Filip Kolář F5 Networks f.kolar@f5.com +420 720 704 746 F5 Networks, Inc 2



Podobné dokumenty
Filip Kolář Major Account Manager F5 Networks, Inc 1

Budování sítě v datových centrech

Detekce volumetrických útoků a jejich mi4gace v ISP

Budování sítě v datových centrech

Případová studie migrace z Cisco ACE a další možnosti nasazení

POKROČILÉ ZABEZPEČENÍ DAT A APLIKACÍ V PROSTŘEDÍ AZURE TOMÁŠ MIROŠNÍK ACCOUNT TECHNOLOGY STRATEGIST MICROSOFT

BEZPEČNOST (BEZ)DRÁTU. Martin Macek,

Dodávka UTM zařízení FIREWALL zadávací dokumentace

Služby datového centra

Technická specifikace zařízení

Služby datového centra

FlowGuard 2.0. Whitepaper

Představení Kerio Control

Brno. 30. května 2014

Dell SonicWALL. Security tips & tricks. Jan Ježek business communication s.r.o.

profil společnosti www. veracomp.cz

Požadované technické parametry pro SAN jsou uvedeny v následující tabulce:

Řešení jádra sítě ISP na otevřených technologiích

Jak vybrat správný firewall. Martin Šimek Západočeská univerzita

Případová studie a zkušenosti nové organizace. František Vaněk

Účinná ochrana sítí. Roman K. Onderka

Jak přežít DDoS? IDG Cyber Security Martin Půlpán CEO net.pointers s.r.o.

Integrované řízení a zabezpečení sítě cesta k rychlé reakci na kybernetické hrozby

Sjednotit, zjednodušit, posílit. posílit. Rackové servery Cisco UCS C-Series. Obchodní přehled

Proč prevence jako ochrana nestačí? Luboš Lunter

Alternativní řešení pro ochranu dat, správu infrastruktury a zabezpečení přístupu. Simac Technik ČR, a.s.

Radovan Gibala, Presales Engineer F5, ČR Jiří Petrásek, Presales Engineer, Arrow ECS

Budování infrastruktury v době digitalizace společnosti

FlowMon Monitoring IP provozu

Cloud Slovník pojmů. J. Vrzal, verze 0.9

Praha, Martin Beran

KUPNÍ SMLOUVA. uzavřena podle ust. 409 a násl. zákona č. 513/1991 Sb., Obchodní zákoník, ve znění pozdějších předpisů

FlowMon 8.0. Představení novinek v řešení FlowMon. Petr Špringl, Jan Pazdera {springl pazdera}@invea.com

Kybernetické hrozby jak detekovat?

FlowMon Vaše síť pod kontrolou!

Zakladatel Next-generation firewallů, které rozpoznají a kontrolují více než 1300 síťových aplikací

NetFlow a NBA? FlowMon 7 umí mnohem více! (NPM, APM, VoIPM, packet capture) Petr Špringl springl@invea.com

IPv6 a Telefónica Czech Republic

Co vše přináší viditelnost do počítačové sítě?

Možnosti zabezpečení komunikace ve virtualizovaném prostředí. Simac Technik ČR, a.s.

Budování SDN v datovém centru. Jiří Cihlář, CCIE #24609, Team Leader Data Center

Důvěřuj, ale prověřuj aneb jak bezpečná je Vaše síť? Vít Kančo

Služba ComSource Hybrid AntiDDoS aneb Pračka v Cloudu ISPA Forum 2015

Routing & VPN. Marek Bražina

Příloha č.2 - Technická specifikace předmětu veřejné zakázky

1 Výchozí nastavení zařízení

DDoS útoky a jak se jim bránit

ZJEDNODUŠENÍ SÍŤOVÉ BEZPEČNOSTI UVNITŘ DATOVÉHO CENTRA. Jaroslav Sedláček network architect

Nasazení a využití měřících bodů ve VI CESNET

František Kysela SE Datacenter

Specifikace předmětu zakázky

ComSource Efektivní ochrana kritických infrastruktur IT Security Workshop 2016 Jaroslav Cihelka

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

Bezpečnostní technologie a jejich trendy. Simac Technik ČR, a.s.

SOCIÁLNÍ SLUŽBY MĚSTA HAVÍŘOVA

Hot Standby Router Protocol (zajištění vysoké spolehlivosti výchozí brány)

IBM Tivoli Monitoring pro Virtuální prostředí

Nginx v roli web serveru

Bezpečnostní projekt Případová studie

Ochrana před DoS/DDOS útoky

portů ethernetu v poslední míli

Flow monitoring a NBA: Kdy, kde, jak a proč? Petr Špringl springl@invea.cz

Flow monitoring a NBA

Technický popis předmětu plnění

Kalendář kurzů. Linux. SUSE Linux Databáze

Jak vylepšujeme DNS infrastrukturu pro.cz? Zdeněk Brůna

Kybernetické hrozby - existuje komplexní řešení?

VÝZVA. k podání nabídky

Ochrana mobilních uživatelů před hrozbami Internetu mimo firemní prostředí. Simac Technik ČR, a.s.

Extreme Forum Datová centra A10, VMWare, Citrix, Microsoft, Ixia

Název prezentace 1. Poskytovatel garantovaných služeb NDC včetně kybernetické bezpečnosti ve státní správě

Alternativy k SAP HANA appliance? Představení možnosti TDI a cloudové infrastruktury

FlowMon. Představení FlowMon verze 7.0. Petr Špringl, Jan Pazdera, Pavel Minařík,

Integrovaný DDI/NAC a vizualizace komunikace IT aktiv, jako základ rychlé reakce SOC

Ministerstvo vnitra ČR. Popis CMS. Verze 1.00

SafeNet ProtectV integration in Cloud environment Adastra Use Case

Cloud Computing. Petr Leština IBM Česká Republika. Cloud computing z finančního pohledu IBM Corporation

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Návrh loadbalancingu a firewallové politiky pro aplikační servery ve veřejném cloudu

Alcatel-Lucent VitalQIP DNS/DHCP & IP Management Software

Moderní infrastruktura základ egovernmentu

Téma bakalářských a diplomových prací 2014/2015 řešených při

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

Obrana proti DDoS útokům na úrovni datových center

KIVS setkání Další postup realizace KIVS

CineStar Černý Most Praha

Rozdělení odpovědnosti za zabezpečení sdíleného cloud prostředí

Ostrava. 16. dubna 2014

SAMSUNG SCHOOL 2014 JUNIPER NETWORKS. Pavlína Müllerová BDM Juniper Networks

Technická opatření pro plnění požadavků GDPR

Případové studie a kulatý stůl. Dalibor Kačmář, Microsoft

Čekám na signál? (FTTH na dohled, FTTH v nedohlednu) Stav FTTH v CZ,SK

VOIPEX Pavel Píštěk, strategie a nové Sdílet projek ts y práv, I né PEX inf a.s orm. ace se správnými lidmi ve správný čas

Datové služby. Písemná zpráva zadavatele

Seminář IBM - partnerský program a nabídka pro MSPs

Datové centrum pro potřeby moderního města. Koncepce, stav projektu, budoucí rozvoj B.Brablc, 06/16/09

IBM SmartCloud Enterprise Igor Hegner ITS Sales

Technická bezpečnostní opatření nejen ve smyslu ZKB. Jan Zdvořáček ASKON International s.r.o.

Systémová administrace portálu Liferay

obnova ZIS po bezpečnostn nostním m incidentu

Transkript:

F5 Networks, Inc 1

Filip Kolář F5 Networks f.kolar@f5.com +420 720 704 746 F5 Networks, Inc 2

Růst dat Útoky z internetu Internet of Things Intel. traffic shaping L4-L7 bezpečnost DDoS ochrana Škálovatelnost IPv4/IPv6 Konsolidace ISP TRENDY Konkurence, Profitabilita F5 Networks, Inc 3

1989 Dnes Shaping Konsolidace Tetris FullProxy Poklady pod hladinou xmanagers Bezpečnost Krásné ženy Agenda F5 Networks, Inc 4

PARTNEŘI F5 F5 Networks, Inc 5

POZICE F5 F5 Networks, Inc 6

LTM ASM DNS CGNAT AFM Silverline PEM xmanagers F5 Networks, Inc 7

PEM CGNAT Silveline TMOS irules IPv6 HorsePower Poklady pod hladinou F5 Networks, Inc 8

F5 Networks, Inc 9

Health monitoring IPv4/IPv6 http/2 Komprese SSL Offload Optimalizace TCP LTM F5 Networks, Inc 10

Používáte Bind? DNS F5 Networks, Inc 11

DDoS www.digitalattackmap.com F5 Networks, Inc 12

ISP Třetí nejoblíbenější cíl pro DDoS útoky Source: http://www.stateoftheinternet.com/downloads/pdfs/2014-internet-security-report-q4.pdf F5 Networks, Inc 13

DDoS V MÉDIÍCH F5 Networks, Inc 14

Application SSL DNS Network AFM, ASM, GTM F5 Networks, Inc 15

Application GET floods Heartbleed OWASP Top 10 Slow Post ShellShock Slowloris SSL SSL Renegotiation SSL Floods, DNS DNS Query Floods DNS UDP Floods Network ICMP Floods UDP Flood SYN and ACK Floods Connection Flood AFM, GTM, ASM F5 Networks, Inc 16

http://www.securityweek.com/real-storybehind-kate-upton-nude-ddos-attack Bring Your Own Modem a krásné ženy F5 Networks, Inc 17

1989 F5 Networks, Inc 18

1989 F5 Networks, Inc 19

ŮST PROVOZU 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 120,000 EXP. 100,000 80,000 GLOBALNÍ INTERNETOVÝ PROVOZ VE FIXNÍCH SÍTÍCH [PB/MĚSÍC] 60,000 40,000 20,000 0 F5 Networks, Inc * Source: Cisco, The Zettabyte Era Trends and Analysis 20

TRUKTURA PROVOZU * F5 Networks, Inc Source: Sandvine 21

nteligentní traffic shaping PEM (1) ZNALOST: Uživatel, Aplikace, Zařízení (2) KONTROLA SÍTĚ A OPTIMIZACIE (3) MONETIZACE SÍTĚ F5 Networks, Inc 22

GLOBÁLNÍ PER APLIKACE NÁHRADA CISCO SCE Overall P2P = 10 Mbps Uživatel Sub B P2P = 4 Mbps Sub A + B + C P2P = 10 Mbps PER-UŽIVATEL A APLIKACE Gold Subscriber = 20 Mbps Uživatel Rest = 10 Mbps P2P = 4 Mbps Rest = 10 Mbps P2P = 512 kbps PRINCIP INTELIGENTNÍHO TRAFFIC SHAPINGU F5 Networks, Inc 23

TETRIS? F5 Networks, Inc 24

Ne... Konsolidace síťových prvků s F5 L4 L7 DNS Firewall L3/L4/L7 Steering Policy Enforcement CGNAT 2010 2015 DNS POLICY ENF. L7 STEERING FW/DDOS/CGN HTTP HE Dedikované platformy, různí dodavatelé Sjednocená platforma, L4 L7 konsolidace F5 Networks, Inc 25

Load Balancing, DNS, FW, NAT, DDoS ochrana, Inteligentní traffic shaping Attacker Internet Web Bot => Úspora investičních a provozních nákladů, jednodušší správa infrastruktury Konsolidace síťových elementů na jeden box F5 F5 Networks, Inc 26

Konsolidace core prvků F5 zákazníci - VoIP poskytovatel v Australii - Scenar nasazeni agregace broadbandu - F5 reseni load balancer, inteligentni traffic shaping a firewall v jednom boxu - Tradicni model box per funkce - Nakladove uspory diky vyuziti F5 - Vice nez US$100,000 CAPEX (alternativni reseni US$250,000) - Dalsi uspory v OPEX (sprava, trenink) - Jednodussi troubleshooting - ISP (kabelovy operator) v Israeli - Scenar nasazeni - Nedostatek IPv4 a pozadavek na loadbalancing Web cache serveru - F5 reseni - Traffic Steering (pro web cache servery) a CGNAT - Vyhody pro zakaznika - NAT (NATovani https za specifickym IP subnetem; vysokorychlostni logovani) - Nakladove uspory za internetovou konektivitu diky web cache serverum - Zlepseni managementu site diky irules - Muzeme pridat novou cache jednim klikem na platforme F5. Nemusime nic menit v nasi siti. To pred tim nebylo mozne. rika El Khoury, CTO IDM. F5 Networks, Inc 27

MageMojo Webhosting DDoS ochrana a web aplikační firewall MageMojo je poskytovatel webhostingu ve USA (2500 hostovanych websitu) Pripad nasazeni - DDoS utok a nasledny vypadek cele infrastruktury na 3 h behem nakupni horecky na svatek Dikuvzdani - Pozadavky Eliminace utoku, nizka latence a vysoky vykon, sitovy FW s PCI (payment card industry) - F5 reseni DDoS, AFM ICSA certifikovany FW pro ochranu DC, WAF pro L7 utoky, LTM pro skalovatelnost Benefity pro zakaznika - Nakladove uspory 70% diky konsolidaci - Nakonec jsme usporili 70% konsolidaci diky F5 misto abychom nakupovali jednotliva reseni zvlast nebo si sluzbu eliminace DDoS utoku pronajali od externich scrubbing center. - V porovnani s jinymi DDoS resenimi, F5 poskytuje take aplikacni bezpecnost - Diky full proxy architekture, DDoS utoky jsou detekovany jeste nez se dosahnou na aplikacni servery - Skalovatelnost VIPRION platformy pro sezonni vykyvy (uspory internetove konektivity) - Velka hustota vykonu Zakladni vykonnost jedineho bladu Viprionu z pohledu spojeni za sekundu je stejna jako vykon nejvetsich FW od Cisco nebo Juniperu. F5 Networks, Inc 28

Datametrix DC a Cloud Loadbalancing virtualních serverů, bezpečnost DC, autentizace uživatelů, DR Datametrix je Cloud provider v Norsku (dcera Telenoru) Pripad nasazeni - Pozadavky - LB virtualnich serveru, DC FW, system pro autentizaci uzivatelu, Disaster recovery - F5 reseni - 2xVIPRION 2400 chassis pro DC, moduly: Local Traffic Manager (LTM) pro loadbalancing provozu napric virtualnimi servery Advanced Firewall Manager (AFM) pro filtrovani prichozi komunikace a pro ochranu pred DDoS utoky Access Policy Manager (APM) pro rizeni autentizace uzovatelu vcetne Single Sign-on Global Traffic Manager (GTM), Virtual Edition, pro balancovani provozu napric dvema DC pro zajisteni automatickeho fail-overu v pripade vypadku jednoho z datacenter. Vyhody - Nakladove uspory 60% diky konsolidovanemu reseni - Bezpecnost a ochrana pred DDoS utoky - Vysoka distupnost a skalovatelnost F5 Networks, Inc 29

Filip Kolář f.kolar@f5.com +420 720 704 746