Das neue Data Center Firewall-Paradigma



Ähnliche Dokumente
Dominik Stockem Datenschutzbeauftragter Microsoft Deutschland GmbH

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version Optional einen DHCP Server.

Konzept zur Push Notification/GCM für das LP System (vormals BDS System)

Konfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version Deutsch

Handbuch. Artologik EZ-Equip. Plug-in für EZbooking version 3.2. Artisan Global Software

HOW TO. Celvin NAS Server So greifen Sie über das Internet auf Ihren Celvin NAS Server zu. DDNS und Portweiterleitung am Celvin NAS Server einrichten

Root-Server für anspruchsvolle Lösungen

Windows Server 2012 R2 Essentials & Hyper-V

Guide DynDNS und Portforwarding

Konfiguration Firewall (Zyxel Zywall 10) (von Gruppe Schraubenmeier)

Multicast Security Group Key Management Architecture (MSEC GKMArch)

SharePoint Demonstration

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Windows 8 Lizenzierung in Szenarien

Version/Datum: Dezember-2006

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

Konfigurationsanleitung Network Address Translation (NAT) Funkwerk. Seite Copyright Stefan Dahler Oktober 2008 Version 1.

Das neue Volume-Flag S (Scannen erforderlich)

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote

am Beispiel - SQL Injection

ICS-Addin. Benutzerhandbuch. Version: 1.0

miditech 4merge 4-fach MIDI Merger mit :

OP-LOG

ANYWHERE Zugriff von externen Arbeitsplätzen

Virtual Private Network. David Greber und Michael Wäger

Task: Nmap Skripte ausführen

Virtual Private Network

Open Source als de-facto Standard bei Swisscom Cloud Services

ISA Server 2004 Einzelner Netzwerkadapater

Sophos Complete Security

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

Endpoint Web Control Übersichtsanleitung

MobiDM-App Handbuch für Windows Mobile

Wiederherstellen der Beispieldatenbanken zum Buch Microsoft Project 2010

Bes 10 Für ios und Android

IAC-BOX Netzwerkintegration. IAC-BOX Netzwerkintegration IACBOX.COM. Version Deutsch

Der einfache Weg zu Sicherheit

GEZIELT MEHR SICHERHEIT MIT 4I ACCESS SERVER & 4I CONNECT CLIENT

Praktikum IT-Sicherheit

Ist Excel das richtige Tool für FMEA? Steve Murphy, Marc Schaeffers

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler Oktober 2008 Version 1.0.

Softwareupdate-Anleitung // AC Porty L Netzteileinschub

Um DynDNS zu konfigurieren, muss ausschließlich folgendes Menü konfiguriert werden:

Stefan Dahler. 1. Remote ISDN Einwahl. 1.1 Einleitung

Einrichtung einer VPN-Verbindung (PPTP) unter Windows XP

Next-Generation Firewall

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Radware revolutioniert den DDOS Schutz. Markus Spahn: (Sales Manager)

Cisco Security Monitoring, Analysis & Response System (MARS)

Granite Gerhard Pirkl

Sichere Freigabe und Kommunikation

Übung - Konfigurieren einer Windows-XP-Firewall

Lizenzierung von System Center 2012

Stammdaten Auftragserfassung Produktionsbearbeitung Bestellwesen Cloud Computing

FTP-Leitfaden RZ. Benutzerleitfaden

Lexware professional und premium setzen bis einschließlich Version 2012 den Sybase SQL-Datenbankserver

Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren

Mit den neuen Lexis Diligence Funktionen werden Ihre Due Diligence- Überprüfungen jetzt noch effizienter.

Der Begriff Cloud. Eine Spurensuche. Patric Hafner geops

Identity & Access Management in der Cloud

Workflow, Business Process Management, 4.Teil

Outsourcing und Offshoring. Comelio und Offshoring/Outsourcing

Software Defined Networking. und seine Anwendbarkeit für die Steuerung von Videodaten im Internet

Um dies zu tun, öffnen Sie in den Systemeinstellungen das Kontrollfeld "Sharing". Auf dem Bildschirm sollte folgendes Fenster erscheinen:

Wenn Russland kein Gas mehr liefert

Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung

Preisliste für The Unscrambler X

Multimedia und Datenkommunikation

Konfigurationsbeispiel USG

Software zur Anbindung Ihrer Maschinen über Wireless- (GPRS/EDGE) und Breitbandanbindungen (DSL, LAN)

Spotlight 5 Gründe für die Sicherung auf NAS-Geräten

MSXFORUM - Exchange Server 2003 > SMTP Konfiguration von Exchange 2003

Installation mit Lizenz-Server verbinden

Windows Small Business Server (SBS) 2008

Office 365 Partner-Features

Inhaltsverzeichnis. 1. Remote Access mit SSL VPN

Thema: Microsoft Project online Welche Version benötigen Sie?

Datensicherheit. Vorlesung 7: Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

GLASFASERNETZ DATACENTER RHEIN-NECKAR RHEIN-NECKAR-CLOUD MULTIMEDIA. Fixed Line BESCHREIBUNG. carrier ethernet TBFL_PFK_MA_

Parallels Mac Management 3.5

VPN Tracker für Mac OS X

Benutzerbezogene Visualisierung zur Darstellung von Risiken und Angriffen - und nun? Achim Kraus Senior Consultant Palo Alto Networks Inc.

estos UCServer Multiline TAPI Driver

-Hygiene SPAM und Viren in den Briefkästen

EIDAMO Webshop-Lösung - White Paper

Dynamisches VPN mit FW V3.64

Kurzanleitung zur Softwareverteilung von BitDefender Produkten...2

Professionelle Seminare im Bereich MS-Office

2. Kommunikation und Synchronisation von Prozessen 2.2 Kommunikation zwischen Prozessen

Keine Kompromisse. Optimaler Schutz für Desktops und Laptops CLIENT SECURITY

FTP Server unter Windows XP einrichten

Kurzanleitung. MEYTON Aufbau einer Internetverbindung. 1 Von 11

Gefahren aus dem Internet 1 Grundwissen April 2010

Wie macht man einen Web- oder FTP-Server im lokalen Netzwerk für das Internet sichtbar?


CNAME-Record Verknüpfung einer Subdomain mit einer anderen Subdomain. Ein Alias für einen Domainnamen.

Technische Anwendungsbeispiele

Security. Stefan Dahler. 4. Internet Verbindung. 4.1 Einleitung

SQL Server 2008 Standard und Workgroup Edition

Transkript:

F5 White Paper Das neue Data Center Firewall-Paradigma Die zunehmende Ausgereiftheit, Häufigkeit und Vielfalt heutiger Netzangriffe überfordert die konventionellen zustandsabhängigen Sicherheitseinrichtungen an der Peripherie der Datenzentren. Eine neue RZ-Architektur, basierend auf den Firewall-Services von F5 BIG-IP Local Traffic Manager (LTM), bekämpft moderne Angriffe wirkungsvoll und ermöglicht gleichzeitig signifikante Einsparungen bei den Anschaffungskosten (CAPEX-Kosten). Lori MacVittie Senior Technical Marketing Manager David Holmes Senior Technical Marketing Manager 1

Inhalt Einleitung 3 Firewall-Einschränkungen 4 Eine neue Data Center-Architektur 7 Natives Verständnis von Applikationsprotokollen 8 Erweiterter DNS-Schutz 9 Erweiterter Schutz von Webanwendungen 9 WWeb-Zugangsmanagement 10 Kumulative Vorteile 10 Fazit 11 2

White Paper The New Data Center Firewall Paradigm Einleitung In den meisten Unternehmen sind Firewalls für Web- und Anwendungs-Servi ces die erste Verteidigungslinie. Die Firewall ist und war die primäre Grundlage, um die Introduction herum herkömmliche Netzwerkarchitekturen aufgebaut sind. Ein effektiver Schutz wesentlicher Unternehmensdienste wurde vor allem mittels Kontrolle des Zugriffs durch In most oftmals organizations, einfache firewalls aber leistungsfähige are the first Zugangskontrollen line of defense for web bewerkstelligt: and application die Data services. Center The Firewall. firewall is, and has been, the primary foundation around which conventional network security architectures are built. Effective protection of critical Die business konventionelle services has Architektur been accomplished ist gereift, so primarily dass viele by controlling Sicherheitsstandards access via often den Einsatz simple zertifizierter but powerful Firewalls access controls: erfordern. the So data muss center jedes firewall. Data Center, das mit Kreditkartennummern arbeitet, die Auflagen des Payment-Card-Industry (PCI)-Standards The conventional architecture has matured so that many security standards require the erfüllen, die eine Netzwerk-Firewall verlangen. Der De-facto-Standard, auf den deployment of certified firewalls. For example, any data center that processes credit die PCI-Auditoren verweisen, ist die Network Firewall der International Computer card numbers must comply with the Payment Card Industry (PCI) standard, which Security Association (ICSA). Sie definiert eine kurze Liste von Firewalls, die für Kreditkartenzwecke genutzt werden können. Dieses Compliance-Erfordernis unter- requires a network firewall. The de facto standard referenced by PCI auditors is the International Computer Security Association (ICSA) Network Firewall, which defines a streicht die Nutzung einer ausgereiften Data Center Firewall-Architektur. short list of firewalls that can be used for card processing purposes. This compliance requirement reinforces the use of the mature data center firewall architecture. Reife impliziert aber auch Alter, und die Firewall des Data Centers stößt bei der Aufdeckung But maturity und implies Abwehr age, and moderner the data Angriffe center allmählich firewall is an beginning ihre Grenzen. to show Auf its die Anwendungs- limitations in detecting oder Netzwerkebene and repelling gerichtete modern attacks. Angriffe Attacks verursachen targeted Ausfälle at the dieser zustandsabhängigen application or network und layers oftmals are causing teuren failures Firewalls, of these und stateful and die Anzahl solcher often Angriffe expensive firewalls, wächst. and the number of such attacks is growing. Attack-Induced Firewall Failures 100 Number of Respondents (%) 80 60 40 20 0 42% 58% Network Layer 36% 64% Application Layer Reported a failure due to attack Did not report a failure Abbildung 1: Im Rahmen einer Applied Research Studie im Jahr 2011 gab eine signifikante Figure 1: In 2011, significant numbers of respondents to an Applied Research survey Zahl experienced von Befragten a stateful an, einen firewall durch failure Angriffe due to auf an der application Anwendungs- or network oder Netzebene layer attack verursachten Ausfall einer Stateful Firewall erlebt zu haben. 1. 1 1 Applied Research 2011 ADC Security Study 1 Applied Research 2011 ADC Security Study 3 3

Diese Firewall-Ausfälle sind besonders in Anbetracht der Umstände beunruhigend, die die Angriffe ermöglichen. Während die Angriffe von Anonymus und LulzSec genau gezielt waren und eine Vorplanung seitens der Angreifer erforderten, trifft dies auf meisten heutigen Attacken nicht zu - dank der Schaffung eines riesigen Pools von Ressourcen, derer sich die Angreifer bedienen können, um ihre gewählten Ziele zu überwältigen. Die fehlende gesetzliche Aufsicht in aufstrebenden Technologie-Mächten, wie China und Indien, hat die Einrichtung massiver Botnetze ermöglicht, die innerhalb eines Augenblicks gepachtet werden können. Bis Nationen und Organisationen einen Konsens zur Schaffung eines rechtlichen Rahmens zur Deaktivierung dieser Netze erreichen, werden Missetäter weiterhin auf sie zugreifen, um weitere Attacken auszuführen. Diese zunehmend vielfältigen Angriffe, die mehrere Ebenen des Protokoll-Stacks umfassen, verursachen Firewall-Ausfälle von alarmierender Häufigkeit. Infolgedessen reichen traditionelle Firewall-Dienste allein nicht aus, um Angriffe zu erkennen und Betriebsstörungen zu verhindern. Zusätzlich muss man auf der Anwendungsebene Funktionen einsetzen, um Angriffe zu stoppen, die Protokolle und Verhaltensweisen auf der Anwendungsebene ausnutzen. Firewall-Einschränkungen Die Auswahl von Data Center Firewalls erfolgte traditionell auf Basis von Zertifizierung, Kosten und Leistung. Zertifizierungskriterien können spezielle Firewalls für Compliance voraussetzen und schränken somit die Zahl zur Auswahl stehender Geräte ein. Diese werden von den Einkäufern im Unternehmen nun nach den beiden verbleibenden Aspekten bewertet: Preis und Leistung. Eine Neubewertung dieser Parameter legt jedoch ein neues Paradigma nahe. Firewalls werden nach Datendurchsatz bewertet zum Beispiel 1 Gbps oder 4 Gbps. Dies macht es einfach, einen Kauf an der Größe der Datenleitung festzumachen. Der Massendurchsatz ist jedoch nicht das, was wirklich zählt. Bei einem verteilten Denial-of-Service (DDoS)-Angriff spielt nicht der Massendurchsatz eine Rolle, sondern es geht darum, wie das Gerät gleichzeitige Verbindungen und Verbindungen pro Sekunde verarbeiten kann. So verspricht beispielsweise eine herkömmliche 50.000-USD-Firewall einen Durchsatz von 10 Gbps. Das sollte für einen kleinen bis mittelgroßen Angriff reichen. Aber diese Klasse von Firewalls kann nur mit 1 bis 2 Millionen gleichzeitigen Verbindungen umgehen. Es ist kein Geheimnis, dass die WikiLeaks-Angreifer von 2010 mit nur einem einzigen Botnet ohne Schwierigkeiten mehr als 2 Millionen gleichzeitige Verbindungen erzeugen konnten und damit Firewalls überall in den Vereinigten Staaten außer Gefecht 4

White Paper setzten. Eine herkömmliche Firewall der nächsthöheren Leistungsstufe gleichzeitiger Verbindungen (4 bis 10 Millionen Verbindungen pro Sekunde) erfordert einen The New Data Center Firewall Paradigm Schritt die Preisleiter hinauf in den Bereich von 100.000 bis 150.000 USD. Bei den Verbindungen pro Sekunde sieht es ähnlich aus. Wenn eine herkömmliche Firewall eine Stateful-Inspektion durchführt, verursacht dies Performance-Einbußen für jede eingerichtete TCP-Sitzung. Das begrenzt die Leistungen der Firewall The für eingehende story is the same Verbindungen. for connections In der per 50.000-USD-Preisklasse second. When a conventional kann eine firewall typische performs konventionelle stateful Firewall inspection, 50.000 it incurs bis 100.000 a performance neue Verbindungen penalty for pro each Sekunde TCP session verarbeiten. up. This limits the performance of the firewall for incoming connections. In the set $50,000 price bracket, a typical conventional firewall can handle 50 to 100,000 new connections Die Angreifer per kennen second. diese Grenzen von Firewalls, und moderne Attacken sind so konzipiert, dass sie dies ausnutzen. Die daraus resultierenden Firewall-Ausfälle Attackers sind leider are keine aware Seltenheit, of these wie firewall Analysten limitations, hingewiesen and modern haben. attacks Tatsächlich are designed mögen to sie exploit der Grund them. dafür The sein, resulting dass firewall nur 8 Prozent failures der are Befragten not uncommon, in einer unfortunately, Umfrage im as September industry analysts 2011 angaben, have noted. dass Indeed, ihrer Meinung these failures nach traditionelle may be the Sicherheitsmaßnahmen percent wie of respondents Firewalls ausreichen, in a September um eine 2011 Netzwerksicherheit security survey 2 indicated zu gewährleisten. that reason a mere 8 traditional Dies hat zur secure Folge, measures dass Data such Center-Firewalls as firewalls were entfernt sufficient oder, to häufiger, provide einfach network security abgeschrieben 2. Consequently, anstatt aktualisiert data center werden. firewalls are being removed or, more often, simply depreciated instead of being refreshed. Layers 1-7 Modern Threat Spectrum Modern Threat Mitigation Application XXS, SQL injection, data leaks, spam Presentation SSL, XML encryption, images Application Attacks OWASP Top 10 Session Transport Network Sockets, RPC, NetBIOS auth., SNMP SYN/ACK attacks, port scans, MitM Port filters, IP frag, spoofing, smurfs DDoS? Application DDoS Mitigation Network DDoS Mitigation Data Link VLANs, ARP poisoning Network Attacks Base Firewall Services Physical Management interface segmentation Figure Abbildung 2: Modern 2: Moderne threat Techniken mitigation zur techniques Abwehr von fail Bedrohungen to completely schaffen address es all nicht, threats, alle Gefahren zu blocken, those insbesondere aimed at DDoS. nicht die auf DDoS particularly ausgerichteten. Another limitation of the conventional firewall deployment architecture is its ability to handle the breadth of today s threat spectrum, which encompasses the entire 2 network Applied Research and application 2011 ADC Security ecosystem. Study Solutions intended to mitigate these wideranging threats have traditionally been deployed separately, with specific technology to address attacks in logical groupings, such as application, network, and DDoS attacks. These disconnected solutions from multiple vendors increase overall 5

With version 11.1, F5 BIG-IP Local Traffic Manager (LTM) achieves ICSA network White Paper Eine weitere Einschränkung der Architektur herkömmlicher Firewalls ist die Fähigkeit, White die Paper Bandbreite des heutigen Bedrohungsspektrums zu bewältigen, die das The New Data Center Firewall Paradigm gesamte Netz- und Anwendungs-Ökosystem umfasst. Lösungen, die diese vielfältigen Bedrohungen entschärfen sollten, wurden traditionell getrennt eingebunden, mit einer spezifischen Technologie zur Abwehr von Angriffen auf logische Gruppierungen, wie Anwendungen, Netzwerk und DDoS-Attacken. Diese getrennten Lösungen von mehreren Anbietern erhöhen insgesamt die Management-Komplexität und verursachen natürlich erhebliche Investitions- und Betriebskosten. Wenn management die Kunden complexity die Peripherie and, of eines course, modernen incur significant Data Centers capital betrachten, and operational fragen sie expenditures. sich, wieso sie überhaupt noch für eine konventionelle Firewall zahlen sollen, die wenig mehr kann, als Datenverkehr über Port 80 zu leiten, die Latenz zu erhöhen, Kosten verursachen und Angriffsmöglichkeiten bieten. Flexible Unternehmen, When considering the edge of the modern data center, customers are questioning paying any price for a conventional firewall that does little more than pass traffic insbesondere Startups und Sites ohne PCI-Anforderungen konnten einige Zeit through port 80, add latency, and incur expense and exposure. Nimble firms, ohne konventionelle Firewall funktionieren. Unternehmen, die auf Web 2.0 und especially startups and those sites without PCI requirements, have been able to run andere Data Center-Transaktionen angewiesen sind, profitieren zunehmend von without conventional firewalls for some time. Companies reliant on Web 2.0 and einer neuen Data Center-Architektur, an deren Front eine integrierte Sicherheitslösung steht. other data center transactions increasingly benefit from a new data center architecture fronted by an integrated security device. Abbildung Figure 3: Connection 3: Die Kapazität capacity, der both Verbindungen maximum (sowohl and per maximal second, als underlies auch pro the Sekunde), most important liegt den new wichtigsten firewall performance neuen Firewall-Leistungsmetriken metrics. zugrunde. A New Data Center Architecture The F5 Networks approach to the firewall problem converges security services into a single set of Application Delivery Controllers (ADCs) at the edge of the data center. 6

White Paper The New Data Center Firewall Paradigm Eine neue Data Center-Architektur Der Ansatz von F5 Networks für das Firewall-Problem führt Sicherheits-Dienste in Security Manager (ASM) can be placed strategically at the edge of the data center einem einzigen Set von Application Delivery Controllern (ADCs) an der Peripherie while still maintaining a proper security posture and compliance for the organization. des Data Centers zusammen. The significance of this change becomes apparent in light of current changes to the Mit well-known der Version firewall 11.1 verfügt sandwich der F5 architecture. BIG-IP Local In the Traffic old sandwich Manager architecture, (LTM) über die ICSA conventional Netzwerk-Firewall-Zertifizierung. firewalls were required, but Diese due wichtige to their Zertifizierung limited capacity, bedeutet, they would dass zum have ersten to be deployed Mal BIG-IP in LTM, parallel BIG-IP with a Global set of Traffic BIG-IP Manager LTM devices (GTM), to load und balance BIG- IP incoming Application connections. Security The Manager traffic that (ASM) passed strategisch through an the der firewalls Peripherie would des be Data sent Centers back to the platziert same werden BIG-IP LTM können, devices und (or das a second unter Beibehaltung set, thus the eines sandwich korrekten metaphor) Sicherheitsstatus for proper application und der delivery Compliance control. für Now das that Unternehmen. BIG-IP LTM itself has an ICSA certification, the parallel firewalls (the meat of the sandwich) can be depreciated Die and Bedeutung eliminated, dieser substantially Änderung reducing wird vor the dem number Hintergrund of devices der but aktuellen providing Änderungen overall capacity, an der bekannten compliance, Firewall-Sandwich -Architektur and protection from attack. deutlich. In der alten the same Sandwich-Architektur waren konventionelle Firewalls erforderlich, aber aufgrund BIG-IP LTM makes this architecture possible because of its native firewall services, ihrer begrenzten Kapazität müssten sie parallel zu einem Set von BIG-IP LTMwhich can provide network-layer protection with a much higher connection capacity Geräten implementiert werden, um die Last der eingehenden Verbindungen zu than traditional firewalls. BIG-IP LTM can handle up to 48 million connections, verteilen. Der die Firewalls passierende Datenverkehr würde für eine korrekte Steuerung der Applikationsbereitstellung wieder zu den gleichen BIG-IP LTM-Geräten managing them with various timeout behaviors, buffer sizes, and other securityfocused options when under attack. This capacity enables BIG-IP LTM to manage (oder eines zweiten Sets, daher die Sandwich-Metapher) zurückgesendet werden. the volume of a traffic onslaught while performing the port and IP-based access Nun, da BIG-IP LTM selbst über eine ICSA-Zertifizierung verfügt, können parallele control services typically provided by a stateful firewall. Firewalls (das Fleisch im Sandwich) abgewertet und eliminiert werden. Dadurch New Data Center Security Architecture Cloud/Service Providers LAYERS 2-3 LAYERS 4-7 SERVERS STORAGE VIPRION Branch Office Switches Application Delivery Controllers Physical NAS SAN Clients BIG-IP LTM Firewall APP APP APP OS OS OS HYPERVISOR Routers WAN Optimization Controllers Virtual Windows File Storage SECURITY Remote Access SSL VPN App Firewall Abbildung 4: An die Stelle von Stateful Firewall-Services tritt in der neuen Figure 4: The new paradigm replaces stateful firewall services with BIG-IP LTM in the data Data Center Architektur BIG-IP LTM. center architecture. 7 7

sinkt die Gerätezahl deutlich, während Gesamtkapazität, Compliance und Schutz vor Angriffen erhalten bleiben. BIG-IP LTM macht diese Architektur aufgrund seiner nativen Firewall-Dienste möglich. Sie bieten einen Schutz der Netzwerkebene mit wesentlich höherer Kapazität als traditionelle Firewalls es können. BIG-IP LTM kann bis zu 48 Millionen Anschlüsse bedienen und verwaltet sie bei einem Angriff mit unterschiedlichem Timeout- Verhalten, Puffergrößen und anderen sicherheitsfokussierten Optionen. Diese Fähigkeit ermöglicht es BIG-IP LTM, mit dem Volumen eines Datenansturms fertig zu werden, während Port und IP-basierte Zugriffs-Kontrolldienste so laufen, wie sie typischerweise von einer zustandsorientierten Firewall bereitgestellt werden. Natives Verständnis von Applikationsprotokollen Darüber hinaus kann BIG-IP LTM dabei helfen, Angriffe zu blocken, die Protokolle und Verhaltensweisen auf Anwendungsebene auszunutzen versuchen. Da BIG-IP LTM Anwendungsprotokolle versteht, kann es nicht nur auf Spezifikationen und Standards, sondern auf Verhalten reagieren. BIG-IP LTM dekodiert IPv4, IPv6, TCP, HTTP, SIP, DNS, SMTP, FTP, Diameter- und RADIUS-Kommunikationen und ermöglicht eine differenziertere Analyse, die auf dem Protokoll sowie auf Nutzdaten basiert. Damit kann BIG-IP LTM Anomalien entdecken, die einen laufenden Angriff anzeigen, und geeignete Gegenmaßnahmen einleiten. So kann BIG-IP LTM die Zahl der Layer-7-Verbindungen pro Sekunde und Client erkennen und verschiedene geschwindigkeitsbegrenzende Schemata durchsetzen, die sich bei der Abschwächung von Layer-7-Angriffen bewährt haben. Dieses native Protokollverständnis überwacht auch, ob die Protokolle den Anforderungen entsprechen. Das hilft dabei, Angriffe auf Sicherheitslücken, die durch eine laxe Auslegung des Protokolls entstehen, einzudämmen. Die Kombination aus Einhaltung der Protokollanforderungen und F5 Full-Proxy-Architektur ergibt eine einzigartige DDoS-Eindämmungslösung. Der native Aspekt der Durchsetzung der Protokoll-Compliance ist sehr wichtig. Die programmatische Fähigkeit der F5 irules -Skriptsprache ist ein flexibles Mittel, um Protokollfunktionen bei Standard-, neuen oder benutzerspezifischen Protokollen gleichermaßen durchzusetzen. Mit irules lässt sich BIG-IP LTM dazu einsetzen, die Protokoll-Einhaltung durchzusetzen und Durchsatzbegrenzungen, Response Injection sowie die Steuerung des Datenflusses und verwandte Aktionen durchzuführen. Sicherheitsteams stellen fest, dass die Flexibilität von irules es ihnen ermöglicht, ein breites Spektrum von Sicherheitslösungen zu entschärfen: Ein Anwendungs-Proxy-Gateway ist ein Merkmal fortschrittlicher Firewalls, das Lower-Layer-Zugangskontrolle mit Upper-Layer-Funktionalität verbindet. Diese Firewalls enthalten einen Proxy-Agenten, der als Vermittler zwischen zwei Hosts agiert, die miteinander kommunizieren möchten, und niemals eine direkte Verbindung zwischen ihnen erlaubt. (NIST, Leitlinien für Firewalls und Firewall-Richtlinien ) 8

Mittels irules kann BIG-IP LTM dabei helfen, ein Fingerprint-Cloaking-Profil für Anwendungsserver zu erstellen, indem es Server und OS-Header verschleiert und ausgehende HTTP-Antworten (wie 301, 401, und 501-Fehler) neu schreibt. Bei der Transport-Layer-Sicherheit kann irules tief in den SSL/TLS Protokoll- Stapel reichen und Protokoll-Angriffe wie die im Jahr 2010 aufgetretene SSL- Renegotiation-Schwachstelle abzuwehren, bei der ein einzelnes Gerät einen sicheren Server angreifen konnte. Mit irules können Organisationen schnell auf Sicherheitslücken von Awendungen reagieren, für die noch kein Patch freigegeben wurde. Schadensbegrenzende irules lassen sich direkt intern entwickeln und aus der globalen F5 DevCentral -Community beschaffen. Oder sie werden sogar von der F5 Produktentwicklung veröffentlicht. Die Apache Killer-Schwachstelle 3 wurde beispielsweise von einer irule des F5-Sicherheitsteams bereits Wochen vor der Veröffentlichung einer offiziellen Lösung durch die Apache Server Foundation behoben. Erweiterter DNS-Schutz Für einen erweiterten DNS-Schutz über den nativen Schutz durch Version 11.1 von BIG-IP LTM hinaus ergänzt BIG-IP GTM einen irules-support. So wird der native Schutz von Datenfluss und Compliance-Schutz für das DNS-Protokoll verstärkt. BIG-IP GTM unterstützte als erster kommerzieller Global-Trafic-Manager DNSSEC (Domain Name System Security Extensions). So bot er Schutz vor Cache-Poisoning und Man-in-the-Middle-Angriffen. Hinzu kommt die DNS Express -Funktion von BIG-IP GTM zum Schutz lebenswichtiger DNS-Dienste vor Denial-of-Service (DoS)- Angriffen. Erweiterter Schutz von Webanwendungen Für erweiterte Sicherheit bei Web-Anwendungen bietet das integrierte BIG-IP ASM-Modul Web-Anwendungs-Firewall (WAF)-Dienste zum Schutz individueller Anwendungen gegen die Top-10-Angriffe des Open Web Application Security Project (OWASP), wie Cross-Site Scripting (XSS), Cross-Site-Request.Forgery (CSRF) 3 F5 Friday: Zero-Day Apache Exploit? Zero-Problem 9

und SQL-Einschleusungen. BIG-IP ASM ist die einzige Web-Anwendungs-Firewall mit einem Lernmodus, der sie dazu befähigt, die normalen Eingabeparameter einer Anwendung zu erkennen und Angriffe abzuwehren, die nicht in das normale Datenflussmuster passen. BIG-IP ASM erfüllt außerdem die kritische WAF-Anforderung in der PCI 2.0-Spezifikation. Web-Zugangsmanagement BIG-IP Access Policy Manager (APM) ist die letzte Komponente des neuen Firewall-Paradigmas für Data Center. Viele Webanwendungen müssen den Zugriff bestimmter Benutzer begrenzen, BIG-IP APM unterstützt diese Anforderung durch Multi-Faktor-Authentifizierung, Autorisierung und Single-Sign-On (SSO)-Dienste. Die dynamische Zugriffskontrolle in das Data Center wird durch die Nutzung von Level 4- und Level 7 Zugriffskontrolllisten (ACLs) durchgesetzt, die aus Kontext- Informationen wie Benutzer-Identität, Endpunktinspektions-Ergebnissen, Geolokalisation und beliebigen Attributen eines Verzeichnisspeichers gewonnen werden. BIG-IP APM leistet Hervorragendes durch die Durchsetzung von ACLs zu Weiterleitungsgeschwindigkeiten von bis zu 72 Gbps. Es unterstützt so Tausende Logins pro Sekunde und kann bis zu 100.000 gleichzeitige Benutzer auf einer einzigen Plattform bedienen. Kumulative Vorteile Der kumulative Effekt dieser Vorteile (Leistung, Protokoll-Compliance, Full-Proxy- Architektur, Zugriffskontrolle und irules-flexibilität) bedeutet, die Gesamtbedrohung sinkt. Weniger Geräte mit hoher Kapazität zu besitzen, heißt weniger Konfigurationen und letztlich weniger Schlachten, die bei einem Angriff auszutragen sind. IT-Mitarbeiter können ihre Verteidigung auf einen einzelnen Kontrollpunkt konzentrieren, anstatt den bekannten Reboot-Tanz aufzuführen, wenn unterschiedliche Geräte über den gesamten Sicherheitsstapel hinweg versagen. Diese verringerte Bedrohung trägt dazu bei, die Bandbreite des heutigen Bedrohungsspektrums zu entschärfen, das nicht nur die traditionellen Netzwerkangriffe, sondern auch komplexe DDoS-Attacken und Layer 7-. Anfälligkeiten umfasst. Ein Konzept mit Produkten von F5 konsolidiert die Sicherheitsdienste für eine bessere Verteidigung gegen alle drei Angriffsarten (Netzwerk, DDoS und Anwendungen) innerhalb einer Full-Proxy-Architektur. Das kann keine herkömmliche Statefull- Firewall bieten. 10

Fazit Stateful-Firewalls waren in den letzten 25 Jahren das Herzstück der Sicherheit an der Peripherie der Rechenzentren. Aber in den auf konventionellen Firewalls basierenden Architekturen entstehen Risse: Die Angreifer nutzen neue Techniken und globale Botnetze, um das, was einst ein Schutzschild war, in eine Anfälligkeit zu verwandeln, und zwar genau dann, wenn dieses Schild am meisten benötigt wird. Das Bedrohungsspektrum hat sich mit der Zeit merklich verändert. Herkömmliche Firewalls können einfache Netzwerkangriffe eindämmen, und sogenannte Next Generation Firewalls können die nach außen sichtbaren Schwachstellen der Unternehmens-Rechenzentren abdecken. Aber nur eine neue Firewall-Architektur für Datenzentren, die auf F5-Produkten beruht und über Full-Proxy-ADCs mit hoher Anschluss-Kapazität an der Peripherie des Netzwerks verfügt, kann eine auf Standards basierende Compliance sicherstellen, während die Investitionskosten durch den Wegfall von Firewall-Geräten und -Upgrades fallen und andere Data- Center-Ressourcen maximiert werden. Agile Unternehmen konvergieren Sicherheitsdienste, um die drei primären Vektoren des Bedrohungsspektrums in modernen Datenzentren zu meistern: 1. Herkömmliche Netzwerk-Angriffe 2. Komplexe DDoS-Angriffe auf HTTP und DNS 3. Schwachstellen auf Anwendungsebene Das neue Data-Center-Firewall-Paradigma spricht jeden dieser Vektoren mit einer vollständigen, integrierten Lösung an. Die Verwaltung des Datenverkehrs und die Netzwerk-Firewall-Services werden von BIG-IP LTM gesteuert. Setzen Sie BIG-IP GTM zur Implementierung von DNSSEC und DNS-Express ein, die lebenswichtige DNS-Dienste vor DoS- und Hijacking-Angriffen schützen. Nutzen Sie BIG-IP ASM, um Firewall-Services für Web-Anwendungen gegen die OWASP-Top 10 zu ermöglichen. Komplettieren Sie Ihre Lösung mit BIG-IP APM, um ein gesichertes Webzugriffs-Management und SSO für Anwendungen bereitzustellen. BIG-IP LTM wird so zu einer modernen Abwehrplattform gegen Bedrohungen, die umfassenden Schutz des Netzwerkstapels von unten bis nach oben bietet. 11

White Paper The New Data Center Firewall Paradigm Mit einer auf F5 Produkte zentrierten Sicherheitslösung können Organisationen eine platform ganzheitliche, that provides skalierbare complete Sicherheitsstrategie protection from the implementieren, bottom to the die top die of the aktuell network stack. schwierigsten Angriffe eindämmen kann und dabei flexibel genug bleibt, um die zu meistern, A security die solution zweifellos centered in der on Zukunft F5 products auftreten enables werden. organizations to implement a holistic, scalable security strategy capable of mitigating today s most challenging attacks while remaining flexible enough to address those that will undoubtedly appear tomorrow. F5 Networks, Inc. 401 Elliott Avenue West, Seattle, WA 98119 888-882-4447 www.f5.com F5 Networks, Inc. Corporate Headquarters info@f5.com F5 Networks Asia-Pacific apacinfo@f5.com F5 Networks Ltd. Europe/Middle-East/Africa emeainfo@f5.com F5 Networks Japan K.K. f5j-info@f5.com 2012 F5 Networks, Inc. All rights reserved. F5, F5 Networks, the F5 logo, and IT agility. Your way., are trademarks of F5 Networks, Inc. in the U.S. and in certain other countries. Other F5 trademarks are identified at f5.com. Any other products, services, or company names referenced herein may be trademarks of their respective owners with no endorsement or affiliation, express or implied, claimed by F5. CS01-00072 0112 12

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback