Академический Документы
Профессиональный Документы
Культура Документы
https://interact.f5.com/2018_SOAD?utm_source=F5LABS&utm_medium=f5&utm_campaign=CL-MULC-SOAD
7
Data
Firewall Web server Web App server
El servidor de bases de
El servidor de App Web datos ejecuta el código
El servidor web envía genera dinámicamente malicioso y retorna
los datos confidenciales una pagina con datos datos de las tablas de
al atacante confidenciales información
11
OWASP Top 10 Application Security Risks - 2017
A1: Injection
A2: Broken Authentication
A3: Sensitive Data Exposure
A4: XML External Entities (XXE)
A5: Broken Access Control
A6: Security Misconfiguration
A7: Cross-Site Scripting (XSS)
A8: Insecure Deserialization
A9: Using Components with Known Vulnerabilities
A10: Insufficient Logging & Monitoring
La encripción SSL
es utilizada para
proteger los datos Los firewalls de red
en transito son utilizados para el
perímetro del
datacenter
Application
developers Web server CGI/JavaScript App server Database server Data
Los ataques de
aplicación toman lugar
en la capa 7 SSL solo protege la
L7 confidencialidad y la
integridad de los datos en
L6
trafico
L5
L4 Los firewalls de red
L3 son ¨ciegos¨ con el
Los firewalls de trafico SSL
red solo L2
protegen L1 SSL en realidad ayuda a
El Hardening, parcheo, y la
ataques en la garantizar que las
segurización del código no
capa 4 solicitudes maliciosas se
protegen contra ataques de día
realicen en el servidor
cero
web
Application
developers Web server CGI/JavaScript App server Database server Data
Los ataques de aplicación
pueden accede a datos
confidenciales
Los ataques de
aplicaciones pueden
eliminar datos de bases
Los ataques de aplicación de datos y bases de datos
pueden exponer archivos completas
confidenciales del servidor
Los ataques de
aplicaciones pueden
Se debe evitar que estos
desconectar los
ataques lleguen a la
servidores
aplicación web
WAF
WAF
WAF
firmas de ataque
WAF
F5 libera actualizaciones cada
seis semanas o cuando sea
necesario
A1:2017 Inyección WAF Mitigation
• Descifra e inspecciona el tráfico de la
aplicación
RIESGO
• Bloquea la inserción de cargas maliciosas:
Los datos de entrada no JavaScript / SQL / Malware
saneados o insuficientemente
desinfectados pueden conducir • Aplica los valores de parámetros permitidos
inadvertidamente a la ejecución predefinidos, la longitud y el uso preciso de
no autorizada de comandos, a la los metacaracteres
ex filtración de datos, a la
eliminación de datos o a SQL,
siendo un ejemplo clásico
A7:2017 Cross-Site
Scripting (XSS) WAF Mitigation
• Detecta y filtra patrones de ataque XSS
Atacante
WAF
Solicitudes Aplicacion
anónimas
Cross
Scripting
• Bloquea los malos actores antes de que lleguen a tu
centro de datos
• Cumple con las restricciones de las reglas en países o
regiones
• Reducir la fuente de ataque
• Mitigar los patrones de tráfico anómalos de países
específicos
•
•
•
Una tira de cuero con letras al azar es ilegible.
Pero envuélvelo en un palo de madera, y obtienes acceso a
su contenido.
HTTPS
Apps
HTTPS
HTTPS
Apps
Attacks
PRIVATE
HTTP/2
F5 BIG-IP WAF, IP Intelligence Subscription
Proteja las aplicaciones web, sin importar dónde residan,
mediante políticas consistentes en entornos híbridos junto
con las implementaciones de BIG-IP.
43
App-Layer
Scripting Scripting
DoS Protection
Mitigar Bots con el F5 Anti-Bot SDK Movil
30 sec
FUSE MY APP
Solución
Silverline Always On Protection con
Silverline Under hardware local.
Always On Attack
Protección de relleno de
credenciales
Users
Protección de ataque de fuerza
bruta
Data Center
Attackers Interconnect
Cloud
Beneficios
Evitar el uso de bases de datos de
Account Takeover credenciales objeto de dumping.
Protection
Bots Prevenir el robo de credenciales de
usuario.
Proteger aplicaciones móviles.