Seguridad de la plataforma F5 BIG-IP

A medida que los ataques a las aplicação y a la red evolucionan y se vuelven más complejos y difíciles de defender, garantizar la seguridad de datos se ha convertido en uno de los problemas más urgentes para las organizaciones de todos los tamaños. Las filtraciones y violaciones de alto perfil pueden dañar la reputación de una organización y tener un impacto dramático en su negocio.

Desde la creación de la plataforma F5 BIG-IP, la seguridad ha sido un factor primordial en todas las decisiones de diseño y arquitectura. Cada lanzamiento posterior o nuevo producto ha incluido configuraciones predeterminadas más seguras, ha incorporado más funciones relacionadas con la seguridad y se ha sometido a esfuerzos de prueba, garantía y certificación de seguridad más rigurosos. A medida que aumentan las amenazas a la seguridad, las mejores prácticas se aplican continuamente a los productos nuevos y adquiridos para garantizar que las redes, las aplicações y los datos permanezcan seguros. Hoy en día, los productos de F5 funcionan como puntos de control estratégicos para gestionar el flujo de información crítica de una organización, al tiempo que mejoran la entrega de aplicações basadas en web mediante mejoras de rendimiento y seguridad.

Al evaluar su postura de seguridad general, una organización debe considerar dos factores estructurales: un ciclo de vida de desarrollo de software seguro y las características de seguridad inherentes dentro de su red de entrega de aplicação . Al cumplir en ambos frentes, F5 proporciona liderazgo y productos para enfrentar los nuevos desafíos de seguridad actuales, ayudando a las organizaciones a proteger identidades, aplicações y datos confidenciales, todo mientras minimiza el tiempo de inactividad de las aplicação y maximiza la productividad del usuario final.

Si bien hay muchos factores en un sistema verdaderamente seguro, la base se basa en dos pilares: diseño y codificación. El ciclo de vida de desarrollo de software seguro (SDLC) de F5 ayuda a garantizar que todos los productos se construyan según los más altos estándares de seguridad y se prueben rigurosamente antes de su lanzamiento.

La seguridad del sonido comienza temprano en el proceso de desarrollo del producto. Antes de escribir una sola línea de código, el equipo de desarrollo de productos de F5 realiza una evaluación integral de modelado de amenazas. Los arquitectos evalúan cada nueva característica para determinar qué vulnerabilidades podría crear o introducir en el sistema.

Una vulnerabilidad que lleva una hora para ser reparada en la fase de diseño puede llevar diez horas para ser reparada en la fase de codificación y mil horas para ser reparada después de que se envía el producto, por lo que es fundamental detectar las vulnerabilidades en las primeras etapas del proceso. Las discusiones típicas durante una evaluación de un modelo de amenaza incluyen la definición y revisión de los límites de seguridad, la limitación de la superficie de amenaza y las mejores prácticas para el diseño e implementación de funciones relacionadas con la seguridad.

Una vez completados los diseños, comienza la codificación. Todo el personal de desarrollo de F5 ha recibido capacitación exhaustiva en el proceso de escritura de código seguro. Pero cuando se trata de vulnerabilidades en software y redes, incluso el error más pequeño puede tener enormes ramificaciones. Los desarrolladores de F5 realizan revisiones de código periódicas con el equipo de seguridad y también utilizan herramientas de análisis de código estático para identificar problemas comunes. Los estándares de código y las mejores prácticas ayudan a los desarrolladores a evitar errores de seguridad comunes.

Las pruebas de seguridad que requieren mucho tiempo y trabajo son una enorme tarea para cualquier organización. En F5, los equipos de seguridad y desarrollo colaboran para ayudar a garantizar un alto nivel de seguridad para cada pieza de software que se lanza al mercado.

Los equipos de seguridad interna realizan pruebas de penetración actuando como atacantes que intentan comprometer la plataforma BIG-IP. Además, F5 realiza pruebas fuzz en todos los programas. Las pruebas fuzz evalúan cómo los programas manejan entradas malformadas, como un paquete de red más largo o más corto o una entrada con datos incorrectos. La mayoría se manejarán bien, pero otros podrían causar una excepción y otros podrían exponer una vulnerabilidad grave. Las pruebas de penetración y las pruebas fuzz hacen que los dispositivos F5 sean lo más seguros posible contra ataques de denegación de servicio (DoS), así como también ataques basados en código.

Además, a través de relaciones con intuiciones académicas, F5 aumenta continuamente su base de conocimientos para cubrir múltiples tipos de errores, como:

• Desbordamientos de búfer y ataques de destrucción de pila que explotan una lógica de manipulación de cadenas insegura.
• El uso incorrecto de las funciones de gestión de memoria dinámica.
• Problemas relacionados con números enteros, incluidos desbordamientos de números enteros, errores de signo y errores de truncamiento.
• Presentación de vulnerabilidades en cadenas de formato.
• Vulnerabilidades de E/S, incluidas condiciones de carrera.

F5 utiliza una sofisticada aplicação de escaneo de terceros, que analiza el código fuente todas las noches en busca de una serie de fallas críticas. En el momento de la compilación, la aplicação de escaneo de código busca errores y defectos de seguridad, errores que alteren la compilación, errores que provoquen fallas como pérdidas y corrupción de memoria, y comportamiento impredecible de la aplicação introducido por código nuevo. El escaneo del código fuente también puede encontrar fallas no fatales, como problemas de integridad de datos y cuellos de botella en el rendimiento.

Durante años, F5 también se ha asociado con empresas de terceros para realizar pruebas adicionales de múltiples tipos:

• Pruebas de caja negra: pruebas de aplicação y plataformas sin conocimiento del producto más allá del que un atacante tendría acceso a partir de documentos públicos.
• Pruebas de caja gris: pruebas de aplicação y plataformas con información parcial, como el diseño interno o el acceso a la documentación de las estructuras de datos internas, así como de los algoritmos utilizados. Los probadores de caja gris requieren documentos detallados y de alto nivel que describan las aplicações.
• Pruebas de caja blanca (también conocidas como pruebas de caja transparente, pruebas de caja de vidrio, pruebas de caja transparente o pruebas estructurales): pruebas de las estructuras internas o el funcionamiento de una aplicação, a diferencia de su funcionalidad. Las pruebas de caja blanca requieren conocimientos avanzados del sistema, así como habilidades de programación.

Las herramientas de pruebas de seguridad evolucionan con el tiempo y se introducen nuevos productos. F5 trabaja en estrecha colaboración con múltiples socios proveedores para incluir nuevos protocolos, ampliar la cobertura de pruebas y actualizar herramientas en función de los modelos de amenazas en evolución y los exploits recientemente descubiertos. Una vez que el software BIG-IP pasa múltiples pruebas, F5 lo utiliza en su propio entorno de producto para garantizar que esté realmente listo para su lanzamiento.

A pesar de los modelos de amenazas, la codificación segura, la capacitación y las pruebas de muchos tipos, existen vulnerabilidades. Cuando se reconoce una vulnerabilidad en la producción, la respuesta oportuna es fundamental.

La política de respuesta a vulnerabilidades de F5 se actualiza periódicamente para reflejar los requisitos del cliente y las prácticas de la industria. Al centrarse en responder a los incidentes de seguridad (ya sea que se descubran internamente, mediante pruebas de terceros o los informe un cliente), F5 rastrea e informa sobre las vulnerabilidades al menos una vez por semana para garantizar una priorización correcta y una respuesta oportuna.

Trabajar en estrecha colaboración con investigadores de seguridad y otros profesionales como National Vulnerability Database, MITRE CVE, CERT Coordination Center, Redhat, OpenSSL e ISC permite a F5 revelar vulnerabilidades de manera responsable y brindar mitigaciones, parches y protección contra exploits. El año pasado, F5 proporcionó más de 350 avisos de seguridad al público, desde artículos que educan sobre amenazas emergentes (por ejemplo, inyecciones de scripts, troyanos) hasta protección contra malware y ataques DDoS, para garantizar que la información de seguridad más reciente esté disponible.

Diseñada específicamente para brindar una seguridad reforzada y reforzada, la plataforma BIG-IP ofrece varias características clave que permiten a las organizaciones fortalecer sus posturas de seguridad:

• Modo dispositivo
• Bóveda segura
• Linux con seguridad mejorada (SELinux)
• Certificaciones de seguridad
• Protección DoS

La plataforma BIG-IP y F5 TMOS están diseñados para que el hardware y el software trabajen juntos para proteger las aplicações y los datos empresariales, al tiempo que optimizan la entrega de aplicação en toda la red.

Originalmente diseñado para empresas en industrias con datos confidenciales, como atención médica y servicios financieros, hoy en día el Modo Dispositivo es utilizado por empresas en todos los campos. Al activar el modo de dispositivo, las organizaciones pueden obtener un mayor control sobre sus redes y aplicações al aplicar las siguientes restricciones:

• Eliminar el acceso al shell bash.
• Limite el acceso administrativo a la utilidad de configuración y al TMSH. Los administradores pueden utilizar estas utilidades de línea de comandos jerárquicas para administrar y configurar fácilmente el sistema BIG-IP, y para ver estadísticas y datos de rendimiento.
• Deshabilite el inicio de sesión root para evitar que el usuario root inicie sesión en el dispositivo por cualquier medio, incluida la consola serial.
• Ajuste los permisos del archivo del directorio de inicio de la cuenta raíz (/root) para numerosos archivos y directorios. De forma predeterminada, los archivos nuevos sólo pueden ser leídos y escritos por el usuario y todos los directorios están mejor protegidos.
• Evitar que el subsistema de administración siempre activa (AOM), que proporciona administración ininterrumpida para el sistema BIG-IP, acceda al host. El AOM solo podrá reiniciar el host mediante un comando de reinicio de hardware.

Una cosa a tener en cuenta es que una vez que se habilita el Modo Dispositivo, no se puede deshabilitar; en su lugar, las organizaciones deben obtener una nueva licencia y realizar una instalación limpia del software. Los administradores pueden verificar que un dispositivo se esté ejecutando en Modo Dispositivo desde la pantalla Licencia en la utilidad de configuración de la GUI de BIG-IP.

Las claves privadas SSL se encuentran entre los activos de mayor valor dentro de una red, y muchas organizaciones tienen requisitos estrictos de que las claves sean seguras más allá de la simple protección del sistema de archivos. La función Secure Vault, disponible en todos los dispositivos de hardware de F5, protege las claves privadas SSL con una clave maestra almacenada en una cerradura de hardware, de modo que incluso si el archivo de clave privada SSL se recuperara de un servidor de respaldo comprometido o de una infección de malware, el atacante no podría usarlo.

Cada dispositivo BIG-IP viene con una clave de unidad única y una clave maestra compartida, que son ambas claves simétricas AES 256. La clave de unidad única se almacena en una EEPROM de hardware personalizada en cada dispositivo físico. Esta clave de unidad cifra la clave maestra, que a su vez cifra las claves privadas SSL, descifra los archivos de claves SSL y sincroniza los certificados entre los dispositivos BIG-IP. Las claves maestras siguen la configuración en una configuración de alta disponibilidad (HA), por lo que todas las unidades compartirían la misma clave maestra pero aún tendrían su propia clave de unidad. La clave maestra se sincroniza mediante el canal seguro establecido por el administrador de certificados. Las frases de contraseña cifradas con clave maestra no se pueden usar en sistemas distintos de las unidades para las que se generó la clave maestra.

Los invitados vCMP (Virtual Clustered Multiprocessing) también pueden utilizar la compatibilidad con Secure Vault. vCMP permite que varias instancias del software BIG-IP se ejecuten en un dispositivo y cada invitado tiene su propia clave de unidad y clave maestra. La clave de la unidad invitada se genera y almacena en el host, lo que refuerza el soporte del hardware, y está protegida por la clave maestra del host, que a su vez está protegida por la clave de la unidad host en el hardware.

Security Enhanced Linux (SELinux), utilizado tanto en los procesos de desarrollo de F5 como en los entornos de producción de clientes, optimiza el volumen de software encargado de la aplicación de políticas de seguridad y permite la aplicación separada de las decisiones de seguridad de la política de seguridad en sí. Por ejemplo, un perfil SELinux puede ordenar al kernel TMOS que no permita que un proceso específico ejecute el shell bash, protegiendo así al sistema de vulnerabilidades como Shellshock, que puede permitir a un atacante obtener control sobre un servidor web o un enrutador.

SELinux también aumenta la seguridad al proporcionar control de acceso obligatorio (MAC) para complementar el sistema de control de acceso discrecional (DAC) de Linux. MAC consta de etiquetas de usuario, rol y dominio en sujetos, etiquetas de recursos para objetos y relaciones entre sujetos y objetos definidos por la política. Los controles SELinux limitan el acceso de los programas de usuario y los servidores del sistema a los archivos y recursos de la red. Limitar los privilegios al mínimo necesario para funcionar reduce o elimina la capacidad de estos programas y demonios de causar daños debido a vulnerabilidades desconocidas, como desbordamientos de búfer o configuraciones incorrectas. Debido a que funciona independientemente de los mecanismos de control (discrecionales) de Linux, MAC no tiene el concepto de superusuario raíz y, por lo tanto, no comparte las deficiencias bien conocidas del sistema DAC tradicional de Linux.

Las organizaciones industriales del sector federal y financiero (FSI) están sujetas a regulaciones adicionales que requieren certificaciones de seguridad como Common Criteria y FIPS 140-2. Estas y otras certificaciones de seguridad estadounidenses y mundiales garantizan que el producto certificado cumple con los estándares en áreas que incluyen autenticación, auditoría, criptografía, administración y comunicaciones seguras. Los estándares y requisitos de certificación cambian y evolucionan a medida que lo hace el mundo de la seguridad; por ese motivo, la mayoría de las certificaciones son específicas para una versión de producto determinada.

Para mantenerse al día con los cambios de seguridad, las mejores prácticas y los estándares en evolución, F5 participa en la Conferencia Internacional de Módulos Criptográficos (ICMC) y las conferencias Internacionales de Criterios Comunes (ICCC) para brindar a las organizaciones una seguridad sólida y un cumplimiento optimizado. El Programa de Validación de Módulos Criptográficos (CMVP) del Instituto Nacional de Estándares y Tecnología (NIST) impulsa la hoja de ruta de F5 para la criptografía.

Muchos productos F5 han sido certificados por Common Criteria, una certificación de garantía mundial utilizada por agencias gubernamentales y empresas de todo el mundo. Veintiséis países son signatarios de un Acuerdo de Reconocimiento Mutuo, que garantiza efectivamente que una vez que un producto está certificado, puede comercializarse como certificado en cualquiera o en todos los países signatarios.

Desarrollados por el NIST, los Estándares Federales de Procesamiento de Información (FIPS) son utilizados por agencias gubernamentales de los Estados Unidos y contratistas gubernamentales en sistemas informáticos no militares. La serie FIPS 140 son estándares de seguridad informática del gobierno de EE. UU. que definen los requisitos para los módulos de criptografía, incluidos los componentes de hardware y software, para su uso por parte de los departamentos y agencias del gobierno federal de los Estados Unidos.

Los productos F5 compatibles con FIPS 140-2 utilizan módulos de seguridad de hardware (HSM) con certificación FIPS 140-2 para cumplir con el requisito de cumplimiento. Un HSM es un dispositivo físico seguro diseñado para generar, almacenar y proteger claves criptográficas digitales de alto valor. Es un criptoprocesador seguro que a menudo viene en forma de tarjeta enchufable (u otro hardware) con protección antimanipulación incorporada. El sistema BIG-IP incluye un acelerador criptográfico/SSL FIPS, una opción HSM diseñada específicamente para procesar tráfico SSL en entornos que requieren soluciones compatibles con FIPS 140-1 Nivel 2.

Los dispositivos F5 BIG-IP cumplen con la norma FIPS 140-2 Nivel 2. Esta clasificación de seguridad indica que una vez que se importan datos confidenciales al HSM, la plataforma incorpora técnicas criptográficas para garantizar que los datos no se puedan extraer en formato de texto simple. Los dispositivos BIG-IP también proporcionan recubrimientos o sellos a prueba de manipulaciones para disuadir la manipulación física. El exclusivo marco de gestión de claves de la plataforma BIG-IP permite una infraestructura segura altamente escalable que puede manejar mayores niveles de tráfico y a la que las organizaciones pueden agregar fácilmente nuevos servicios.

Además, el acelerador criptográfico/SSL FIPS utiliza tarjetas inteligentes para autenticar a los administradores, otorgar derechos de acceso y compartir responsabilidades administrativas para proporcionar un medio flexible y seguro para aplicar la seguridad de la administración de claves.

Un ataque DoS es un intento de hacer que una máquina o un recurso de red no esté disponible para sus usuarios previstos, con el fin de interrumpir o suspender de manera temporal o indefinida los servicios de un host conectado a Internet. Un ataque de denegación de servicio distribuido (DDoS) proviene de una fuente de ataque con más de una (a menudo miles) direcciones IP únicas.

Los arquitectos de F5 han desarrollado múltiples estrategias para prevenir y mitigar ataques DoS. Los equipos de desarrollo han lanzado funciones y presentado patentes para técnicas destinadas a proteger los datos empresariales y brindar seguridad a los elementos fundamentales de una aplicação (red, DNS, SSL y HTTP). Las características del software brindan una amplia gama de protección, como limitar la velocidad de varios tipos de solicitudes, determinar si hay demasiados paquetes o quién inició la solicitud, proporcionar heurística y prevenir la suplantación de identidad.

Al aprovechar las capacidades de seguridad intrínsecas de la gestión inteligente del tráfico y la entrega de aplicação , la plataforma BIG-IP protege y garantiza la disponibilidad de la red y la infraestructura de aplicaciones de una organización incluso en las condiciones más exigentes.

Mientras los ataques a las redes, aplicações y datos continúan aumentando, las organizaciones que confían en la plataforma BIG-IP pueden confiar en la seguridad de sus sistemas para proteger sus activos más valiosos.

F5 garantiza la seguridad de la plataforma BIG-IP a través de su riguroso proceso de Ciclo de vida de desarrollo de software seguro, que ha sido diseñado para descubrir y corregir vulnerabilidades antes del lanzamiento del producto. Además, la plataforma BIG-IP tiene varias características de seguridad clave, como Appliance Mode, Secure Vault, SELinux, certificaciones de seguridad y protección DoS, que ayudan a garantizar la integridad de las aplicações críticas y los datos empresariales.

El volumen y la complejidad de las amenazas a la seguridad seguramente seguirán evolucionando. Al mismo tiempo, F5 seguirá diseñando soluciones de seguridad especialmente diseñadas para ayudar a las organizaciones a prevenir, mitigar y responder a los ataques, al tiempo que defienden su reputación y protegen su negocio.