Kako i sam naslov kaže, današnji cilj nam je da demistifikujemo još jedan od brandova iz portfolia kompanije Veracomp.
Veracomp, sada deo Exclusive Networks grupe, ekskluzivni je distributer za F5 brend kako u Srbiji, tako i u regionu.
Neminovno je da ste za ovaj proizvod već čuli, ali iskustveno gledajući do sada retko ko da je imao celokupnu sliku. Primarna asocijacija svima je load-balancer. Ne možemo reći da ovo nije tačno jer je F5 upravo od ovoga i počeo.
Ali da krenemo redom. Prva i najbitnija stvar, bez obzira na modul, je da Big IP počiva na full-proxy arhitekturi. Šta ovo tačno znači?
Klijentske konekcije nikada ne stižu direktno do štićenog servera. BigIP prihvata konekciju klijenta, a onda nezavisno otvara konekciju ka serveru. Evo grafičkog prikaza:
Benefiti ovakvog pristupa su višestruki, a ključni su svakako:
- Optimizacija „client side“ saobraćaja nezavisno od optimizacije „server side“ saobraćaja
- SSL terminacija (serveri ne moraju da imaju instalirane SSL sertifikate da bi saobraćaj bio enkriptovan)
- Protocol gateway – Na spoljnoj strani moguće je forsirati HTTP /2 dok je ka serverima moguće koristiti HTTP/1
- Uticaj na saobraćaj putem iRule-ova (skripte koje mogu u skoro svakom smislu uticati na saobraćaj koji prelazi preko F5 – rutiranje, inspekcija, modifikacija…)
Osim ovog, BigIP podržava i sledeće proxy modove:
- Performance L4 Service (packet by packet proxy). Flow mode procesiranja saobraćaja. Proxy minimalno interferira sa saobraćajem, jer pakete mapira za flow-ove naučene prilikom handshake-a, te se proxy-ra samo ovaj handshake, dok ostatak komunikacije ide direktno na relaciji klijent-server.
- IP Forwarding Virtual Service (Router) – Routing odluke se donose na osnovu routing tabele. Podržava NAT.
- L2 Forwarding Virtual Service – Bridging 2 koliziona domena.
Nećemo previše u tehničke detalje, stoga idemo na sledeću, već pomenutu funkcionalnost – Load Balancing.
U moru rešenja na ovu temu, F5 je izgradio svoju početnu reputaciju upravo na ovoj funkcionalnosti. Fleksibilnost u modovima balansiranja saobraćaja je još uvek neprikosnovena.
Napravićemo kratak pregled svih opcija:
- Round Robin – opšte je poznati mehanizam
- Ratio – definiše se odnos (razmera) konekcija 2:1, 3:2:1 itd… Dakle, distribucija konekcija ide preko proporcije koju je korisnik definisao. Ovde se često spominje snaga servera kao kriterijum, ali u realnosti jači server može biti „zagušen“ nekim intenzivnijim zahtevom, a ovaj metod će i dalje raspoređivati konekcije prema proporciji. Ovakav vid balansiranja ima smisla najviše u situaciji gde su korisnici na mrežnom nivou ograničeni brzinom portova/uplinka, mada ni ovo nije pravilo.
- Dynamic ratio – U ovom modu balansiranja F5 dinamički proverava status opterećenosti svakog node-a u Load Balancing grupi. Na osnovu odgovora kreira „weight“ atribut koji je kriterijum za distribuciju sledećih konekcija. Ovaj metod koristi ili agenta ili SNMP protokol radi pribavljanja metrike o CPU, Memory i Disk.
- Fastest – Big IP za svakog člana pool-a pravi listu zahteva. Za svaki zahtev dodaje +1 a za svaki odgovor smanjuje -1 vrednost broja konekcija. Ovom metodom dosta dobro se planira odziv, jer ukoliko su serveri na različitim lokacijama, server koji ima lošiji odziv će sigurno imati veću vrednost broja konekcija, jer mu više vremena treba da odgovori. Svaki naredni zahtev ide na server sa nižom vrednošću.
- Observed – Big IP posmatra broj aktivnih L4 konekcija i svake sekunde pravi snimak (snapshot). Za server sa najmanjim brojem konekcija će povećavati udeo, dok će za najopterećeniji smanjivati. Ovaj metod se ne preporučuje u slučajevima velikih pool-ova.
- Predictive ili Observed over time – Identična priča kao za prethodni primer, s tim da u obzir uzima prethodni period, pravi poređenje i pokušava da predvidi trend opterećenja servera.
- Least connections – Big IP prosleđuje konekciju na server koji ima najmanje aktivnih konekcija.
- Weighted Least Connections – Identično kao prethodno, s tim da je moguće definisati weight za svaki server. Konekcije se raspoređuju na server sa najmanje konekcija ali se u obzir uzima i ovaj atribut
- Least Sessions – Big IP isporučuje konekcije ka serveru koji ima najmanje konekcija u „persistance“ tabeli.
- Ratio Least Connections – Ista stvar kao prethodno, s tim da se definiše odnos (razmera) broja konekcija po serveru.
Sa ovim završavamo priču oko opšte poznatih stvari. Sada da pređemo na module koje F5 izvrsno radi, a da nisu prva asocijacija.
Web Application Firewall
Sam WAF termin je postao poprilično popularan u poslednjih par godina, pa nećemo mnogo objašnjavati ovaj koncept. Ono što je zanimljivo, kada je reč o Big IP, jeste da zahvaljujući full proxy arhiktekturi, web aplikacija korisnika se praktično i ne izlaže direktno internetu. Virtuelni server (VS) je u stvari jedina tačka koja je vidljiva javno. Sama aplikacija ne. Dakle, koji OS, server, verzija, stack i sve ostalo (što je od interesa prilikom početne faze hakovanja) je prosto nedostupno. Fingerprint pokazuje da je meta F5. Ovo dosta komplikuje život hakeru, te odabir samog exploita nije tako jednostavan kao kod direktno izloženih sistema. Sledeća fina stvar je zaštita od zloupotreba. Granularnost i sveobuhvatnost su glavni aduti u ovoj priči. Ovo ne znači da je i administracija komplikovana. F5 WAF je sposoban da uči, i to tako što je dovoljno definisati jednu IP adresu kojoj se veruje i sam WAF će naučiti kakvo je očekivano ponašanje korisnika na osnovu toga. Zanimljivo je da je moguće sprečiti bot napade, zabraniti ilegalne stringove u zahtevima, sprečiti SQL injection, brute force napade (uključujući credentials stuffing), DoS napade (BigIP ume da napravi razliku između skoro svih vrsta neorganskog saobraćaja)… DataSafe je posebno interesantna komponenta koja ima primarni fokus sprečavanja Man-in-the-Browser napada. Ukratko, ovaj modul je moguće usmeriti da sa login strane brani polja za unos kredencijala (ili bilo kog drugog bitnog user-input polja), i Big-IP prema odabranom tipu zaštite sprečava čitanje podataka iz browsera tako što ih enkriptuje ili menja na 2 različita načina. Takođe, moguće je podestiti „mamce“ koje će BigIP dodavati u odgovor, a koji imaju ulogu odvlačenja pažnje sa ključnih podataka.
Ovo ne zahteva ekspertizu administratora, jer sam uređaj ima predefinisane polise. Dodatna funkcionalnost je integracija sa velikim brojem security scanner-a, kao što su WhiteHat Sentinel, IBM i Qualis. Ovo omogućava praktično instant zaštitu, jer je na samom virtuelnom serveru moguće odraditi „virtual patching“, gde će se rizike prepoznate skeniranjem zatvoriti, a onda bez pritiska odraditi patching infrastrukture. Ovim se bukvalno oslobađaju Dev/DevOps timovi pritiska, koji se mogu potpuno posvetiti rešavanju prepoznatih problema a da se ne ostavlja mogućnost/rizik kompromitovanja sistema.
Sam WAF na F5 ima više različitih software-skih modela, kao i licenciranja, te se savršeno uklapa sa svim topologijama i veličinama aplikacija koje brani. Ovo je mali deo mogućnosti samog WAF modula.
Access Policy Manager
Savremeni trendovi podrazumevaju svakodnevno korišćenje aplikacija. I on-prem i cloud lociranih. Upravo ove aplikacije su put do kritično bitnih informacija kompanijama i njihovim klijentima. Neovlašćen pristup ili gubitak informacija znači gubitak poverenja, prekid poslovanja i na kraju zakonsku odgovornost. Ukoliko je kompaniji važno da sa jednog mesta upravlja autentifikacijom, pravima pristupa ka svim resursima na bezbedan način ma gde oni počivali, APM je rešenje koje ovo i obezbeđuje.
Osnovna namena ovog modula je upravljanje pravima pristupa, ali sa granularnošću do te mere da je moguće pravila definisati na nivou endpoint-a i usklađenošću sa security polisom (OS, AV, rooted, firewall, registry, process…). Limita za integraciju skoro i da nema, jer su podržani skoro svi federation modeli bilo on-prem bilo cloud okruženja (podržava i SaaS servise). Integracija sa MFA, IDaaS i IAM servisima svih vodećih vendora je u potpunosti podržana. Ukoliko se u infrastrukturi ima više različitih rešenja, a potrebna je jedna tačka federacije među njima, APM je idealno rešenje i toj kombinaciji.
Druga bitna stavka je bezbedan pristup do resursa. SSL VPN tehnologija se naslanja na prethodnu funkcionalnost, te i sam pristup se detaljno može limitirati. Čak i na nivou aplikacije. BigIP Access/ ex-Edge client podržan je na svim operativnim sistemima (Apple MacOS i iOS, Microsoft Windows, Linux platforme, Google Android i Chromebook). Specifičnost ovog VPN klijenta je podrška Datagram Transport Layer Security moda, koji obezbeđuje i tuneluje aplikacije koje su osetljive na delay.
Portal Access (WebTop) – je u stvari portal na kom se oglašavaju interne aplikacije koje postaju dostupne kroz web browser. Npr, moguće je objaviti Remote Desktop servis, koji će raditi kroz browser koristeći integrisani java client.
Zanimljiv pod-modul APM-a je Secure Web Gateway. Dok se svi prethodni moduli bave kontrolom pristupa resursa kompanije, veoma je bitno voditi računa sa kim ti resursi komuniciraju. SWG je upravo ta karika koja nedostaje. Na već definisane Access Polise, dodajemo još jedan sloj sigurnosti i to baš u odlaznom smeru. Kontrolišu se i prepoznaju malwari, radi se SSL dekripcija, URL kategorizacija i sve to praćeno putem integrisanih izveštaja. Dakle, umesto da se u infrastrukturu dodaje još nekoliko specijalizovanih uređaja, na ovaj način se praktično centralizuje kompletan security pod jedno rešenje.
Da nastavimo u ovom stilu, sledeći modul koji upoznajemo je Advanced Firewall Manager ili AFM. Statefull firewall koji je dizaniran za data center, sa primarnim fokusom na same aplikacije.
Zaštita od network-level napada, i to tako što prati sesije i za razliku od drugih rešenja ih i razume, daje odlične rezultate oslanjajući se na preko 100 definicija napada. Jedan je od retkih koji može da prepozna anomalije u samom protokolu. Idealno se uklapa sa F5 IP Intelligence Services pretplatom, čime se dobija mogućnost kreiranja Access List-i koje sadrže up-to-date informacije o rating-u i klasifikaciji internet entiteta (BotNet, Phishing, DoS, Scanner kategorije). Ovaj modul takođe ima svoj reporting.
I za kraj da rezimiramo, centralizovanost i skalabilnost ovakve platforme je ključna prednost u odnosu na sva već viđena rešenja na tržištu, a opet, fleksibilnost i kooperativnost sa drugim vendorima kompanije ne ograničava ekskluzivno na korišćenje samo F5 BigIP.
Za više informacija posetite sajt kompanije Veracomp.