Working with MasterKeys
Author : Arnaud Fauvel (Obiane – Orange Group – France) Introduction : As explained in “SOL9420: Installing a UCS file containing an encrypted passphrase”: Passphrases used for configuration items, such as monitors, profiles, and Secure Sockets Layer (SSL) keys, are stored in the configuration file in encrypted format. The BIG-IP system uses a hardware-key encrypted master key to encrypt and decrypt passphrases contained in the configuration file. These hardware-key encrypted passwords can be identified with a prefix of $M$. Prior to BIG-IP 11.5.0, only the passphrases used for SSL private keys are stored in encrypted format. In BIG-IP 11.5.0 and later, passphrases used for other configuration objects, such as monitors and profiles, are also stored in encrypted format. To complete the description, the master key unit is: - Different on each standalone device but shared within a cluster. - Different on each vCMP guest and is dissociated from vCMP host. How to modify MasterKey As explained in the SOL it’s possible to modify the master key of the device with the following command: f5mku -r There are two bad behaviors of this command: - If there are already configuration items with encrypted parameter, the bigip is unable to load the configuration. We have to remove SSL key passphrase encryption as explained in the SOL14302: Replacing a VIPRION chassis that has one or more blades installed. - On a vCMP Host or Guest after executing the command the device become unstable. F5 support provides me the following commands explained in the following “SOL13508: ConfigSync operations fail to complete and generate a validation message”: modify /sys crypto master-key prompt-for-password This command is magic: - A new masterkey is defined based on a provided password - Saving the configuration automatically re-encrypts any encrypted-SSL-key passphrases, using the new master key, prior to saving them in the configuration file. - It works on BIGIP or vCMP guest. Considering the masterkey of the vCMP Host it’s not so simple. The precedent command can be used but all vCMP Guest will be unable to retrieve their master key: notice mcpd[6230]: 01071029:5: Cannot open unit key store notice mcpd[6230]: 01070406:5: Removed publication with publisher id ha_table_publish warning mcpd[6230]: 012a0004:4: halStorageRead: unable to read storage on this platform The masterkey of the vCMP host seems to be used for a unit key store shared with all vCMP Guest. You will find bellow a scheme which tries to represent the master key architecture: How to restore archive configuration without removing SSL key passphrase encryption The “SOL9420: Installing a UCS file containing an encrypted passphrase” is not really satisfactory because as explained before the f5mku -r commands doesn’t work with vCMP guest. But by using the magic commands it’s works very well J. 1. After installing a BIGIP or vCMP Guest, log in on to de device and force the master key with a password by typing the following command: # tmsh # modify /sys crypto master-key prompt-for-password enter password: password again: # save /sys config Saving running configuration... /config/bigip.conf /config/bigip_base.conf /config/bigip_user.conf 2. Save regulary the configuration (using iApp or remote expect script): save /sys ucs passphrase 3. Log in to the RMA BIG-IP system command line. 4. Install the master key with the password you enter in step 1 to the RMA BIG-IP system using the following command syntax: # tmsh # modify /sys crypto master-key prompt-for-password enter password: password again: # save /sys config Saving running configuration... /config/bigip.conf /config/bigip_base.conf /config/bigip_user.conf 5.Restore the UCS file to the RMA BIG-IP system using the following command syntax: tmsh load sys ucs .ucs no-licenseF5 Networks - Silverline WAF Express overview
Silverline Web Application Firewallis a cloud-based service built on BIGIP Application Security Manager (ASM) – to help organizations protect web applications and data, and enable compliance with industry standards, such as PCI DSS. F5 Networks proposes 2 service options, provided by Silverline cloud-based application service platforms: A fully managed service, set up, deployed, managed, and maintained by experts in our Security Operations Center (SOC) with 24x7x365 support. This service is named Silverline WAF Managed An express service option, enabling rapid self-service deployment of expertly maintained policies across hybrid environments to protect apps, anywhere. This service is named Silverline WAF Express. Both services allow you to remove the complexity of WAF management, increase the speed to deploy new policies, and decrease operational expenses. This article covers the Silverline WAF Express option.In this video, I demonstrate how to deploy a WAF policy in front of a web application in less than 5 minutes. I demonstrate: How to push certificates and keys How to create the service in Silverline How to check logs, violations … How to get reports on HTTP, SSL …How to set your first SWG Per-Request Policy with 11.6 release
Hi, Please find below an how-to explaining how to set your first SWG Policy on 11.6 release with the latest feature "Per-Request Policy". In this scenario, I control on each request if the website is part of Financial category in order to bypass SSL inspection. Video here :http://youtu.be/zp269s5fQ-8BIG-IQ 5.2 Centralized Management - Security Overview
Because adding more boxes increases complexity, you need ways to simplify system management. That’s where BIG-IQ Centralized Management comes in. From licensing to policies, traffic to security, you’ll see it all from a single pane of glass. In this video, I present how to start a BIG-IQ CM with its Data Collector Device. Then I explain how to enable Centralized Management for ASM and APM. For an APM standpoint, I demonstrate how to sychronise policiesand how to make changes on this policy. For an ASM standpoint, I demonstrate how to create, synchronise a policy and how to centralize the analytics and logs.Attaque DNS DYN, ou comment se protéger du malware Mirai
En quelques semaines, le monde de l’Internet vient de subir une série d’attaques DDoS ciblée et encore inconnue. Inconnue par la technique utilisée et par le volume. Ces attaques ont une particularité : le nombre de sources utilisées pour chaque attaque. Ce nombre dépasse les 100 000. Mais il est très difficile de savoir ce qui se cache derrière une adresse IP à cause du Spoofing et du NAT. Comment un BotNet de plusieurs centaines de milliers de machines (ou objets) a pu être constitué aussi rapidement et ceci sans être détecté ? Tout simplement grâce à un « simple » malware nommé « Mirai ». Mirai, comme tout malware, est très bien pensé et peut donc faire de très gros dégâts. Sa particularité est de s’efforcer à s’installer cibler les objets connectés (IoT ou Internet Of Things) telles que les caméras IP grâce à un outil appelé Loader. Rechercher un IoT sur Internet est très simple, via Shodan par exemple (https://www.shodan.io/). Une fois ces objets ciblés, ce «Loader» teste les diverses vulnérabilités connues afin de pénétrer l’objet. En effet la sécurité de ces objets est souvent la dernière roue du carrosse par rapport aux enjeux que représentent la course à l’innovation et la disponibilité de ces objets sur le marché. En conséquence beaucoup de ces objets ne sont pas ou peu protégés et sont bien souvent configurés avec les identifiants par défaut du constructeur. Mirai et son loader va donc essayer les différents identifiants connus pour se connecter aux objets. Une fois connecté sur l’équipement IoT, le Malware Mirai s’installe et se connecte à son centre de commandes (Command And Control) afin de recevoir ces éventuels ordre d’attaques. Ci-dessous, un schéma (source Level3) qui résume le fonctionnement de Mirai en expliquant les différents acteurs impliqués lors des 2 phases de ciblage des IOT puis d’attaque une fois le BotNet constitué. Quelles sont les vecteurs d’attaques utilisés par MIRAI? A la suite des attaques OVH et Krebs, le code source de Mirai a été délibérément mis en ligne par son créateur. F5 Networks, via ses F5 labs, a donc analysé le code source de Mirai afin de comprendre les différentes attaques que celui-ci pouvait générer. Il y a plusieurs attaques possibles, certaines n’étant pas encore totalement codées. La principale utilisée ces dernières semaines s’appelle «DNS Water Torture». La technique est très simple mais diffère des techniques de «DNS reflection» habituelles. Celle-ci nécessite beaucoup moins de ressources de la part du Botnet, en s’appuyant sur le serveur DNS récursif de l’opérateur (le resolver ou tout simplement le DNS sur lequel la box internet du botnet se connecte). Ce sont ces Resolvers DNS qui vont s’occuper de l’attaque en ciblant le serveur DNS de la victime. Dans cette attaque, le Botnet envoie une requête «légitime», c’est-à-dire bien formée et donc conforme à la RFC, contenant le nom de domaine de la cible à résoudre, mais en y ajoutant un nom de machine aléatoire et non-existant dans la zone DNS du domaine visé. Ainsi, le résolveur DNS de l’opérateur transfèrera cette demande au DNS cible. Le DNS cible répondra que ce nom de machine n’existe pas. Ce type de réponse n’étant pas cacheable par l’infrastructure DNS l’attaquant est sûr d’atteindre le serveur cible. L’attaque est déterminée , il ne reste plus qu’à y ajouter la puissance de tir apportée par le BotNet MIRAI. L’attaque devient efficace lorsque le serveur DNS de la cible ne répond plus. Automatiquement, le résolveur DNS basculera sur le second serveur DNS de la cible. Et ainsi de suite. A l’aide d’un BotNet puissant, l’attaquant fera tomber tous les serveurs DNS de la cible comme des dominos. En analysant les logs , la société Dyn s’est aperçue que 24% du trafic provenait de 4 serveurs DNS récursifs particuliers: Google, Hurricane Electric, Verisign, et Level 3. Ce sont les mêmes configurés dans Mirai lorsque les objets connectés n’ont pas de resolver DNS configuré. Comment se protéger? Cette attaque comporte deux difficultés : Les requêtes sont légitimes et non cacheable (car le hostname de la zone DNS n’existe pas) La volumétrie du flux DNS généré Il est impossible de demander à un serveur DNS récursif de ne plus vous envoyer de requêtes, vous bloqueriez des réquêtes légitimes, même si ce serveur est un serveur DNS récursif ouvert. Le fait de laisser des serveurs récursifs ouverts sur Internet est un débat ouvert depuis plusieurs , mais là n’est pas le sujet de cet article. Donc pour faire simple, il y a 2 facteurs qui peuvent rendre un service DNS indisponible: Trop de requêtes par secondes, donc le serveur ne peut plus répondre Trop de volume, donc le lien est saturé Sur le premier facteur, la solution est de disposer d’une solution hautement disponible et ayant les capacités de traitement suffisante pour supporter la charge lors d’une attaque DNS. Les requêtes DNS utilisent quasi exclusivement le protocole UDP, donc une sécurité de type TCP StateFull ne peut aider. La solution F5 DNS Express permet de déporter une zone DNS sur le BIGIP afin que celui-ci se charge directement de la réponse DNS. Un BIGIP peut supporter jusqu’à 10 millions de QRPS (Query Response Per Second). Le BIG-IP devient serveurs DNS Secondaire de votre zone DNS Primaire. Ainsi, lors de l’attaque «DNS Water Torture», toute requête «légitime» mais dont le hostname (le préfix) est inconnu, sera automatiquement traitée par le BIGIP lui-même. Plus d’informations sur DNS Express: https://devcentral.f5.com/s/articles/dns-express-and-zone-transfers F5 Networks dispose d’une offre beaucoup plus large sur la protection DNS permettant de protéger les infrastructures DNS contre tout type d’attaque de type réflexion, amplification avec des technologies telles que RPZ (Response Policy Zone), IP réputation, DNSSEC… Sur le deuxième facteur (la volumétrie), il va falloir s’appuyer sur une solution de délestage afin de re-router le trafic vers un centre de traitement disposant de suffisamment de bande passante. La solution F5 Silverline DDoS, en mode Always Available, permet à ses clients de disposer d’une «assurance» en cas d’attaque DDoS dépassant leur capacité de traitement. Ainsi, le trafic est re-routé vers les centres de traitement F5 Silverline afin de traiter et dépolluer le flux. Le flux propre est ensuite envoyé à l’infrastructure cliente. Plus d’informations sur F5 Silverline: https://f5.com/products/deployment-methods/silverline Pour finir, une attaque évolue et se répète. Krebs, OVH et Dyn en sont les témoins et un SOC est aujourd’hui indispensable pour adapter sa protection en fonction de l’évolution de l’attaque. Pour cela, dans son offre Silverline, F5 Networks intègre son SOC et ses équipes d’analyse. Une approche hybride est devenue aujourd’hui indispensable afin de pouvoir se protéger des attaques volumétriques et ciblées. Les protections dans le Cloud (off-premises) se chargeront de prendre la charge volumétrique et de nettoyer le flux le mieux possible. Ensuite, les solutions on-premises se chargeront d’une analyse plus fine et se chargeront de protéger au plus près l’infrastructure IT. Pour cela, F5 Networks propose ses solutions de protection hybride permettant aux solutions on-premises d’information les off-premises d’une attaque en cours. Ainsi, lorsque la solution off-premises reprend le trafic, celle-ci dispose déjà d’informations pertinentes lui permettant de bloquer l’attaque le plus tôt possible. Le code source de MIRAI ayant été mis en ligne, il est fort probable dans les semaines et mois à venir que des attaques semblables ou encore plus puissantes voient le jour en utilisant la source du malware MIRAI et ses capacités à constituer de manière très rapide un BOTNET très important en ciblant les équipements IOT. Sources: http://hub.dyn.com/traffic-management/recent-iot-based-attacks-what-is-the-impact-on-managed-dns-operators https://f5.com/about-us/news/articles/mirai-the-iot-bot-that-took-down-krebs-and-launched-a-tbps-ddos-attack-on-ovh-21937?adbsc=social66693476&adbid=785189347087659008&adbpl=tw&adbpr=438688096 https://github.com/jgamblin/Mirai-Source-Code http://blog.level3.com/security/grinch-stole-iot/Per-App VPN AirWatch et F5 BIGIP APM
Nowadays, with MDM, we can push VPN configurations to mobiles devices. A new kind of VPN called Per-APP VPN (Android 5.0 or iOS 7.0 minimum) is available on MDM like AirWatch, MobileIron ... Per-APP is a brand new VPN tunnel concept. This Per-App VPN tunnel is started only for a specific application on the mobile terminal. All flow from this app are routed into this tunnel. All other trafic uses local NIC (WIFI, 3/4G without VPN). It's a little bit different from On-Demand VPN. On-Demand start when a specific network is requested and all trafic goes through this tunnel whatever the application. This video explains how to set AirWatch side and APM side ///////////////////////////////////////////////////////////////////////////////////////// Avec un MDM (Mobile Device Manager), il est possible de pousser sur vos terminaux mobiles (iOS 7.x et Android 5.0 minimum) un profile de configuration VPN dit "Per-App VPN". Un Per-App VPN est un VPN monté à la demande par une application sur le terminal mobile. Cela se rapproche du "On-Demand" à la différence que seul le flux en sortie de l'application ira dans le tunnel SSL. Contrairement à un tunnel On-Demand où tous les flux transitent dans le tunnel SSL. Dans cet article (vidéo en anglais), je vous présente la mise en place d'une solution Per-App VPN avec le MDM AirWatch et la gateway SSL F5 BIGIP APM. Pour cela : AirWatch intègre dans son MDM les briques VPN SSL F5 afin de simplifier la configuration des profiles VPN SSL. Aucun code XML n'est nécessaire car le EDGE client est déjà connu du MDM AirWatch. F5 intègre les API avec les solutions MDM telles que AirWatch.Comment les institutions françaises peuvent se protéger contre la cybercriminalité
Les institutions financières sont la première cible des cybercriminels et exposent le plus de données sensibles sur Internet. Un compte utilisateur d’une institution financière héberge à la fois de la donnée financière (le compte bancaire du client) mais aussi les données personnelles et privées du client. Ces deux types de données sont tout aussi sensible, l’un comme l’autre. L’un permettra aux pirates de récupérer facilement de l’argent, l’autre leur permettra de revendre sur le marché noir des données personnelles (numéro de sécurité sociale par exemple). C’est pour cette raison, comme le spécifie KPMG lors d’une récente étude, qu’autant d’institutions financières ont connu une cyber-attaque au cours des deux dernières années, compromettant de nombreux comptes bancaires personnels. La menace vient principalement des malwares ou logiciels malveillants. Ceux-ci sont installés à l’insu de l’utilisateur, sur leur poste de travail dans l’entreprise ou sur leur ordinateur personnel. Pour y parvenir, les pirates ne manquent pas d’imagination. La méthode la plus utilisée est le social engineering; c’est-à-dire l’utilisation des failles humaines et sociales des utilisateurs. Cela va de la clé USB offerte lors d’un salon professionnel, ou de l’envoi d’un mail avec pièce jointe. Une autre méthode très simple qui fait autant de dégâts est le phishing. Une fois ce malware installé, il se connectera régulièrement à un serveur nommé «Command & Control». Celui-ci est le point de contrôle des pirates, leur permettant de lancer leur campagne d’attaque. Une campagne consiste à cibler une institution (financière, gouvernementale, commerciale) et récupérer les informations personnelles de l’utilisateur. Par exemple, les pirates indiqueront aux malwares de cibler la société www.mabanque.fr et plus particulièrement la page d’authentification. Le malware ne se réveillera qu’au moment où l’utilisateur se connectera sur www.mabanque.fr. Une fois les identifiants (utilisateur, mot de passe, OTP …) saisis, le malware les enverra au serveur Command & Control. Cependant, un malware peut être beaucoup plus intelligent, et peut exécuter des actions en lieu et place de l’utilisateur, sans que celui-ci ne s’en rende compte. Prenons comme exemple un virement que l’on souhaite réaliser via le site de notre banque www.mabanque.fr. Lors d’un virement, le client spécifie un compte destinataire et un montant. Le malware modifiera la requête lors de son envoi avec un autre compte destinataire (celui du pirate) ainsi qu’un autre montant. En fonction des méthodes de sécurité mises en place par l’institution financière, l’utilisateur peut ne pas s’en rendre compte. Il est donc important de protéger les clients des institutions financières car ces derniers sont de plus en plus conscients des risques, et sont 48 % à citer les attaques informatiques comme une raison de changer de banque (selon KPMG). Le malware s’installe sur le poste du client. Les solutions de protection doivent donc s’intégrer à ce poste de travail sans que celui-ci ne soit «contrôlé» par l’institution financière. Ces solutions doivent être transparentes, sans nécessiter d’actions de la part de l’utilisateur pour: F5 Networks, via son offre Anti-Fraud Websafe, permet de répondre à l’ensemble de ces problématiques ou menaces. Protéger les identifiants: un identifiant peut être protégé en étant chiffré à la source, c’est-à-dire dans le navigateur ou l’application mobile. La solutions Websafe de F5 Networks permet le chiffrement à la saisie des identifiants afin que le malware ne puisse pas les récupérer en «clair». Celui-ci ne récupérera que des identifiants chiffrés, donc inutiles. Protéger les transactions: une transaction consiste à réaliser une suite d’actions à l’écran (navigateur ou application mobile). La première étape consiste à sélectionner un compte source, puis un destinataire, puis de saisir un montant. Tout ceci prend un temps «humain» (saisie, déplacement de la souris …). La solution Websafe de F5 Networks permet de contrôler cette saisie et de s’assurer qu’elle se rapproche d’une saisie «humaine». Détecter le phishing: il est impossible d’empêcher un pirate de télécharger le site de www.mabanque.fr et de le déposer sur un serveur Web pirate. Idem, il est impossible d’empêcher ce hacker d’envoyer une campagne d’email aux clients de cette institution et de leur demander de s’authentifier sur le site pirate www.mabamque.fr (changement du N par un M). Par contre, la solution Websafe de F5 Networks permet d’identifier la présence d’une copie du site et de fermer ce site (dans la mesure du possible). De plus, Websafe de F5 Networks permet de connaître les utilisateurs ayant saisi leurs identifiants sur ce site pirate, et donc de les informer ou bloquer leur compte temporairement. La fraude en ligne est la menace principale des institutions financières et celles-ci doivent s’en protéger. F5 Networks propose des solutions innovantes couplées à des offres de services (SOC) permettant de garantir une analyse temps réel des menaces et d’adapter la sécurité mise en place (campagne de phishing, campagne de malware …). Pour cela, F5 Networks s’appuie sur ses SOC et sur son LAB (www.f5.com/labs).Azure Security Center - How to protect your Web Applications in Azure
Azure Security Center allows you to asses your security in Azure. To do so, Azure Security Center can advise you on several layers : Network Security Application Security Rest of the security For the Application layer security, Azure will propose you to protect your Web Application with a WAF. F5 Networks is fully integrated in this process and Azure will propose you to deploy the F5 WAF automatically. Nothing to know !!!! Azure will deploy the WAF and configure the WAF based on the Web Applications you want to protect. When done, Azure will change the network security on new protected Web Applications in order to disallow direct access to the Web Application and only allow trafic via the WAF. Please find below a 5 minutes video demonstrating the ease to protect a Web Application with F5 WAF in Azure.Certifications F5 Networks 101 et 201
Certains d’entres-vous sont en pleine révision de leur certification et beaucoup me demandent "Matthieu, t’as pas une astuce sur les certifs 101 et 201 pour bien les préparer ?" Ma réponse : "Lire et relire le Blueprint de la certification POINT PAR POINT". Il n’y a pas de secret, pour réussir sa certif, il faut être capable de dire "j’ai compris" sur chaque point du blueprint. Vous aurez des questions sur l’ensemble des points. Les blueprints sont disponibles sur le site de certification F5. Ils se composent de section avec des objectifs. Vérifiez que vous avez compris chaque objectif. Pour la certif 101, rien de particulier sur les technologies F5. C’est du généraliste sur le réseau. Pour la certif 201, il va falloir travailler un peu plus. Vous trouverez un excellent site de préparation ici : http://veritablenetworks.blogspot.fr/2012_12_01_archive.html De plus, je vous ai préparé un package incluant les documents à travailler par section et par objectif. Ce package est disponible ici (plus d’une 30taine de documents) : https://www.dropbox.com/s/up9ot1c027740w4/Certif%20201.zip Bon courage et bonne révisions.
