KEMP Pack Firewall para Aplicaciones KEMP controladores de entrega de aplicaciones KEMP ADC y Balanceadores de carga Seguridad capa 7 para aplicaciones en ADC

1. Web Application
Firewall Pack
(AFP) Overview

2. de las aplicaciones
web escaneadas en
2013 reportaron
serias
vulnerabilidades
96%

3. El SQL injection y Cross-Site Scripting
sumaron mas de un 80% de las vulnerabilidades

4. Los ataques Web son mas avanzados que nunca

5. 145,386,473
URLs únicas, fueron reconocidas como
maliciosas en Q2, 2014

6. Vulnerabilidades de Seguridad reportadas
(2013)
514
373
344
336
190
188
161
146
131
112
Oracle
Cisco
Micro…
IBM
Apple
Google
Mozilla
Adobe
Redhat
HP

7. Incremento de la complejidad del ataque
Características de un ataque
Hacker de hoy en día

8. Cambio frecuente de los vectores utilizados
Características de un ataque
Hacker de hoy en día
Incremento de la complejidad del ataque

9. Centrados en las vulnerabilidades de la aplicación
Características de un ataque
Hacker de hoy en día
Cambio frecuente de los vectores utilizados
Incremento de la complejidad del ataque

10. Alta dificultad de detección y bloqueo para
un firewall tradicional
Characteristics of Modern-Day
Hacker Attacks
Incremento de la complejidad del ataque
Cambio frecuente de los vectores utilizados
Centrados en las vulnerabilidades de la aplicación

11. Limitaciones de un Firewall tradicional
Genera vectores de ataque
sin conocimiento

12. Habitualmente trabaja
debajo de la capa 4
Limitaciones de un Firewall tradicional
Genera vectores de ataque
sin conocimiento

13. Limitaciones de un Firewall tradicional
Genera vectores de ataque
sin conocimiento
Habitualmente trabaja
debajo de la capa 4
Soporte de inspección de
protocolos bajo (ej. packet
filtering)

14. Soporte de inspección de
protocolos bajo (ej. packet
filtering)
Solamente al tanto de
los puertos de red
Limitaciones de un Firewall tradicional
Genera vectores de ataque
sin conocimiento
Habitualmente trabaja
debajo de la capa 4

15. Es capaz de procesar flujos de trafico web
incluso cuando está encriptado
Beneficios de un Web Application Firewall
(WAF)

16. Es capaz de procesar flujos de trafico web
incluso cuando está encriptado
Es capaz de detectar ataques
centrados en aplicaciones (XSS, CSRF,
Injection, etc.)
Beneficios de un Web Application Firewall
(WAF)

17. Es capaz de procesar flujos de trafico web
incluso cuando está encriptado
Es capaz de detectar ataques
centrados en aplicaciones (XSS, CSRF,
Injection, etc.)
Beneficios de un Web Application Firewall
(WAF)
Trabaja en conjunto con el marco de
seguridad existente

18. Es capaz de procesar flujos de trafico web
incluso cuando está encriptado
Es capaz de detectar ataques
centrados en aplicaciones (XSS, CSRF,
Injection, etc.)
Ayuda a las organizaciones a
satisfacer los requisitos de cumplimiento
de PCI - DSS
Beneficios de un Web Application Firewall
(WAF)
Trabaja en conjunto con el marco de
seguridad existente

19. Es capaz de procesar flujos de trafico web
incluso cuando está encriptado
Es capaz de detectar ataques
centrados en aplicaciones (XSS, CSRF,
Injection, etc.)
Ayuda a las organizaciones a
satisfacer los requisitos de cumplimiento
de PCI - DSS
Es compatible con una actitud que busca
seguridad en profundidad.
Beneficios de un Web Application Firewall
(WAF)
Trabaja en conjunto con el marco de
seguridad existente

20. Firewall y WAF Trabajando juntos
Application
Servers
WAF Enabled
Loadmaster
Network
Firewall
Non HTTP/
HTTPS Attack
Legitimate
Use
HTTP/
HTTPS Attack

21. Firewall y WAF trabajando juntos
Application
Servers
WAF Enabled
Loadmaster
Network
Firewall
Non HTTP/
HTTPS Attack
Legitimate
Use
HTTP/
HTTPS Attack

22. Application
Servers
WAF Enabled
Loadmaster
Network
Firewall
Non HTTP/
HTTPS Attack
Legitimate
Use
HTTP/
HTTPS Attack
Firewall y WAF trabajando juntos

23. Application
Servers
WAF Enabled
Loadmaster
Network
Firewall
Non HTTP/
HTTPS Attack
Legitimate
Use
HTTP/
HTTPS Attack
Firewall y WAF trabajando juntos

24. Inspect
Inbound
Application
Servers
WAF Enabled
Loadmaster
INBOUND
OWASP top 10
X-Scripting
Cookie check
Custom Rules
OUTBOUND
Data loss protection
Custom patterns
Credit card
Social security
Inspect
Outbound
Clients
Firewall y WAF trabajando juntos

25. Servicios de Seguridad Integral
LoadMaster proporciona
capacidades integradas de
seguridad , incluida la
protección Web Application
Firewall ( WAF) , seguridad
perimetral , L7 IPS / IDS ,
Mitigación DDoS , la
publicación de aplicaciones y
servicios de autenticación
como características estándar
en todas las plataformas,
incluyendo dispositivos de
hardware .

26. DDoS Mitigation
Servicios de Seguridad Integral
IDS/IPS
Edge Security Services
Web Application Firewall
Las capacidades DDoS de mitigación nativa del
LoadMaster protegen infraestructuras de
aplicaciones de ataques sobre la disponibilidad de
los servicios desplegados
LoadMaster puede escanear e informar
pasivamente sobre intentos de intrusión, así
como activamente analizar y reaccionar ante las
amenazas en el punto de entrada.
El Edge Security Pack (ESP) de KEMP refuerza
la verificación de la identificación para accesos a
aplicaciones y servicios protegidos y sus
estandares incluidos en TODOS los
LoadMasters
El AFP mitiga las vulnerabilidades de la
seguridad de las aplicaciones, contribuyendo a
una buena estrategia de seguridad
DDoS capacidades de mitigación nativa ayuda de LoadMaster protege infraestructuras de aplicaciones de ataques sobre la disponibilidad de los servicios desplegados

27. Facilidad de Uso e Implementación
Con el foco de Kemp en la
simplicidad y el ahorro de tiempo
en el despliegue de aplicaciones,
LoadMaster con Application
Firewall Pack ( AFP ) permite una
solución de balanceo de carga
totalmente integrada de manera
segura, escalable y siempre
disponible.

28. Disponibilidad Standard
El motor del AFP de KEMP se incluye como
funcionalidad integrada en la mayoría de los
productos de KEMP con necesidad de pago por
la suscripción periódica por la descarga de reglas
Sencillo
Un interfaz de usuario de uso sencillo basado en
web, con plantillas de aplicaciones con
documentación completa y todo incluido para
simplificar las implementaciones básicas
Configuración Remota
Los servicios de configuración remota de KEMP
(RCS) hacen mas sencillo a los clientes con
complejas implementaciones la rápida
instalación y puesta en marcha con la ayuda de
un ingeniero cualificado de KEMP.
Facilidad de Uso e Implementación

29. Compatibilidad PCI-DSS
La protección de aplicaciones
web es de vital importancia para
todas las organizaciones ,
especialmente aquellas que
procesan pagos. Con el fin de
ayudar a los clientes con
requisitos de PCI -DSS , AFP
reduce la necesidad de
revisiones de código extensas
utilizando un conjunto de reglas
que son regularmente y
automáticamente actualizadas.

30. Seccion 6.6: Audite y corrija las
vulnerabilidades del código de
aplicaciones o instale un firewall de
aplicaciones
El LoadMaster con AFP proporciona una superposición de
aplicaciones para aprovechar sesiones TLS (SSL) con el
objetivo de mejorar el entorno de seguridad incluso cuando
no es nativamente soportado.
Seccion 1.2: Denegación de tráfico de
redes y hosts no seguros.
Las características de seguridad integradas de LoadMaster
con AFP limita el acceso a únicamente a entidades
permitidas que usen los protocolos que se dicten como
permisibles
Seccion 3.3: Ocultar números de
cuentas cuando son reflejados
El AFP puede ser configurado para prevenir el robo de
información sensible PII (Información Personal Identificable) tan
a menudo explotada por una variedad de aplicaciones.
Seccion 3.5: Proteja las calves de
encriptación contra divulgación y mal
uso
Soportando FIPS 140-2 Level 2 compliance, el LoadMaster
5305-FIPS, protege claves de encriptación mientras
proporciona protección firewall.
Seccion 4.1: Utilice fuertes protocolos
de criptografía y seguridad
El LoadMaster con AFP proporciona una superposición de
aplicaciones para aprovechar sesiones TLS (SSL) con el
objetivo de mejorar el entorno de seguridad incluso cuando no
es nativamente soportado
Compatibilidad PCI-DSS

31. LoadMaster with AFP Security Services
Application Delivery
• Layer 4/7 Load Balancing
• Intrusion Prevention Services
• SNORT Rule Compatible
• TLS (SSL) Acceleration/Offload
• Caching, compression Engine
Custom App Rules
Rule Chaining
Application Profiling
Access Control
• LDAP / RADIUS / Multi-Factor
Authentication
• Granular access control
• Logging / Reporting
• Event logging
• Redundancy and Availability
• Active/Standby Configuration
Traffic Inspection
• OWASP Top 10
• HTTP/HTTPS Filtering
• Active or Passive Mode of
operation
• Cross-site scripting protection
• SQL Injection Protection
• IP Reputation Protection
• Cookie tampering protection
Logging &
Monitoring
Logging &
Monitoring
Application
Servers

32. KEMP AFP Service Workflow
L7 Parser
Caching &
Compression
ESP AFPIPS

33. Ventajas competitivas
SEGURIDAD
Edge Security Services, IPS/IDS y DDoS
mitigation son incluidos como estándar en todos
los LoadMaster apoyando una avanzada
estrategia de seguridad en la empresa.
DESARROLLO
Edge Security Services, IPS/IDS y DDoS
mitigation son incluidos como estándar en todos
los LoadMaster apoyando una avanzada
estrategia de seguridad en la empresa.
VALOR
KEMP lidera el mercado de ADC en términos de
valor / prestaciones, proporcionando tecnologías de
clase empresarial a una fracción del costo de la
competencia permitiendo a los clientes a reducir el
coste total de propiedad , así como permitir nuevas
líneas de negocio.
SOPORTE
Soporte Básico 10x5 Basic incluido en todos los
productos LoadMaster lo cual ofrece a los
clientes acceso a los recurso de soporte incluso
en el proceso de prueba. Este soporte está
también disponible con la adquisición de AFP.
KEMP lidera el mercado de ADC en términos de valor - para - características , proporcionando tecnologías de clase empresarial a una fracción del costo de la competencia permitiendo a los clie

34. NETWORK
FIREWALL
• En el extremo de la red
• Controla trafico basado en la
fuente, destino y protocolo.
• El cliente define las normas
WAF
• Se sitúa entre el firewall y los
servidores
• Analiza el tráfico HTTP con
comportamiento maligno
• El cliente define las normas y
además:
• Actualización diaria de las
principales amenazas
KEMP AFP vs. Network Firewall
AFP no es unNetwork
Firewall; es un WAF
El mejor sitio para
instalar WAF es en el punto
de desencriptación (ej.
LB/ADC)
El AFP usa el reconocido
motor ModSecurity WAF
con normas Trustwave

35. KEMP AFP resumen de prestaciones
Active (block and
log) Mode
Operation
Support
Built-In Logging
Cookie and Form
Tampering
Prevention
Cross-Site
Scripting (XSS)
Mitigation
Cross-Site
Request Forgery
(CSRF) Blocking
Daily Rule
Updates
Data Leak
Prevention
Encryption
Stream
Interception
IP Reputation
Checking
Full ADC
Integration
OWASP Top Ten
Protection
Passive (log only)
Mode Operation
Support
Packaged and
Custom
Application
Support
Support for PCI-
DSS Compliance
Trojan Protection

36. AFP Guía de configuración
http://kemptechnologies.com/files/assets/documentation/web-application-
firewall/Feature_Description-
Application_Firewall_Pack_Custom_Rules.pdf
AFP Guía de normas propias
http://kemptechnologies.com/files/assets/documentation/web-application-
firewall/Feature_Description-Application_Firewall_Pack.pdf
KEMP Help Center
https://support.kemptechnologies.com/hc/communities/public/topics
Resumen de la Solución
http://kemptechnologies.com/files/assets/data-sheets/KEMP-WAF.pdf