Blog

Modularnost f5 Big IP

Kako i sam naslov kaže, današnji cilj nam je da demistifikujemo jedan od brandova iz našeg portfolia. Neminovno je da ste za ovaj proizvod već čuli, ali iskustveno gledajući do sada retko ko da je imao celokupnu sliku. Primarna asocijacija svima je load-balancer. Ne možemo reći da ovo nije tačno jer je f5 upravo od ovoga i počeo.

Ali da krenemo redom. Prva i najbitnija stvar, bez obzira na modul, je da Big IP počiva na full-proxy arhitekturi. Šta ovo tačno znači?

Pa klijentske konekcije nikada ne stižu direktno do štićenog servera. BigIP prihvata konekciju klijenta, a onda nezavisno otvara konekciju ka serveru. Evo grafičkog prikaza:

Full Proxy

 

Benefiti ovakvog pristupa su višestruki, a neki ključni su:

  • Optimizacija „client side“ saobraćaja nezavisno od optimizacije „server side“ saobraćaja
  • SSL terminacija (serveri ne moraju da imaju instalirane SSL sertifikate da bi saobraćaj bio enkriptovan)
  • Protocol gateway – Na spoljnoj strani možete forsirati HTTP /2 dok ka serverima možete koristiti HTTP/1
  • Uticaj na saobraćaj putem iRule-ova (skripte koje mogu u skoro svakom smislu uticati na saobraćaj koji prelazi preko f5 – rutiranje,inspekcija,modifikacija….)

Osim ovog, BigIP podržava i sledeće proxy modove:

  • Performance L4 Service (packet by packet proxy). Flow mode procesiranja saobraćaja. Proxy minimalno interferira sa saobraćajem, jer pakete mapira za flow-ove naučene prilikom handshake-a, te se proxy-ra samo ovaj handshake, dok ostatak komunikacije ide direktno na relaciji klijent-server.
  • IP Forwarding Virtual Service (Router) – Routing odluke se donose na osnovu routing tabele. Podržava NAT.
  • L2 Forwarding Virtual Service – Bridging 2 koliziona domena.

Nećemo previše u tehničke detalje, stoga idemo na sledeću, već pomenutu funkcionalnost – Load Balancing.

U moru rešenja na ovu temu, f5 je izgradio svoju početnu reputaciju upravo na ovoj funkcionalnosti. Fleksibilnost u modovima balansiranja saobraćaja je još uvek neprikosnovena. Napravićemo kratak pregled svih opcija:

  • Round Robin – opšte poznati mehanizam
  • Ratio – definiše se odnos (razmera) konekcija 2:1, 3:2:1 itd…Dakle, distribucija konekcija ide preko proporcije koju ste definisali. Ovde se često spominje snaga servera kao kriterijum, ali u realnosti jači server može biti „zagušen“ nekim intenzivnijim zahtevom, a ovaj metod će i dalje raspoređivati konekcije prema proporciji. Ovakav vid balansiranja ima smisla najviše u situaciji gde ste na mrežnom nivou ograničeni brzinom portova/uplinka, mada ni ovo nije pravilo.
  • Dynamic ratio – U ovom modu balansiranja f5 dinamički proverava status opterećenosti svakog node-a u Load Balancing grupi. Na osnovu odgovora kreira „weight“ atribut koji je kriterijum za distribuciju sledećih konekcija. Ovaj metod koristi ili agenta ili SNMP protokol radi pribavljanja metrike o CPU, Memory i Disk.
  • Fastest – Big IP za svakog člana pool-a pravi listu zahteva. Za svaki zahtev dodaje +1 a za svaki odgovor smanjuje -1 vrednost broja konekcija. U ovom metodu dosta dobro se planira odziv, jer ukoliko su serveri na različitim lokacijama, server koji ima lošiji odziv će sigurno imati veću vrednost broja konekcija, jer mu više vremena treba da odgovori. Svaki naredni zahtev ide na server sa nižom vrednošću.
  • Observed – Big IP posmatra broj aktivnih L4 konekcija i svake sekunde pravi snimak (snapshot). Za server sa najmanjim brojem konekcija će povećavati udeo, dok će za najopterećeniji smanjivati. Ovaj metod se ne preporučuje u slučajevima velikih pool-ova.
  • Predictive ili Observed over time – Identična priča kao za prethodni primer, sa tim da u obzir uzima prethodni period, pravi poređenje i pokušava da predvidi trend opterećenja servera.
  • Least connections – Big IP prosleđuje konekciju na server koji ima najmanje aktivnih konekcija.
  • Weighted Least Connections – Identično kao prethodno, sa tim da je moguće definisati weight za svaki server. Konekcije se raspoređuju na server sa najmanje konekcija ali se u obzir uzima i ovaj atribut
  • Least Sessions – Big IP isporučuje konekcije ka serveru koji ima najmanje konekcija u „persistance“ tabeli.
  • Ratio Least Connections – Ista stvar kao prethodno, sa tim da definišete odnos (razmeru) broja konekcija po serveru.

Sa ovim završavamo priču oko opšte poznatih stvari. Sada da pređemo na module koje f5 izvrsno radi, a da nisu prva asocijacija.

Web Application Firewall

Sam WAF termin je poprilično postao popularan u poslednjih par godina, pa nećemo mnogo objašnjavati ovaj koncept. Ono što je zanimljivo, kada je reč o Big IP, jeste da zahvaljujući full proxy arhiktekturi, vašu web aplikaciju praktično i ne izlažete direktno internetu. Virtuelni server (VS) je u stvari jedina tačka koja je vidljiva javno. Sama aplikacija ne. Dakle, koji OS, server, verzija, stack i sve ostalo (što je od interesa prilikom početne faze hakovanja) je prosto nedostupno. Fingerprint pokazuje da je meta f5. Ovo dosta komplikuje život hakeru, te odabir samog exploita nije tako jednostavan kao kod direktno izloženih sistema. Sledeća fina stvar je zaštita od zloupotreba. Granularnost i sveobuhvatnost su glavni aduti u ovoj priči. Ovo ne znači da je i administracija komplikovana. F5 WAF je sposoban da uči, i to tako što je dovoljno definisati jednu IP adresu kojoj se veruje i sam WAF će naučiti kakvo je očekivano ponašanje korisnika na osnovu toga. Zanimljivo je da možete sprečiti bot napade, zabraniti ilegalne stringove u zahtevima, sprečiti SQL injection,brute force napade (uključujući credentials stuffing), DoS napade (BigIP ume da napravi razliku između skoro svih vrsta neorganskog saobraćaja)… DataSafe je posebno interesantna komponenta koja ima primarni fokus sprečavanja Man-in-the-Browser napada. Ukratko, ovaj modul usmerite da sa login strane brani polja za unos kredencijala(ili bilo kog drugog bitnog user-input polja), i Big-IP prema odabranom tipu zaštite sprečava čitanje podataka iz browsera tako što ih enkriptuje ili menja na 2 različita načina. Takođe, možete podestiti „mamce“ koje će BigIP dodavati u odgovor, a koji imaju ulogu odvlačenja pažnje sa ključnih podataka.

Ovo ne zahteva ekspertizu administratora, jer sam uređaj ima predefinisane polise. Dodatna funksionalnost je integracija sa velikim brojem security scanner-a, kao što su WhiteHat Sentinel, IBM i Qualis. Ovo omogućava praktično instant zaštitu, jer na samom virtuelnom serveru možete odraditi „virtual patching“, gde ćete rizike prepoznate skeniranjem zatvoriti, a onda bez pritiska odraditi patching infrastrukture. Ovim bukvalno oslobađate Dev/DevOps timove pritiska, koji se mogu potpuno posvetiti rešavanju prepoznatih problema a da ne ostavljate mogućnost/rizik kompromitovanja sistema.

Sam WAF na f5 ima više različitih software-skih modela, kao i licenciranja, te se savršeno uklapa sa  svim topologijama i veličinama aplikacija koje brani. Ovo je mali deo mogućnosti samog WAF modula, a potpun opis ćemo uraditi u nastavku f5 serije tekstova.

 

Access Policy Manager

Savremeni trendovi podrazumevaju svakodnevno korišćenje aplikacija. I on-prem i cloud lociranih. Upravo ove aplikacije su put do kritično bitnih informacija kako o vama kao kompaniji, tako i o vašim klijentima. Neovlašćen pristup ili gubitak informacija znači gubitak poverenja, prekid poslovanja pa uskoro i zakonsku odgovornost. Ukoliko želite da sa jednog mesta upravljate autentifikacijom, pravima pristupa ka svim resursima na bezbedan način ma gde oni počivali, APM je rešenje koje vam ovo i obezbeđuje.

Osnovna namena ovog modula je upravljanje pravima pristupa, ali sa granularnošću do te mere da možete pravila definisati na nivou endpoint-a i  usklađenošću sa security polisom ( OS, AV,rooted, firewall, registry, process…). Limita za integraciju skoro i da nema, jer su podržani skoro svi federation modeli bilo on-prem bilo cloud okruženja (da, podržava i SaaS servise 🙂 ). Integracija sa MFA, IDaaS i IAM servisima svih vodećih vendora je u potpunosti podržana. Ukoliko u infrastrukturi imate više različitih rešenja, a treba vam jedna tačka federacije među njima, APM je idealno rešenje za vas.

Druga bitna stavka je bezbedan pristup do resursa. SSL VPN tehnologija se naslanja na prethodnu funkcionalnost, te i sam pristup se detaljno može limitirati. Čak i na nivou aplikacije. BigIP Access/ ex-Edge client podržan je na svim operativnim sistemima (  Apple MacOS i iOS, Microsoft Windows, Linux platforme, Google Android i Chromebook). Specifičnost ovog VPN klijenta je podrška Datagram Transport Layer Security moda, koji obezbeđuje i tuneluje aplikacije koje su osetljive na delay.

Portal Access (WebTop) – je u stvari portal na kom oglašavate interne aplikacije koje postaju dostupne kroz web browser. Npr, možete objaviti Remote Desktop servis, koji će raditi kroz browser koristeći integrisani java client.

Zanimljiv pod-modul APM-a je Secure Web Gateway. Dok se svi pretgodni moduli bave kontrolom pristupa vašim resursima, veoma je bitno voditi računa sa kim ti resursi komuniciraju. SWG je upravo ta karika koja nedostaje. Na već definisane Access Polise, dodajemo još jedan sloj sigurnosti  i to baš u odlaznom smeru. Kontrolišemo i prepoznajemo malware, radimo SSL dekripciju, URL kategorizaciju i sve to pratimo putem integrisanih izveštaja. Dakle, umesto da se u infrastrukturu dodaje još nekoliko specijalizovanih uređaja, mi praktično centralizujemo kompletan security pod jedno rešenje.

Da nastavimo u ovom stilu, sledeći modul koji upoznajemo je Advanced Firewall Manager ili AFM. Statefull firewall koji je dizaniran za data center, sa primarnim fokusom na same aplikacije.

Zaštita od network-level napada, i to tako što prati sesije i za razliku od drugih rešenja ih i razume, daje odlične rezultate oslanjajući se na preko 100 definicija napada. Jedan je od retkih koji može da prepozna anomalije u samom protokolu.  Idealno se uklapa sa f5 IP Intelligence Services pretplatom, čime dobijate mogućnost kreiranja Access List-i koje sadrže up-to-date informacije o rating-u i klasifikaciji internet entiteta ( BotNet, Phishing, DoS, Scanner kategorije ). Ovaj modul takođe ima svoj reporting.

 

I za kraj da rezimiramo, centralizovanost i skalabilnost ovakve platforme je ključna prednost u odnosu na sva već viđena rešenja na tržištu, a opet, fleksibilnost i kooperativnost sa drugim vendorima vas ne ograničava ekskluzivno na korišćenje samo f5 BigIP. Bilo da planirate stand-alone modul, par modula ili kompletu zamenu security infrastrukture, sigurni smo da ćete pronaći model koji je idealan za vas. Ukoliko vam je potrebna neka dodatna informacija ili konsultacija oko kreiranja rešenja, kontaktirajte nas.

Treba Vam ponuda ili pomoć pri izradi rešenja? Tražite partnera za implementaciju?

Kontaktirajte nas!