© F5 Networks, Inc 1 - Internet pro všechnykonference.internetprovsechny.cz/plzen2015/files/prezentace... · © F5 Networks, Inc 2 Filip Kolář F5 Networks [email protected] +420

© F5 Networks, Inc 1

© F5 Networks, Inc 2

Filip Kolář

F5 Networks

[email protected]

+420 720 704 746

© F5 Networks, Inc 3

Růst dat Útoky z internetu Internet of Things

Škálovatelnost

IPv4/IPv6Intel. traffic shaping

L4-L7 bezpečnost

DDoS ochrana

ISP TRENDY

Konkurence, Profitabilita

Konsolidace

© F5 Networks, Inc 4

1989

Dnes

Poklady pod hladinou

Shaping

FullProxy

xManagers

Konsolidace

Agenda

Bezpečnost

Krásné ženy

Tetris

© F5 Networks, Inc 5

PARTNEŘI F5

© F5 Networks, Inc 6

POZICE F5

© F5 Networks, Inc 7

LTM

AFMASM

DNS

CGNAT

PEM

Silverline

xManagers

© F5 Networks, Inc 8

iRulesTMOS

HorsePower

IPv6

CGNAT

PEM

Silveline

Poklady pod hladinou

© F5 Networks, Inc 9

© F5 Networks, Inc 10

LTM

Health monitoring

SSL Offload

IPv4/IPv6

http/2

Komprese

…Optimalizace TCP

© F5 Networks, Inc 11

DNS

Používáte Bind?

© F5 Networks, Inc 12

DDoS www.digitalattackmap.com

© F5 Networks, Inc 13

ISP – Třetí nejoblíbenější cíl pro DDoS útoky

Source: http://www.stateoftheinternet.com/downloads/pdfs/2014-internet-security-report-q4.pdf

© F5 Networks, Inc 14

DDoS V MÉDIÍCH

© F5 Networks, Inc 15

Application

SSL

DNS

Network

AFM, ASM, GTM

© F5 Networks, Inc 16

Heartbleed ShellShock

OWASP Top 10 SlowlorisSlow Post

GET floods

Connection FloodUDP Flood

SYN and ACK FloodsICMP Floods

DNS UDP FloodsDNS Query Floods

SSL Floods,SSL Renegotiation

Network

Application

SSL

DNS

AFM, GTM, ASM

© F5 Networks, Inc 17

http://www.securityweek.com/real-story-behind-kate-upton-nude-ddos-attack

Bring Your Own Modem a krásné ženy

© F5 Networks, Inc 18

1989

© F5 Networks, Inc 19

1989

© F5 Networks, Inc 20

0

20,000

40,000

60,000

80,000

100,000

120,000

19

90

19

91

19

92

19

93

19

94

19

95

19

96

19

97

19

98

19

99

20

00

20

01

20

02

20

03

20

04

20

05

20

06

20

07

20

08

20

09

20

10

20

11

20

12

20

13

20

14

20

15

20

16

20

17

20

18

20

19

EXP.

GLOBALNÍ INTERNETOVÝ PROVOZVE FIXNÍCH SÍTÍCH

[PB/MĚSÍC]

*Source: Cisco, The Zettabyte Era—Trends and Analysis

RŮST PROVOZU

© F5 Networks, Inc 21

*

Source: Sandvine

STRUKTURA PROVOZU

© F5 Networks, Inc 22

(1) ZNALOST: Uživatel, Aplikace, Zařízení

(2) KONTROLA SÍTĚ A OPTIMIZACIE

(3) MONETIZACE SÍTĚ

PEM

Inteligentní traffic shaping

© F5 Networks, Inc 23

PRINCIP INTELIGENTNÍHO TRAFFIC SHAPINGU

GLOBÁLNÍ PER APLIKACE

PER-UŽIVATEL A APLIKACE

Sub A + B + C “P2P” = 10 MbpsUživatel Sub B “P2P” = 4 Mbps

Overall P2P = 10 Mbps

Rest = 10 MbpsUživatel

Rest = 10 Mbps

Gold Subscriber = 20 Mbps

P2P = 512 kbpsP2P = 4 Mbps

NÁHRADA CISCO SCE

© F5 Networks, Inc 24

TETRIS?

© F5 Networks, Inc 25

Ne...Konsolidace síťových

prvků s F5DNS

Firewall

L3/L4/L7 Steering

Policy Enforcement

CGNAT

DNS

POLICY ENF.

L7 STEERING

FW/DDOS/CGN

HTTP HE

2010–2015L4–L7

Dedikované platformy, různí dodavatelé

Sjednocená platforma,L4–L7 konsolidace

© F5 Networks, Inc 26

Load Balancing, DNS, FW, NAT, DDoS ochrana, Inteligentní traffic shaping

Internet

Attacker

Web Bot

Konsolidace síťových elementů na jeden “box” F5

=> Úspora investičních a provozních nákladů, jednodušší správa infrastruktury

© F5 Networks, Inc 27

Konsolidace core prvků – F5 zákazníci- VoIP poskytovatel v Australii

- Scenar nasazeni – agregace broadbandu

- F5 reseni – load balancer, inteligentni traffic shaping a firewall v jednom boxu

- Tradicni model – box per funkce

- Nakladove uspory diky vyuziti F5

- Vice nez US$100,000 CAPEX (alternativni reseni US$250,000)

- Dalsi uspory v OPEX (sprava, trenink)

- Jednodussi troubleshooting

- ISP (kabelovy operator) v Israeli

- Scenar nasazeni

- Nedostatek IPv4 a pozadavek na loadbalancing Web cache serveru

- F5 reseni - Traffic Steering (pro web cache servery) a CGNAT

- Vyhody pro zakaznika

- NAT (NATovani https za specifickym IP subnetem; vysokorychlostni logovani)

- Nakladove uspory za internetovou konektivitu diky web cache serverum

- Zlepseni managementu site diky iRules

- “Muzeme pridat novou cache jednim klikem na platforme F5. Nemusime nic

menit v nasi siti. To pred tim nebylo mozne.” rika El Khoury, CTO IDM.

© F5 Networks, Inc 28

MageMojo Webhosting – DDoS ochrana a web aplikační firewall

MageMojo je poskytovatel webhostingu ve USA (2500 hostovanych websitu)

Pripad nasazeni

- DDoS utok a nasledny vypadek cele infrastruktury na 3 h behem nakupni horecky na svatek Dikuvzdani

- Pozadavky – Eliminace utoku, nizka latence a vysoky vykon, sitovy FW s PCI (payment card industry)

- F5 reseni – DDoS, AFM ICSA certifikovany FW pro ochranu DC, WAF pro L7 utoky, LTM pro skalovatelnost

Benefity pro zakaznika

- Nakladove uspory 70% diky konsolidaci

- “Nakonec jsme usporili 70% konsolidaci diky F5 misto abychom nakupovali jednotliva reseni zvlast

nebo si sluzbu eliminace DDoS utoku pronajali od externich scrubbing center.”

- V porovnani s jinymi DDoS resenimi, F5 poskytuje take aplikacni bezpecnost

- Diky full proxy architekture, DDoS utoky jsou detekovany jeste nez se dosahnou na aplikacni servery

- Skalovatelnost VIPRION platformy pro sezonni vykyvy (uspory internetove konektivity)

- Velka “hustota” vykonu “Zakladni vykonnost jedineho bladu Viprionu z pohledu spojeni za sekundu je

stejna jako vykon nejvetsich FW od Cisco nebo Juniperu.”

© F5 Networks, Inc 29

Datametrix DC a Cloud Loadbalancing virtualních serverů, bezpečnost DC, autentizace uživatelů, DRDatametrix je Cloud provider v Norsku (dcera Telenoru)

Pripad nasazeni

- Pozadavky - LB virtualnich serveru, DC FW, system pro autentizaci uzivatelu, Disaster recovery

- F5 reseni - 2xVIPRION 2400 chassis pro DC, moduly:

Local Traffic Manager (LTM) pro loadbalancing provozu napric virtualnimi servery

Advanced Firewall Manager (AFM) pro filtrovani prichozi komunikace a pro ochranu pred DDoS utoky

Access Policy Manager (APM) pro rizeni autentizace uzovatelu vcetne Single Sign-on

Global Traffic Manager (GTM), Virtual Edition, pro balancovani provozu napric dvema DC pro zajisteni

automatickeho fail-overu v pripade vypadku jednoho z datacenter.

Vyhody

- Nakladove uspory 60% diky konsolidovanemu reseni

- Bezpecnost a ochrana pred DDoS utoky

- Vysoka distupnost a skalovatelnost

Filip Kolář

[email protected]

+420 720 704 746