F5 Networks, Inc 1
Filip Kolář F5 Networks f.kolar@f5.com +420 720 704 746 F5 Networks, Inc 2
Růst dat Útoky z internetu Internet of Things Intel. traffic shaping L4-L7 bezpečnost DDoS ochrana Škálovatelnost IPv4/IPv6 Konsolidace ISP TRENDY Konkurence, Profitabilita F5 Networks, Inc 3
1989 Dnes Shaping Konsolidace Tetris FullProxy Poklady pod hladinou xmanagers Bezpečnost Krásné ženy Agenda F5 Networks, Inc 4
PARTNEŘI F5 F5 Networks, Inc 5
POZICE F5 F5 Networks, Inc 6
LTM ASM DNS CGNAT AFM Silverline PEM xmanagers F5 Networks, Inc 7
PEM CGNAT Silveline TMOS irules IPv6 HorsePower Poklady pod hladinou F5 Networks, Inc 8
F5 Networks, Inc 9
Health monitoring IPv4/IPv6 http/2 Komprese SSL Offload Optimalizace TCP LTM F5 Networks, Inc 10
Používáte Bind? DNS F5 Networks, Inc 11
DDoS www.digitalattackmap.com F5 Networks, Inc 12
ISP Třetí nejoblíbenější cíl pro DDoS útoky Source: http://www.stateoftheinternet.com/downloads/pdfs/2014-internet-security-report-q4.pdf F5 Networks, Inc 13
DDoS V MÉDIÍCH F5 Networks, Inc 14
Application SSL DNS Network AFM, ASM, GTM F5 Networks, Inc 15
Application GET floods Heartbleed OWASP Top 10 Slow Post ShellShock Slowloris SSL SSL Renegotiation SSL Floods, DNS DNS Query Floods DNS UDP Floods Network ICMP Floods UDP Flood SYN and ACK Floods Connection Flood AFM, GTM, ASM F5 Networks, Inc 16
http://www.securityweek.com/real-storybehind-kate-upton-nude-ddos-attack Bring Your Own Modem a krásné ženy F5 Networks, Inc 17
1989 F5 Networks, Inc 18
1989 F5 Networks, Inc 19
ŮST PROVOZU 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 120,000 EXP. 100,000 80,000 GLOBALNÍ INTERNETOVÝ PROVOZ VE FIXNÍCH SÍTÍCH [PB/MĚSÍC] 60,000 40,000 20,000 0 F5 Networks, Inc * Source: Cisco, The Zettabyte Era Trends and Analysis 20
TRUKTURA PROVOZU * F5 Networks, Inc Source: Sandvine 21
nteligentní traffic shaping PEM (1) ZNALOST: Uživatel, Aplikace, Zařízení (2) KONTROLA SÍTĚ A OPTIMIZACIE (3) MONETIZACE SÍTĚ F5 Networks, Inc 22
GLOBÁLNÍ PER APLIKACE NÁHRADA CISCO SCE Overall P2P = 10 Mbps Uživatel Sub B P2P = 4 Mbps Sub A + B + C P2P = 10 Mbps PER-UŽIVATEL A APLIKACE Gold Subscriber = 20 Mbps Uživatel Rest = 10 Mbps P2P = 4 Mbps Rest = 10 Mbps P2P = 512 kbps PRINCIP INTELIGENTNÍHO TRAFFIC SHAPINGU F5 Networks, Inc 23
TETRIS? F5 Networks, Inc 24
Ne... Konsolidace síťových prvků s F5 L4 L7 DNS Firewall L3/L4/L7 Steering Policy Enforcement CGNAT 2010 2015 DNS POLICY ENF. L7 STEERING FW/DDOS/CGN HTTP HE Dedikované platformy, různí dodavatelé Sjednocená platforma, L4 L7 konsolidace F5 Networks, Inc 25
Load Balancing, DNS, FW, NAT, DDoS ochrana, Inteligentní traffic shaping Attacker Internet Web Bot => Úspora investičních a provozních nákladů, jednodušší správa infrastruktury Konsolidace síťových elementů na jeden box F5 F5 Networks, Inc 26
Konsolidace core prvků F5 zákazníci - VoIP poskytovatel v Australii - Scenar nasazeni agregace broadbandu - F5 reseni load balancer, inteligentni traffic shaping a firewall v jednom boxu - Tradicni model box per funkce - Nakladove uspory diky vyuziti F5 - Vice nez US$100,000 CAPEX (alternativni reseni US$250,000) - Dalsi uspory v OPEX (sprava, trenink) - Jednodussi troubleshooting - ISP (kabelovy operator) v Israeli - Scenar nasazeni - Nedostatek IPv4 a pozadavek na loadbalancing Web cache serveru - F5 reseni - Traffic Steering (pro web cache servery) a CGNAT - Vyhody pro zakaznika - NAT (NATovani https za specifickym IP subnetem; vysokorychlostni logovani) - Nakladove uspory za internetovou konektivitu diky web cache serverum - Zlepseni managementu site diky irules - Muzeme pridat novou cache jednim klikem na platforme F5. Nemusime nic menit v nasi siti. To pred tim nebylo mozne. rika El Khoury, CTO IDM. F5 Networks, Inc 27
MageMojo Webhosting DDoS ochrana a web aplikační firewall MageMojo je poskytovatel webhostingu ve USA (2500 hostovanych websitu) Pripad nasazeni - DDoS utok a nasledny vypadek cele infrastruktury na 3 h behem nakupni horecky na svatek Dikuvzdani - Pozadavky Eliminace utoku, nizka latence a vysoky vykon, sitovy FW s PCI (payment card industry) - F5 reseni DDoS, AFM ICSA certifikovany FW pro ochranu DC, WAF pro L7 utoky, LTM pro skalovatelnost Benefity pro zakaznika - Nakladove uspory 70% diky konsolidaci - Nakonec jsme usporili 70% konsolidaci diky F5 misto abychom nakupovali jednotliva reseni zvlast nebo si sluzbu eliminace DDoS utoku pronajali od externich scrubbing center. - V porovnani s jinymi DDoS resenimi, F5 poskytuje take aplikacni bezpecnost - Diky full proxy architekture, DDoS utoky jsou detekovany jeste nez se dosahnou na aplikacni servery - Skalovatelnost VIPRION platformy pro sezonni vykyvy (uspory internetove konektivity) - Velka hustota vykonu Zakladni vykonnost jedineho bladu Viprionu z pohledu spojeni za sekundu je stejna jako vykon nejvetsich FW od Cisco nebo Juniperu. F5 Networks, Inc 28
Datametrix DC a Cloud Loadbalancing virtualních serverů, bezpečnost DC, autentizace uživatelů, DR Datametrix je Cloud provider v Norsku (dcera Telenoru) Pripad nasazeni - Pozadavky - LB virtualnich serveru, DC FW, system pro autentizaci uzivatelu, Disaster recovery - F5 reseni - 2xVIPRION 2400 chassis pro DC, moduly: Local Traffic Manager (LTM) pro loadbalancing provozu napric virtualnimi servery Advanced Firewall Manager (AFM) pro filtrovani prichozi komunikace a pro ochranu pred DDoS utoky Access Policy Manager (APM) pro rizeni autentizace uzovatelu vcetne Single Sign-on Global Traffic Manager (GTM), Virtual Edition, pro balancovani provozu napric dvema DC pro zajisteni automatickeho fail-overu v pripade vypadku jednoho z datacenter. Vyhody - Nakladove uspory 60% diky konsolidovanemu reseni - Bezpecnost a ochrana pred DDoS utoky - Vysoka distupnost a skalovatelnost F5 Networks, Inc 29
Filip Kolář f.kolar@f5.com +420 720 704 746