BIG-IP v11.3: Advanced Firewall Manager (AFM), APM Features

Hallo liebe Leser,

vor kurzem ist die neue BIG-IP Version 11.3 als Download verfügbar. Ein Ereignis, auf das ich mich schon gefreut habe, denn mit der v11.3 stehen uns wieder eine Menge weitere, tolle Funktionen zur Verfügung.

Besonders erwähnenswert ist an der Stelle, dass neue AFM (Advanced Firewall Manager) Modul, mit dem sich sehr gut Firewallregeln auf der BIG-IP (ICSA Firewall certified) konfigurieren lassen. Bisher war dies nur über iRules möglich, was bei einem komplexen und möglicherweise auch dynamischen Regelwerk nicht unbedingt der einfachste Vorgang war. Mit Hilfe des neuen Moduls ändert sich dies nun. Natürlich können hierüber auch elegant L7-Security Profile (z.B. Profile gegen ICMP-Floods, SYN-Floods, SSL-Renegotiation-Floods, DNS-Angriffe, Layer 7 DoS, OWASP Top-10 Angriffe,... ) hinzugefügt werden.

Der Hintergrund ist, eine möglichst ideale Konsolidierung typischer Komponenten im Datacenter realisieren zu können. Lange Hardwareketten, oft bestehend aus Firewall-LoadBalancer-WebApplicationFirewall-Loadbalancer-ReverseProxy-BackendServer, machen die Konfiguration, Wartung und vor allem den Debugging-Fall sehr komplex und damit alles andere als einfach und gut administrierbar. Auf Kosten möchte ich an der Stelle gar nicht eingehen. Daher liegt der Gedanke nahe, bestimmte Funktionen auf einer dafür entwickelten Plattform zusammen zu fassen. F5 hat genau das aufgegriffen und durch das eigene, auf Security und Performance getrimmte Betriebssystem TMOS, optimale Vorraussetzungen um dies umzusetzen.

Mit Hilfe der verschiedenen Module (LTM, APM, ASM, WAM, WOM, AFM, GTM, LC) können so Instanzen aus der langen Hardware-Kette auf der BIG-IP abgebildet werden und vereinfachen die Architektur erheblich. Mit Hilfe der Benutzer-Rollen können auch weiterhin die ggf. unterschiedlichen Zuständigkeitsbereiche der Administratoren auf der BIG-IP eingehalten werden. Aber bevor ich mich nun zu sehr auf das Architektur Thema einlasse, mache ich einen harten Schnitt, denn eigentlich wollte ich in diesem Blog nur einen kurzen Überblick einiger neuer APM-Funktionen auflisten und auf diese hinweisen.

• Access Policy Sync: Es können nun Access Policies innerhalb von Sync-Gruppen synchronisiert werden.

• SAML Support: Die BIG-IP kann als Identity Provider und als Service Provider eingesetzt werden. Mit Hilfe dieser Federation-Variante ist nun ein SSO zu unterschiedlichen Service-Anbietern möglich.

• NTLM Authentication: Die BIG-IP kann NTLM-Authentifizierungen validieren.

• Native SMS/ E-Mail Passcode Zwei-Faktor Support: Der Visual Policy Builder enthält die Elemente um One-Time-Passcodes zu erstellen und diese per Mail oder HTTP-Auth-Agent zu versenden.

• IP-Reputation: Mit Hilfe der IP-Intelligence Datenbank können IP-Adressen in unterschiedliche Schadklassen unterteilt werden. Also gehört die IP eines Clients z.B. einem Bot-Netz an oder gehört die IP möglicherweise einer sonstigen nicht vertrauenswürdigen Gruppe von Adressen an. Das Ergebnis kann dann verwendet werden, um eventuell den Zugriff zu limitieren oder gar zu blocken.

• Access Policy Macro Loops: Macros können nun bis zu einer definierten Anzahl in Schleifen ausgeführt werden.

In den folgenden Blogs, werde ich sicher Konfigurationen mit der ein oder anderen neuen Funktion vorstellen. Ich denke, dass besonders das Thema SAML hoch interessant ist. Bis dahin möchte ich aber erstmal auf die Release-Notes und die Handbücher verweisen.

Natürlich gibt es in den anderen BIG-IP-Modulen ebenfalls eine Menge weitere Funktionen, die ich jedem natürlich nur ans Herz legen kann.

Ihr F5-Blogger,

Sven Müller