F5 APM – Certified Technology Specialist

J'ai écrit plus de 26 articles sur F5 APM dans ce blog. Je travaille intensivement avec F5 APM depuis 2020. Il était temps de franchir le pas pour postuler à l'examen 304. Vendredi dernier, j'étais très mal, des vomissements et de la diarrhée, mais je voulais passer l'examen. Ensuite, je suis allé à l'académie et j'ai réussi l'examen 304, que j'étudiais depuis cet été. J'ai réussi. Je suis vraiment content de passer ce niveau.

En plus d'écrire trop d'articles et d'enregistrer plusieurs vidéos, j'ai lu trois guides d'utilisation pour réussir cet examen. Le premier, le guide d'exploitation BIG-IP APM, dont la lecture est obligatoire, le second est le guide d'exploitation VPN pour la continuité des activités, qui a été rédigé pendant la pandémie COVID-19, et enfin le guide d'exploitation BIG-IP Edge Client, ce qui est vraiment intéressant pour comprendre comment fonctionne Edge Client et comment résoudre les problèmes.

Je travaillais déjà avec F5 APM en 2019 lorsque j'ai écrit sur l'authentification SSO. En fait, je voulais connaître les fonctionnalités de ce super module. Après cette formation, je travaillais avec un client pour configurer le SSO dans les applications SAP. Ce fut une expérience enrichissante. Ensuite, un client a dû configurer un accès réseau VPN SSL avec authentification OTP, où j'en ai appris encore plus sur F5 APM. De nombreux projets sur lesquels j'ai travaillé depuis, tels que SAML SSO dans MS Exchange ou SAML SSO dans Citrix. Tous ont été vraiment drôles.

Si vous voulez passer l'examen F5 APM, je pense qu'il vaut mieux que vous travailliez d'abord avec ce module. Vous devez configurer autant de laboratoires que possible. La formation avant de passer l'examen est d'obtenir un succès dans la note finale. J'espère que cet article vous intéressera !

A bientôt mes amis ! Envisagez-vous de passer l'examen F5 APM ?

F5 APM - OAuth Access Token

Il y a deux semaines j’ai écrit sur Fédération OAuth où j’ai expliqué la terminologie OAuth et le composants de cette norme. De plus, j’ai enregistré une vidéo où vous pouvez regarder comment on peut configurer un serveur d’autorisation avec F5 APM et comment on peut émettre des jetons d’accès. Aujourd’hui, je vais écrire des types d’autorisation d’accès configurables dans F5 APM où je vais aussi enregistrer une vidéo avec des configurations en F5 APM.

Un octroi d'autorisation est un identifiant utilisé par le client pour obtenir un jeton d'accès. Les informations d'identification représentent l'autorisation du propriétaire de la ressource d'accéder à ses ressources protégées. F5 APM prend en charge les types de baux suivants.

Code d'autorisation : cette autorisation est optimisée pour les applications côté serveur qui peuvent maintenir la confidentialité du client (ID client/secret client). Le client redirige le RO vers un AS, qui à son tour redirige le RO vers le client avec le code d'autorisation. Les informations d'identification RO ne sont jamais exposées à l'application cliente. La vidéo que j’ai enregistrée il y a deux semaines utilise ce type de consentement.

 

Code d'autorisation

Octroi implicite : Cette autorisation est utilisée pour les applications mobiles et Web qui ne peuvent pas garantir la confidentialité du client (ID client/secret client). Au lieu d'émettre un code d'autorisation au client, l'application envoie directement au client un jeton d'accès. L'URI de redirection utilisé pour fournir le jeton d'accès au client vérifie l'identité du client. L'AS n'authentifie pas le client.

 

Octroi implicite

Resource Owner Password Credential Grant (ROPC) : les utilisateurs fournissent leurs informations d'identification directement à l'application cliente, qui les utilise pour obtenir un jeton d'accès auprès du service. Vous ne devez utiliser cette autorisation que lorsque l'application est approuvée par l'utilisateur, par exemple lorsque le service est propriétaire de l'application cliente ou est le système d'exploitation du poste de travail de l'utilisateur.

 

ROPC

Ci-dessous, vous pouvez regarder une vidéo où j’ai configuré F5 APM pour émettre des jetons d’access de type ROPC. D’abord, je reçois un jeton via la console, et ensuite, via l’application Postman.

 

Quel type d'accès configurez-vous habituellement ?

F5 AFM - InterVLAN Security

 

Il existe principalement quatre architectures pour les services d'équilibrage de charge. Le mode à un bras est largement déployé lorsque nous voulons que seul le trafic des services de charge passe par des appareils d'équilibrage de charge, par exemple, lorsque les appareils d'équilibrage de charge sont licenciés par débit. Par conséquent, le trafic de service hors charge ne passe pas par les équilibreurs de charge. Le mode DSR ou le mode de retour direct du serveur n'est pas beaucoup utilisé car il y a un routage asymétrique et il y a beaucoup de problèmes avec les pare-feu de type stateful. Le mode transparent n'est pas utilisé. En fait, je n'ai jamais installé cette architecture du tout. Enfin, le mode route est également très déployé lorsque l'on dispose de dispositifs d'équilibrage de charge performants. Cependant, cette architecture nécessite que la passerelle de serveur soit l'équilibreur de charge qui ont des problèmes de sécurité.

Le principal problème de sécurité dans les architectures en mode route est de savoir comment refuser et autoriser le trafic inter-vlan, car si nous créons un serveur virtuel IPF, tout le trafic inter-vlan est autorisé par défaut. Cependant, il existe plusieurs configurations que nous pouvons appliquer pour refuser et autoriser le trafic inter-VLAN lorsque le mode route est déployé. Une méthode consiste à configurer des serveurs virtuels avec une passerelle de pare-feu en tant que membre du pool, mais il existe une bien meilleure méthode si le pare-feu est sous licence dans F5 BIG-IP.

J'ai enregistré une vidéo dans laquelle vous pouvez voir comment configurer une politique de sécurité avec des règles dans F5 AFM pour autoriser du trafic inter-VLAN ainsi que du trafic Internet. Tout d'abord, j'ai créé une règle pour autoriser uniquement le trafic Internet et, par conséquent, le trafic inter-VLAN est refusé. Enfin, j'ai modifié la politique pour autoriser également un certain trafic inter-VLAN. Vous pouvez également voir comment configurer un profil de journalisation pour voir le journal de trafic.

Comment configurez-vous le trafic inter-VLAN dans F5 BIG-IP ?

F5 APM – Fédération OAuth

J'ai travaillé avec OAuth dans l'APM F5 cette année pour un projet SSO. J'avais déjà travaillé avec la fédération SAML mais je n'avais pas tellement travaillé avec la fédération OAuth jusqu'à présent. OAuth et SAML sont des protocoles pour encourager et standardiser l'interopérabilité. Cependant, SAML est vraiment bon pour le processus d'authentification tandis que OAuth est la meilleure solution pour le processus d'authentification et d'autorisation. En fait, OAuth est très utilisé par des entreprises telles qu'Amazon, Google, Facebook, Microsoft et Twitter pour permettre aux utilisateurs de partager des informations sur leurs comptes avec des applications ou des sites Web tiers.

Open Authorization (OAuth) 2.0 est une infrastructure qui permet à une application d'obtenir un accès limité au nom d'un utilisateur à un service HTTP. Cependant, si nous voulons configurer OAuth, nous devons d'abord connaître la terminologie OAuth. Premièrement, le serveur de ressources (RS) est un serveur hébergeant la ressource protégée. Par exemple, un serveur virtuel BIG-IP LTM+APM. Deuxièmement, le propriétaire de la ressource (RO) est une entité capable d'accorder l'accès à une ressource protégée. Cela peut être, ou est généralement, un utilisateur sur un appareil client. Troisièmement, l'application client est une entité effectuant des demandes de ressources protégées au nom du propriétaire de la ressource et avec son autorisation. Les exemples incluent les applications de messagerie et de bureautique. Enfin, le serveur d'autorisation (AS) émet des jetons d'accès à l'application cliente après avoir authentifié avec succès le propriétaire de la ressource et obtenu l'autorisation. Cela peut être connecté à une base de données d'utilisateurs comme OpenLdap ou Active Directory.

Le diagramme suivant décrit le flux général du protocole OAuth 2.0. Tout d'abord, l'utilisateur accède à l'application cliente. Ensuite, l'application redirige l'utilisateur vers l'AS pour authentification. Lors de l'authentification, l'utilisateur est redirigé vers l'application cliente avec une autorisation accordée. Puis, l'application client récupère le jeton d'accès de l'AS en fournissant l'identifiant/secret client et l'octroi de l'autorisation. Finalement, l'application cliente accède aux données utilisateur sur le serveur de ressources en fournissant le jeton d'accès.

Flux de protocole OAuth 2.0

Ci-dessous, vous pouvez voir comment un jeton d'accès est obtenu à partir de l'application client Postman par rapport au serveur d'autorisation OAuth configuré dans F5 APM. En outre, vous pouvez voir que l'utilisateur ne peut pas accéder à la ressource protégée lorsque le jeton d'accès est révoqué.

Avez-vous déjà configuré OAuth dans F5 APM ?

F5 ASM ReCertified Technology Specialist

J'étudie F5 ASM depuis quelques semaines car j'ai dû me recertifier pour l'examen de spécialiste F5 ASM. J'ai déjà passé cet examen trois fois car la première fois que je l'ai fait c'était en 2018 et il faut le faire tous les deux ans. J'ai déjà beaucoup écrit sur F5 ASM, et il y a beaucoup d'articles à ce sujet, cependant, je voudrais laisser dans ce blog ce que j'ai fait cette fois pour réussir l'examen de recertification.

Tout d'abord, et peut-être le plus important, je travaille presque tous les jours avec F5 ASM. Le déploiement de nouveaux systèmes BIG-IP, les ajustements de la politique de sécurité et l'examen des événements et des suggestions sont généralement quotidiens. Cependant, la vérité est que je ne connais pas et ne configure pas tout ce qui est demandé à l'examen, comme l'intégration avec le scanner de vulnérabilité WhiteHat Sentinel, la configuration des profils JSON ou la configuration particulière des exceptions dans IP Intelligence.

Deuxièmement, j'ai de nouveau reçu le cours F5 ASM. La première fois, c'était en 2018, et le cours reçu cette année a été utile pour renforcer les concepts et les connaissances de la plateforme F5 WAF. Se rappeler comment configurer les profils CSRF, les profils de protection contre les attaques par force brute ou comment mener des attaques XSS Reflected est important pour réussir l'examen de certification.

Enfin, même si les questions d'examen portent sur la version 12.1 du firmware, j'aime lire et écrire sur les nouvelles fonctionnalités de BIG-IP V16 et BIG-IP v17. De plus, j'ai écrit plusieurs articles sur F5 ASM depuis la dernière fois que j'ai réussi l'examen. Des articles sur la désactivation des signatures d'attaque, l'intégration avec le scanner de vulnérabilité Qualys, la transmission des événements de sécurité à BIG-IQ ou la protection contre le piratage de session sont quelques-uns des articles que vous pouvez lire sur mon blog personnel.

Par conséquent, si vous souhaitez réussir l'examen de spécialiste F5 ASM, je vous recommande d'installer une machine virtuelle F5 ASM de laboratoire dans la version 12.1 et de vous entraîner beaucoup en utilisant la plupart des profils et des configurations.

Vous souhaitez être certifié en F5 ASM ?