# F5

### Netacea F5 Plugin

Die Integration mit F5 Load Balancern basiert auf dem iRules LX-Modul.

'**iRules**' ist die allgemeine Bezeichnung für Scripting in der F5-Umgebung. In der Regel wird dies verwendet, um festzulegen, wie Anfragen durch den F5 load-balanced werden sollen, zusammen mit einigen leichtgewichtigen Sicherheitstools. Code-Blöcke sind in Phasen der Anfrage unterteilt, und Skripte können in einer vollständig F5-spezifischen Sprache geschrieben werden. Die Dokumentation für iRules finden Sie [here](https://clouddocs.f5.com/api/irules/).

'**iRules LX**' beschreibt eine Erweiterung von iRules, die hinzugefügt wurde, um die Verwendung weniger proprietärer Skriptsprachen zu ermöglichen (z. B. JavaScript). Ein vollständiger Node-Prozess läuft parallel zur F5-Integration auf dem Server, und Funktionen können über Remote Procedural Calls (RPC) aufgerufen werden. Die Dokumentation finden Sie [here](https://clouddocs.f5.com/api/irules-lx/).

<figure><img src="https://1167149896-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F6PpNBgdOJ87TpWxJ29CQ%2Fuploads%2Fgit-blob-0a48335d485b03714ef091e388941ec7c1974a78%2Fimage%20(13)%20(1).png?alt=media" alt=""><figcaption></figcaption></figure>

Die Implementierung einer F5-Integration besteht aus drei Hauptkomponenten. Wir haben allgemeine Module für die Schnittstelle zur Netacea-Plattform implementiert, einen F5-spezifischen Wrapper für die Bereitstellung des RPC über ILXServer (von F5 bereitgestelltes Modul) sowie eine iRule, die die Anfrageverarbeitungslogik und den Aufruf der Remote-Methoden übernimmt.

### Anfrageablauf

Wenn ein Besucher erstmals eine durch Netacea/F5 geschützte Website aufruft, fragt das Plugin den Netacea Protector API-Dienst ab. Wenn bekannt ist, dass der Besucher bösartig ist, führt das Plugin die entsprechende Mitigationsmaßnahme durch.

Ein Cookie mit Informationen über die Gültigkeit eines Benutzers wird auf dem Gerät des Clients platziert, um diesen weiter zu identifizieren, und wird regelmäßig auf Gültigkeit überprüft.\
\
Das Plugin streamt Protokolldaten über den Besucher und die Sitzung an den Netacea Monitor Ingest-Dienst, wo die Detection Engine von Netacea weitere Analysen durchführt, um zu bestätigen, ob es sich um einen gutartigen Akteur handelt. Diese Aktion erfolgt asynchron und fügt der Anfrage daher keine Latenz hinzu.\
\
Wenn die Aktivität des Besuchers zu irgendeinem Zeitpunkt bösartig wird, wird der Netacea Protector API-Dienst aktualisiert und das Plugin führt die entsprechende Mitigation durch.

Das folgende Diagramm und die ergänzenden Hinweise erläutern, wie der Traffic in dieser Implementierung fließt (auf einer hohen Ebene).\ <br>

<figure><img src="https://1167149896-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F6PpNBgdOJ87TpWxJ29CQ%2Fuploads%2Fgit-blob-a63f79567595a5623d6b823713aee6b14b8bba99%2FGitbook_diagrams_F5.jpg?alt=media" alt=""><figcaption></figcaption></figure>

1. Der Besucher ruft die durch Netacea/F5 geschützte Website auf.
2. Das Netacea F5 Plugin fragt den Netacea Protector API-Dienst ab, um zu prüfen, ob bekannt ist, dass der Besucher bösartig oder sicher ist.
3. Eine Kopie der Webanfrage wird als Protokolldaten zur Analyse gesendet, wobei unsere kollektive Bedrohungsintelligenz, maschinelles Lernen und Verhaltensanalyse verwendet werden, um festzustellen, ob die Anfrage sicher ist.
4. Die Analyseergebnisse werden veröffentlicht, damit das Netacea F5 Plugin sie lesen und bestimmen kann, welche Mitigationsstrategie für diesen Traffic verwendet werden soll.
5. Wenn die Anfragen gutartig sind, werden sie normal an den Origin weitergeleitet.
6. Wenn bei den Anfragen eine Mitigation erforderlich ist, wird die entsprechende Maßnahme ergriffen und dem Client bereitgestellt.