIG-IP LTM e GTM High-scale performance, DNS Express, SSL termination, iRules, SSL renegotiation validation BIG-IP AFM SynCheck, default-deny posture, tabela de conexões de alta capacidade, visibilidade full-proxy, rate-limiting, strict TCP forwarding. Packet Velocity Accelerator (PVA) é uma solução em hardware criada que aumenta a escalabidade do sistema, aliviando a CPU para funções específicas como SSL, compressão HTTP e DoS. Aplicação (7)Apresentação (6)Sesssão (5)Transporte (4)Rede (3)Data Link (2)Física (1) Crescente dificuldade de detecção de ataque
Problemas Impactos Soluções • F5 Global Traffic Manager • F5 Application Firewall Manager • F5 Application Policy Manager • F5 Application Security Manager e WhiteHat • PaloAlto • ForeScout
Slide 28
Slide 29 BIG-IP GTM BIG-IP GTM BIG-IP GTM com geolocalização por IP
Slide 30 Análise de Acessos • Aplicações • Virtual Servers • Query Name • Query Type • Client IP
Slide 31 Otimização • Balanceamento de Carga Dinâmico entre DataCenters • Otimização TCP • Monitoramento de Saúde • Geolocalização • Failover automático entre sites • Tradução IPv6/IPv4 • DNS Offload Segurança • Garantia de Transação • DNS iRules • DNSSEC dinâmico • Mitigação de DNS DDoS • DNS Firewall Funcionalidades
Slide 32 “BIG-IP GTM has had an immediate and profound effect on our reliability. If a resource ever goes down, it reduces our downtime from 8–10 minutes to a couple of milliseconds. Don Wood, Director of Technology, DNSstuff.com
Slide 33 Status dos Clientes •Localização, equipamento, relacionamen to Conteúdo •tipo, tamanho , segurança Condições de rede •local, remoto, público, priva do Status do Site •performance, localização, capacidade
Slide 34 Distribuir os acessos entre as nuvens
Slide 35 Limitar acesso por Localização Como bloquear acessos de países ou regiões por restrições de compliance?
Slide 36 DNSSEC Simple DNSSEC compliance: • Implement BIG-IP GTM in front of existing DNS servers • Ensure trusted DNS queries with dynamically signed responses • Reduce management costs
Slide 37 DNSSEC em três passos 1 2 3 1. Create the key signing key (KSK) 2. Create the zone signing key (ZSK) 3. Create the DNSSEC zone with the KSK and ZSK keys
Slide 38 Geolocation Location Included Premium Continent ✔ ✔ Country ✔ ✔ State ✔ ✔ Carrier ✔ ✔ Registered Org ✔ ✔ City ✔ Post / Zip Code ✔ Lat / Long ✔ Confidence Factor ✔ Routing Type ✔ when DNS_REQUEST { if {[whereis [IP::client_addr]] contains "Asia"} { pool asia_pool } else { pool general_pool } }
Slide 39 Configurações de Link
Slide 40 Benefícios • Eliminar downtime causados por falhas de link e ISP; • Melhorar o desempenho das aplicações; • Controlar custos com ISP; • Ter granularidade de configurações; • Melhor monitoramento dos links/DataCenters; • DNSSEC, Geolocalização e Topologia; • Elimina as barreiras do Multi-Homing com BGP: • Não há necessidade de roteadores gigantescos, • Nem coordenação entre operadoras • Nem custos com bloco IP próprio (AS) e gerenciamento.
Slide 41 BGP GTM Alta Disponibilidade Balanceamento Granularidade e métricas Diversas operadoras diferentes Alta Disponibilidade Bloco IP /24 e filtros Interligar múltiplas redes
Slide 42 BGP e GTM Foram feitos para resolver problemas diferentes BGP interliga múltiplas redes Filtros para não virar trânsito de múltiplas operadoras Não tem granularidade e não considera consumo GTM usa operadoras diferentes com redes diferentes 15 métricas (usuário, link e infra) Funciona via DNS com granularidade por host
Slide 43 Destino Next Hop Métrica 192.168.0.1/32 B 10 192.168.0.1/32 C 10 Destino Next Hop Métrica 192.168.0.1/32 B 10 192.168.0.1/32 C 10 192.168.0.1/32 D 10 Como funciona o IP AnyCast? IP 10.10.0.1 (Unicast) 192.168.0.1 (AnyCast) IP 10.20.0.2 (Unicast) 192.168.0.1 (AnyCast) IP 10.30.0.1 (Unicast) 192.168.0.1 (AnyCast) B D A Cliente 172.16.0.1 E FC G Rota 192.168.0.1/32 via BGP Rota 192.168.0.1/32 via BGP Rota 192.168.0.1/32 via BGP
Slide 44 Parceria com InfoBlox® • More than 35,000 appliances installed worldwide in 30+ countries • 3,500+ customers • 325 employees worldwide • Introduced world’s first integrated DNS, DHCP, and IPAM appliances • Gartner ranked Infoblox the highest “Strong Positive” in DDI MarketScope • IDC market analysis ranked Infoblox #1 for DNS/DHCP/IPAM appliance vendors • Experienced management team and technical leadership • CEO, CFO, and Sales VP: built NetScreen • Cricket Liu VP, author of DNS and BIND © 2010 Infoblox Inc. All Rights Reserved.
Slide 45 Desempenho incomparável • Permite acesso mesmo durante picos de acesso • Escalabilidade via hardware • CMP habilitado utilizando todos os cores de processamento • Até 6 milhões de QPS • Cada CPU Core ~ a um bom servidor DNS: +130k QPS 600k QPS 1.5M QPS 3M QPS 6M QPS 2M QPS
Slide 46 Queries DNS 6 milhões/s SSL TPS 600 mil/s Throughput 320Gbps Concurrent Conn. 192 Milhões New Connections/s 5,6 Milhões DNS Security
Perfil Corporativo
Slide 48
Slide 49 Consultoria Suporte Monitoração Operação
Slide 50 Agility e F5 – Uma parceria de Sucesso
Slide 51 +400 BIG-IPs implementados pela Agility Networks +100 Empresas atendidas pela Agility Networks 6 anos como melhor parceiro F5 Brasil e 3 anos LATAM Foco Especialização diferenciada e conhecimento meuBIG-IP Serviços e Suporte 7x24 com RMA e monitoramento

Empfohlen

BeyondTrust Solutions 2014
BeyondTrust Solutions 2014BeyondTrust Solutions 2014
BeyondTrust Solutions 2014
Bruno Caseiro
 
Zabbix FLISOL Campinas 28-04-2012
Zabbix FLISOL Campinas 28-04-2012Zabbix FLISOL Campinas 28-04-2012
Zabbix FLISOL Campinas 28-04-2012
André Déo
 
Avaliação de arquiteturas de uma solução de backup da nuvem
Avaliação de arquiteturas de uma solução de backup da nuvemAvaliação de arquiteturas de uma solução de backup da nuvem
Avaliação de arquiteturas de uma solução de backup da nuvem
Joao Galdino Mello de Souza
 
Aula 12 infraestrutura - 24032012
Aula 12 infraestrutura - 24032012Aula 12 infraestrutura - 24032012
Aula 12 infraestrutura - 24032012
Thiago Inacio de Matos
 
Zerto: a próxima geração em soluções de disaster recovery
Zerto: a próxima geração em soluções de disaster recoveryZerto: a próxima geração em soluções de disaster recovery
Zerto: a próxima geração em soluções de disaster recovery
Bravo Tecnologia
 
Ataques DDoS - Panorama, Mitigação e Evolução
Ataques DDoS - Panorama, Mitigação e EvoluçãoAtaques DDoS - Panorama, Mitigação e Evolução
Ataques DDoS - Panorama, Mitigação e Evolução
Wilson Rogerio Lopes
 
Webinar e Demo ao Vivo: Kaspersky Endpoint Security | Cloud
Webinar e Demo ao Vivo: Kaspersky Endpoint Security | CloudWebinar e Demo ao Vivo: Kaspersky Endpoint Security | Cloud
Webinar e Demo ao Vivo: Kaspersky Endpoint Security | Cloud
Bravo Tecnologia
 
03 estrategia-ddos
03 estrategia-ddos03 estrategia-ddos
03 estrategia-ddos
Pavel Odintsov
 

Empfohlen

BeyondTrust Solutions 2014
BeyondTrust Solutions 2014BeyondTrust Solutions 2014
BeyondTrust Solutions 2014
Bruno Caseiro
 
Zabbix FLISOL Campinas 28-04-2012
Zabbix FLISOL Campinas 28-04-2012Zabbix FLISOL Campinas 28-04-2012
Zabbix FLISOL Campinas 28-04-2012
André Déo
 
Avaliação de arquiteturas de uma solução de backup da nuvem
Avaliação de arquiteturas de uma solução de backup da nuvemAvaliação de arquiteturas de uma solução de backup da nuvem
Avaliação de arquiteturas de uma solução de backup da nuvem
Joao Galdino Mello de Souza
 
Aula 12 infraestrutura - 24032012
Aula 12 infraestrutura - 24032012Aula 12 infraestrutura - 24032012
Aula 12 infraestrutura - 24032012
Thiago Inacio de Matos
 
Zerto: a próxima geração em soluções de disaster recovery
Zerto: a próxima geração em soluções de disaster recoveryZerto: a próxima geração em soluções de disaster recovery
Zerto: a próxima geração em soluções de disaster recovery
Bravo Tecnologia
 
Ataques DDoS - Panorama, Mitigação e Evolução
Ataques DDoS - Panorama, Mitigação e EvoluçãoAtaques DDoS - Panorama, Mitigação e Evolução
Ataques DDoS - Panorama, Mitigação e Evolução
Wilson Rogerio Lopes
 
Webinar e Demo ao Vivo: Kaspersky Endpoint Security | Cloud
Webinar e Demo ao Vivo: Kaspersky Endpoint Security | CloudWebinar e Demo ao Vivo: Kaspersky Endpoint Security | Cloud
Webinar e Demo ao Vivo: Kaspersky Endpoint Security | Cloud
Bravo Tecnologia
 
03 estrategia-ddos
03 estrategia-ddos03 estrategia-ddos
03 estrategia-ddos
Pavel Odintsov
 
Douglasesteves meetupzabbix
Douglasesteves meetupzabbixDouglasesteves meetupzabbix
Douglasesteves meetupzabbix
Douglas Esteves
 
DDOS
DDOSDDOS
DDOS
Emmanuel Saes
 
Workshop de Monitoramento com Zabbix e OCS
Workshop de Monitoramento com Zabbix e OCSWorkshop de Monitoramento com Zabbix e OCS
Workshop de Monitoramento com Zabbix e OCS
Linux Solutions
 
Monitoramento Opensource com Zabbix
Monitoramento Opensource com ZabbixMonitoramento Opensource com Zabbix
Monitoramento Opensource com Zabbix
Renato Batista
 
OWASP AppSec 2010 BRAZIL Information Extraction Art of Testing Network Periph...
OWASP AppSec 2010 BRAZIL Information Extraction Art of Testing Network Periph...OWASP AppSec 2010 BRAZIL Information Extraction Art of Testing Network Periph...
OWASP AppSec 2010 BRAZIL Information Extraction Art of Testing Network Periph...
Mauro Risonho de Paula Assumpcao
 
Monitoramento da rede de A a ZABBIX - Daniel Bauermann
Monitoramento da rede de A a ZABBIX - Daniel BauermannMonitoramento da rede de A a ZABBIX - Daniel Bauermann
Monitoramento da rede de A a ZABBIX - Daniel Bauermann
Tchelinux
 
Apresentação Werneck - MeSeg RNP 2017 - Natal RN - Importância do monitoramen...
Apresentação Werneck - MeSeg RNP 2017 - Natal RN - Importância do monitoramen...Apresentação Werneck - MeSeg RNP 2017 - Natal RN - Importância do monitoramen...
Apresentação Werneck - MeSeg RNP 2017 - Natal RN - Importância do monitoramen...
Werneck Costa
 
Aula 6 infraestrutura - 04022012
Aula 6 infraestrutura - 04022012Aula 6 infraestrutura - 04022012
Aula 6 infraestrutura - 04022012
Thiago Inacio de Matos
 
Apresentacao_Zabbix
Apresentacao_ZabbixApresentacao_Zabbix
Apresentacao_Zabbix
Rafael Mendonça
 
Zabbix construindo templates personalizados (zabbix-inventory)
Zabbix construindo templates personalizados (zabbix-inventory)Zabbix construindo templates personalizados (zabbix-inventory)
Zabbix construindo templates personalizados (zabbix-inventory)
Magno Monte Cerqueira
 
DoS: FORMAS DE ATAQUE E ESTRATÉGIAS DE DEFESA
DoS: FORMAS DE ATAQUE E ESTRATÉGIAS DE DEFESADoS: FORMAS DE ATAQUE E ESTRATÉGIAS DE DEFESA
DoS: FORMAS DE ATAQUE E ESTRATÉGIAS DE DEFESA
Renan Souza Daniel
 
Meu Cliente não permite DevOps. E agora?
Meu Cliente não permite DevOps. E agora?Meu Cliente não permite DevOps. E agora?
Meu Cliente não permite DevOps. E agora?
Everton Tavares
 
TradeTech Brazil 2011 - O Desafio Da Latencia
TradeTech Brazil 2011 - O Desafio Da LatenciaTradeTech Brazil 2011 - O Desafio Da Latencia
TradeTech Brazil 2011 - O Desafio Da Latencia
Jose Ricardo Maia Moraes
 
FIRST TECH - Security Solutions
FIRST TECH - Security SolutionsFIRST TECH - Security Solutions
FIRST TECH - Security Solutions
Luiz Veloso
 
"Software Defined CDN: Arquitetura, componentes e desafios" - Marcus Grando (...
"Software Defined CDN: Arquitetura, componentes e desafios" - Marcus Grando (..."Software Defined CDN: Arquitetura, componentes e desafios" - Marcus Grando (...
"Software Defined CDN: Arquitetura, componentes e desafios" - Marcus Grando (...
WeOp - The Operations Summit
 
Be Aware Webinar Symantec - O que há de novo? Data Loss Prevention 14.5
Be Aware Webinar Symantec - O que há de novo? Data Loss Prevention 14.5Be Aware Webinar Symantec - O que há de novo? Data Loss Prevention 14.5
Be Aware Webinar Symantec - O que há de novo? Data Loss Prevention 14.5
Symantec Brasil
 
PIF2019 - A17 - Thiago Lombardi - Baumier
PIF2019 - A17 - Thiago Lombardi - BaumierPIF2019 - A17 - Thiago Lombardi - Baumier
PIF2019 - A17 - Thiago Lombardi - Baumier
Evandro Gama (Prof. Dr.)
 
Segurança na Nuvem
Segurança na NuvemSegurança na Nuvem
Segurança na Nuvem
Amazon Web Services LATAM
 
Controle de Acesso ao Datacenter
Controle de Acesso ao DatacenterControle de Acesso ao Datacenter
Controle de Acesso ao Datacenter
NetBR
 
Controle de Acesso ao Datacenter
Controle de Acesso ao DatacenterControle de Acesso ao Datacenter
Controle de Acesso ao Datacenter
NetBR
 
Planejamento e Otimização de Infra-estrutura de TI por Bruno Domingues
Planejamento e Otimização de Infra-estrutura de TI por Bruno DominguesPlanejamento e Otimização de Infra-estrutura de TI por Bruno Domingues
Planejamento e Otimização de Infra-estrutura de TI por Bruno Domingues
Joao Galdino Mello de Souza
 
Selecionando application procotocols para IoT
Selecionando application procotocols para IoTSelecionando application procotocols para IoT
Selecionando application procotocols para IoT
cesar231084
 

Weitere ähnliche Inhalte

Was ist angesagt?

Monitoramento da rede de A a ZABBIX - Daniel Bauermann
Monitoramento da rede de A a ZABBIX - Daniel BauermannMonitoramento da rede de A a ZABBIX - Daniel Bauermann
Monitoramento da rede de A a ZABBIX - Daniel Bauermann
Tchelinux
 
Zabbix construindo templates personalizados (zabbix-inventory)
Zabbix construindo templates personalizados (zabbix-inventory)Zabbix construindo templates personalizados (zabbix-inventory)
Zabbix construindo templates personalizados (zabbix-inventory)
Magno Monte Cerqueira
 

Was ist angesagt? (12)

Douglasesteves meetupzabbix
Douglasesteves meetupzabbixDouglasesteves meetupzabbix
Douglasesteves meetupzabbix
 
DDOS
DDOSDDOS
DDOS
 
Workshop de Monitoramento com Zabbix e OCS
Workshop de Monitoramento com Zabbix e OCSWorkshop de Monitoramento com Zabbix e OCS
Workshop de Monitoramento com Zabbix e OCS
 
Monitoramento Opensource com Zabbix
Monitoramento Opensource com ZabbixMonitoramento Opensource com Zabbix
Monitoramento Opensource com Zabbix
 
OWASP AppSec 2010 BRAZIL Information Extraction Art of Testing Network Periph...
OWASP AppSec 2010 BRAZIL Information Extraction Art of Testing Network Periph...OWASP AppSec 2010 BRAZIL Information Extraction Art of Testing Network Periph...
OWASP AppSec 2010 BRAZIL Information Extraction Art of Testing Network Periph...
 
Monitoramento da rede de A a ZABBIX - Daniel Bauermann
Monitoramento da rede de A a ZABBIX - Daniel BauermannMonitoramento da rede de A a ZABBIX - Daniel Bauermann
Monitoramento da rede de A a ZABBIX - Daniel Bauermann
 
Apresentação Werneck - MeSeg RNP 2017 - Natal RN - Importância do monitoramen...
Apresentação Werneck - MeSeg RNP 2017 - Natal RN - Importância do monitoramen...Apresentação Werneck - MeSeg RNP 2017 - Natal RN - Importância do monitoramen...
Apresentação Werneck - MeSeg RNP 2017 - Natal RN - Importância do monitoramen...
 
Aula 6 infraestrutura - 04022012
Aula 6 infraestrutura - 04022012Aula 6 infraestrutura - 04022012
Aula 6 infraestrutura - 04022012
 
Apresentacao_Zabbix
Apresentacao_ZabbixApresentacao_Zabbix
Apresentacao_Zabbix
 
Zabbix construindo templates personalizados (zabbix-inventory)
Zabbix construindo templates personalizados (zabbix-inventory)Zabbix construindo templates personalizados (zabbix-inventory)
Zabbix construindo templates personalizados (zabbix-inventory)
 
DoS: FORMAS DE ATAQUE E ESTRATÉGIAS DE DEFESA
DoS: FORMAS DE ATAQUE E ESTRATÉGIAS DE DEFESADoS: FORMAS DE ATAQUE E ESTRATÉGIAS DE DEFESA
DoS: FORMAS DE ATAQUE E ESTRATÉGIAS DE DEFESA
 
Meu Cliente não permite DevOps. E agora?
Meu Cliente não permite DevOps. E agora?Meu Cliente não permite DevOps. E agora?
Meu Cliente não permite DevOps. E agora?
 

Ähnlich wie Agility Networks - F5 GTM v20131009a

"Software Defined CDN: Arquitetura, componentes e desafios" - Marcus Grando (...
"Software Defined CDN: Arquitetura, componentes e desafios" - Marcus Grando (..."Software Defined CDN: Arquitetura, componentes e desafios" - Marcus Grando (...
"Software Defined CDN: Arquitetura, componentes e desafios" - Marcus Grando (...
WeOp - The Operations Summit
 
Planejamento e Otimização de Infra-estrutura de TI por Bruno Domingues
Planejamento e Otimização de Infra-estrutura de TI por Bruno DominguesPlanejamento e Otimização de Infra-estrutura de TI por Bruno Domingues
Planejamento e Otimização de Infra-estrutura de TI por Bruno Domingues
Joao Galdino Mello de Souza
 

Ähnlich wie Agility Networks - F5 GTM v20131009a (20)

TradeTech Brazil 2011 - O Desafio Da Latencia
TradeTech Brazil 2011 - O Desafio Da LatenciaTradeTech Brazil 2011 - O Desafio Da Latencia
TradeTech Brazil 2011 - O Desafio Da Latencia
 
FIRST TECH - Security Solutions
FIRST TECH - Security SolutionsFIRST TECH - Security Solutions
FIRST TECH - Security Solutions
 
"Software Defined CDN: Arquitetura, componentes e desafios" - Marcus Grando (...
"Software Defined CDN: Arquitetura, componentes e desafios" - Marcus Grando (..."Software Defined CDN: Arquitetura, componentes e desafios" - Marcus Grando (...
"Software Defined CDN: Arquitetura, componentes e desafios" - Marcus Grando (...
 
Be Aware Webinar Symantec - O que há de novo? Data Loss Prevention 14.5
Be Aware Webinar Symantec - O que há de novo? Data Loss Prevention 14.5Be Aware Webinar Symantec - O que há de novo? Data Loss Prevention 14.5
Be Aware Webinar Symantec - O que há de novo? Data Loss Prevention 14.5
 
PIF2019 - A17 - Thiago Lombardi - Baumier
PIF2019 - A17 - Thiago Lombardi - BaumierPIF2019 - A17 - Thiago Lombardi - Baumier
PIF2019 - A17 - Thiago Lombardi - Baumier
 
Segurança na Nuvem
Segurança na NuvemSegurança na Nuvem
Segurança na Nuvem
 
Controle de Acesso ao Datacenter
Controle de Acesso ao DatacenterControle de Acesso ao Datacenter
Controle de Acesso ao Datacenter
 
Controle de Acesso ao Datacenter
Controle de Acesso ao DatacenterControle de Acesso ao Datacenter
Controle de Acesso ao Datacenter
 
Planejamento e Otimização de Infra-estrutura de TI por Bruno Domingues
Planejamento e Otimização de Infra-estrutura de TI por Bruno DominguesPlanejamento e Otimização de Infra-estrutura de TI por Bruno Domingues
Planejamento e Otimização de Infra-estrutura de TI por Bruno Domingues
 
Selecionando application procotocols para IoT
Selecionando application procotocols para IoTSelecionando application procotocols para IoT
Selecionando application procotocols para IoT
 
Forefront TMG - Planejando corretamente
Forefront TMG - Planejando corretamenteForefront TMG - Planejando corretamente
Forefront TMG - Planejando corretamente
 
Cloud Security - Exceda 2014
Cloud Security - Exceda 2014Cloud Security - Exceda 2014
Cloud Security - Exceda 2014
 
See Project - Segurança em Cloud Computing FLISOL GO 2010
See Project - Segurança em Cloud Computing FLISOL GO 2010See Project - Segurança em Cloud Computing FLISOL GO 2010
See Project - Segurança em Cloud Computing FLISOL GO 2010
 
SonicWALL - Seja o departamento do "Sim" em sua empresa
SonicWALL - Seja o departamento do "Sim" em sua empresaSonicWALL - Seja o departamento do "Sim" em sua empresa
SonicWALL - Seja o departamento do "Sim" em sua empresa
 
Cloud Publica Com alta performance, flexível e gerenciável.
Cloud Publica Com alta performance, flexível e gerenciável.Cloud Publica Com alta performance, flexível e gerenciável.
Cloud Publica Com alta performance, flexível e gerenciável.
 
Introdução à computação na nuvem e Windows Azure
Introdução à computação na nuvem e Windows AzureIntrodução à computação na nuvem e Windows Azure
Introdução à computação na nuvem e Windows Azure
 
Ago techdoc
Ago techdocAgo techdoc
Ago techdoc
 
Apresentação comercial
Apresentação comercialApresentação comercial
Apresentação comercial
 
Economize o Consumo de Link WAN com o BranchCache
Economize o Consumo de Link WAN com o BranchCacheEconomize o Consumo de Link WAN com o BranchCache
Economize o Consumo de Link WAN com o BranchCache
 
Segurança em Plataforma Microsoft
Segurança em Plataforma MicrosoftSegurança em Plataforma Microsoft
Segurança em Plataforma Microsoft
 

Agility Networks - F5 GTM v20131009a

  • 1. Soluções de Segurança – F5 GTM Rodrigo EV, SE Manager v20131009a
  • 3. Slide 3 Quais são os “TOP 5” problemas atuais? Worms, Virus e SPAMs Roubo de informações Disponibilidade dos serviços Legislação de Segurança O Desconhecido
  • 4. Slide 4 • Começa simples… • Mais usuários e serviços • Falhas de aplicações • Brechas de Segurança • Indisponibilidades • Alto Custo • Insatisfação Data Center
  • 6. Slide 6 Novo padrão comportamental de ataques Não há mais capanha pública antes dos ataques Sem aviso prévio Pequena quantidade de hackers lançam os ataques Pequena quantidade de bots participando Os métodos de ataque mudam durante o ataque
  • 7. Slide 7 DDoS agora virou 3DoS • Diverse Distributed Denial of Service • Não apenas os ataques são distribuídos, mas também sua natureza varia de camada 3-7 • Os ataques são realizados simultaneamente Conteúdo (tipo, tamanh o, segurança) Status da Aplicação (desempenho , localização, capacidade) Clientes (Localização, equipamento , relaciona- mento) Condições de rede (local, remoto , público, priv ado)
  • 8. Slide 8 Atualmente, é um risco enorme deixar um firewall tradicional “de cara” para a internet!!
  • 10. Slide 10 ©Verizon 2011 Data Breach Investigations Report
  • 13. Slide 14 Figure 1: 2011 Sampling of Security Incidents by Attack Type, Time and Impact Fox News X-Factor Citigroup Bethesda Software Italy PM Site Epsilon Sony RSA HB Gary Nortrop Grunman Spanish Nat Police Sega Gmail Accounts PBS PBS SOCA Malaysian Gov Site Nintendo Peru Special Police NATO Turkish Government US Senate AZ Police Lockheed Martin Sony BMG Greece L3 Communications Booz Allen Hamilton Monsanto Diginotar Vanguard Defense Hong Kong Stock Exchange Brazil Gov SK Communications Korea NetNames DNS Service NetNames DNS Service US Law Enforcement TGKK Mitsubishi Heavy Industries Epson Korea PCS Consulting Valve Steam Finnish Government Sites 178.com Duowan CSDN Trion Nexon 7K7K.com Tian.ya Adidas Israeli and Palestinian Sites Stratfor United Nations Sony Norway MSN Italian Ministry Hemmelig.com SQL injection URL tampering Spear phishing Third-party software DDoS SecureID Trojan software Unknown IMF Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec Size of circle estimates relative impact of breach in terms of cost to business Attack type
  • 22. Slide 24 DataCenter (Inbound) Corporate (Outbound) Existem hoje basicamente dois tipos de tráfego:
  • 23. Slide 25 Arquitetura Dinâmica • Se reconfigura dinamicamente • Gerencia aplicações, não objetos ou blocos IP • Políticas por contexto
  • 24. Slide 26 Onde cada solução F5 atua? Ataques de AplicaçãoAtaques de Rede Ataques de Sessão OWASP Top 10 (SQL Injection, XSS, CSRF, et c.), Slowloris, Slow Post, HashDos, GET Floods SYN Flood, Connection Flood, UDP Flood, Push e ACK Floods, Teardrop, ICMP Floods, Ping Floods e Smurf Attacks BIG-IP ASM Positive and negative policy reinforcement, iRules, full proxy for HTTP, server performance anomaly detection DNS UDP Floods, DNS Query Floods, DNS NXDOMAIN Floods, SSL Floods, SSL Renegotiation BIG-IP LTM e GTM High-scale performance, DNS Express, SSL termination, iRules, SSL renegotiation validation BIG-IP AFM SynCheck, default-deny posture, tabela de conexões de alta capacidade, visibilidade full-proxy, rate-limiting, strict TCP forwarding. Packet Velocity Accelerator (PVA) é uma solução em hardware criada que aumenta a escalabidade do sistema, aliviando a CPU para funções específicas como SSL, compressão HTTP e DoS. Aplicação (7)Apresentação (6)Sesssão (5)Transporte (4)Rede (3)Data Link (2)Física (1) Crescente dificuldade de detecção de ataque
  • 25. Problemas Impactos Soluções • F5 Global Traffic Manager • F5 Application Firewall Manager • F5 Application Policy Manager • F5 Application Security Manager e WhiteHat • PaloAlto • ForeScout
  • 27. Slide 29 BIG-IP GTM BIG-IP GTM BIG-IP GTM com geolocalização por IP
  • 28. Slide 30 Análise de Acessos • Aplicações • Virtual Servers • Query Name • Query Type • Client IP
  • 29. Slide 31 Otimização • Balanceamento de Carga Dinâmico entre DataCenters • Otimização TCP • Monitoramento de Saúde • Geolocalização • Failover automático entre sites • Tradução IPv6/IPv4 • DNS Offload Segurança • Garantia de Transação • DNS iRules • DNSSEC dinâmico • Mitigação de DNS DDoS • DNS Firewall Funcionalidades
  • 30. Slide 32 “BIG-IP GTM has had an immediate and profound effect on our reliability. If a resource ever goes down, it reduces our downtime from 8–10 minutes to a couple of milliseconds. Don Wood, Director of Technology, DNSstuff.com
  • 31. Slide 33 Status dos Clientes •Localização, equipamento, relacionamen to Conteúdo •tipo, tamanho , segurança Condições de rede •local, remoto, público, priva do Status do Site •performance, localização, capacidade
  • 32. Slide 34 Distribuir os acessos entre as nuvens
  • 33. Slide 35 Limitar acesso por Localização Como bloquear acessos de países ou regiões por restrições de compliance?
  • 34. Slide 36 DNSSEC Simple DNSSEC compliance: • Implement BIG-IP GTM in front of existing DNS servers • Ensure trusted DNS queries with dynamically signed responses • Reduce management costs
  • 35. Slide 37 DNSSEC em três passos 1 2 3 1. Create the key signing key (KSK) 2. Create the zone signing key (ZSK) 3. Create the DNSSEC zone with the KSK and ZSK keys
  • 36. Slide 38 Geolocation Location Included Premium Continent ✔ ✔ Country ✔ ✔ State ✔ ✔ Carrier ✔ ✔ Registered Org ✔ ✔ City ✔ Post / Zip Code ✔ Lat / Long ✔ Confidence Factor ✔ Routing Type ✔ when DNS_REQUEST { if {[whereis [IP::client_addr]] contains "Asia"} { pool asia_pool } else { pool general_pool } }
  • 38. Slide 40 Benefícios • Eliminar downtime causados por falhas de link e ISP; • Melhorar o desempenho das aplicações; • Controlar custos com ISP; • Ter granularidade de configurações; • Melhor monitoramento dos links/DataCenters; • DNSSEC, Geolocalização e Topologia; • Elimina as barreiras do Multi-Homing com BGP: • Não há necessidade de roteadores gigantescos, • Nem coordenação entre operadoras • Nem custos com bloco IP próprio (AS) e gerenciamento.
  • 39. Slide 41 BGP GTM Alta Disponibilidade Balanceamento Granularidade e métricas Diversas operadoras diferentes Alta Disponibilidade Bloco IP /24 e filtros Interligar múltiplas redes
  • 40. Slide 42 BGP e GTM Foram feitos para resolver problemas diferentes BGP interliga múltiplas redes Filtros para não virar trânsito de múltiplas operadoras Não tem granularidade e não considera consumo GTM usa operadoras diferentes com redes diferentes 15 métricas (usuário, link e infra) Funciona via DNS com granularidade por host
  • 41. Slide 43 Destino Next Hop Métrica 192.168.0.1/32 B 10 192.168.0.1/32 C 10 Destino Next Hop Métrica 192.168.0.1/32 B 10 192.168.0.1/32 C 10 192.168.0.1/32 D 10 Como funciona o IP AnyCast? IP 10.10.0.1 (Unicast) 192.168.0.1 (AnyCast) IP 10.20.0.2 (Unicast) 192.168.0.1 (AnyCast) IP 10.30.0.1 (Unicast) 192.168.0.1 (AnyCast) B D A Cliente 172.16.0.1 E FC G Rota 192.168.0.1/32 via BGP Rota 192.168.0.1/32 via BGP Rota 192.168.0.1/32 via BGP
  • 42. Slide 44 Parceria com InfoBlox® • More than 35,000 appliances installed worldwide in 30+ countries • 3,500+ customers • 325 employees worldwide • Introduced world’s first integrated DNS, DHCP, and IPAM appliances • Gartner ranked Infoblox the highest “Strong Positive” in DDI MarketScope • IDC market analysis ranked Infoblox #1 for DNS/DHCP/IPAM appliance vendors • Experienced management team and technical leadership • CEO, CFO, and Sales VP: built NetScreen • Cricket Liu VP, author of DNS and BIND © 2010 Infoblox Inc. All Rights Reserved.
  • 43. Slide 45 Desempenho incomparável • Permite acesso mesmo durante picos de acesso • Escalabilidade via hardware • CMP habilitado utilizando todos os cores de processamento • Até 6 milhões de QPS • Cada CPU Core ~ a um bom servidor DNS: +130k QPS 600k QPS 1.5M QPS 3M QPS 6M QPS 2M QPS
  • 44. Slide 46 Queries DNS 6 milhões/s SSL TPS 600 mil/s Throughput 320Gbps Concurrent Conn. 192 Milhões New Connections/s 5,6 Milhões DNS Security
  • 48. Slide 50 Agility e F5 – Uma parceria de Sucesso
  • 49. Slide 51 +400 BIG-IPs implementados pela Agility Networks +100 Empresas atendidas pela Agility Networks 6 anos como melhor parceiro F5 Brasil e 3 anos LATAM Foco Especialização diferenciada e conhecimento meuBIG-IP Serviços e Suporte 7x24 com RMA e monitoramento

Hinweis der Redaktion

  1. Muitasvezes, estamoscriandoverdadeiras “gambiarras” no nossoambiente. Algumasvezesatéfuncionam…
  2. … outrasvezesnão!
  3. O que assoluçõesprecisamser?
  4. Manter-se operacional, mesmo sob ataqueManter a privacidade dos clientesControlarcustos
  5. Hojetemosduasabordagensmuitodiferentes do tráfego e da segurançaAplicações, conteúdos, comportamentos de usuários
  6. Foramfeitospara resolver problemasdiferentes:BGP foifeitoparainterligarmúltiplasredes e estabelecequetodaredepodesertrânsitouma da outra;GTM foifeitoparaque um end-user se conecte via diversasoperadorasdiferentes, com endereçamentosdiferentes via DNS