Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Resumen de funcionalidades
Dic-2020
Índice
1. Introducción a FortiADC........................................................................................4
2. Características.........................................................................................................5
2.1. Disponibilidad de Aplicaciones.......................................................................5
2.1.1. Aceleración de aplicaciones empresariales y rendimiento..........................6
2.1.2. Inteligencia y control consciente de la aplicación.......................................6
2.1.3. Scripting para extender las funcionalidades nativas....................................6
2.1.4. Descarga de SSL, proxy directo y visibilidad.............................................6
2.1.5. Conector Kubernetes (Ingress Controller)...................................................7
2.2. Global Server Load Balancing........................................................................7
2.3. Link Load Balancing.......................................................................................9
2.4. Web Application Firewall.............................................................................10
2.4.1. Firmas de Ataques Web.............................................................................10
2.4.2. Escáner de Vulnerabilidades Web.............................................................11
2.4.3. Detección de SQLi y XSS.........................................................................11
2.4.4. Prevención de Fugas de Información........................................................11
2.4.5. Anti-Web Defacement...............................................................................11
2.4.6. Protección contra ataques de Fuerza Bruta................................................12
2.4.7. Validación de Entrada (Restricción de Ficheros)......................................12
2.4.8. Protección CSRF.......................................................................................12
2.4.9. Seguridad de Cookies................................................................................13
2.4.10. Web Scraping.............................................................................................13
2.4.11. Validación XML/JSON/SOAP/OpenAPI..................................................13
2.4.12. Validación de Cumplimiento de RFC HTTP.............................................14
2.4.13. Cumplimiento Normativo – Protección contra OWASP Top 10..............14
2.5. Autenticación de Usuarios.............................................................................15
2.6. Protección de Aplicaciones...........................................................................16
2.6.1. Prevención anti DDoS...............................................................................17
2.6.2. AntiVirus y Malware.................................................................................17
2.6.3. Bots y Detección y Protección de IPs maliciosas (Reputación IP)...........18
2.6.4. FortiGuard..................................................................................................18
2.6.5. Security Fabric...........................................................................................19
2.7. Optimización de Aplicaciones.......................................................................20
2.8. Sistema y Red................................................................................................21
2.8.1. Virtual Domains (VDOMs).......................................................................21
2.8.2. Interacción por API....................................................................................21
2
2.8.3. Gestión Centralizada..................................................................................21
2.8.4. Alta Disponibilidad....................................................................................22
2.9. Monitorización e Informes............................................................................23
2.10. Despliegue.................................................................................................25
2.11. Modelos Hardware y Virtual Appliance....................................................26
3
1. Introducción a FortiADC
La solución de Application Delivery Controllers (ADC) de Fortinet, FortiADC, optimiza
la disponibilidad, experiencia de usuario, rendimiento, y seguridad de las
aplicaciones. La familia de dispositivos físicos y virtuales de FortiADC facilita el
despliegue y aceleración de las cada vez más demandantes aplicaciones
empresariales, garantizando una entrega rápida, inteligente y segura.
4
- Disponible tanto en dispositivos físico como virtuales para un gran abanico de
sistemas de virtualización y soluciones de Cloud Pública.
2. Características
5
2.1.1. Aceleración de aplicaciones empresariales y rendimiento
FortiADC descarga las tareas de descifrado SSL que supondrían un uso intensivo de
recursos para los servidores, soportando claves de hasta 4096-bits y protocolo TLS
1.3, gestión de conexiones TCP, compresión de datos y procesamiento de peticiones
HTTP desde los servidores. Esto se traduce en una mejora de los tiempos de
respuesta y una reducción de la carga en los servidores finales, permitiéndoles dar
servicio a un mayor número de usuarios.
6
La funcionalidad de Proxy Directo (SSL Forward Proxy) de FortiADC hace uso de su
gran capacidad de cifrado/descifrado para permitir que otros dispositivos, como por
ejemplo los firewalls FortiGate, puedan inspeccionar el tráfico en búsqueda de
amenazas sin tener que gestionar la parte de cifrado/descifrado del SSL. Esto se
puede lograr con múltiples arquitecturas, como por ejemplo poniendo unos equipos
FortiADC en línea antes y después del firewall.
El balanceo de carga global (GSLB), es una solución basada en DNS, que nos permite
desplegar recursos redundantes por todo el planeta, y que podemos utilizar para
mantener nuestra organización online incluso cuando en un determinado área hay
una caída de servicios o un problema inesperado.
7
Con esta solución, FortiADC implementa un servidor DNS basado en BIND9, que es
desplegado como el DNS autoritario de las zonas que configuremos. Los recursos
disponibles en cada zona se generan dinámicamente en base a la lógica de balanceo
global definida. La respuesta DNS que se devuelve a una petición de cliente se
construye mediante una lista ordenada de respuestas que incluyen todos los
servidores virtuales disponibles. Un cliente que recibe una respuesta DNS con dicha
lista de respuestas, atacará a la primera, y sólo procederá a las siguientes respuestas
en caso de que la primera no sea alcanzable.
8
2.3. Link Load Balancing
Las funcionalidades de LLB han sido diseñadas para gestionar tráfico entre múltiples
ISP o enlaces WAN. Esto permite que las organizaciones dispongan de varios enlaces
para así reducir el riesgo de pérdida de servicio, aumentar el ancho de banda
disponible para momentos puntuales, y potencialmente reducir los costes si por
ejemplo el ISP realiza facturación basada en caudal de ancho de banda o en horas
pico/valle.
En la mayoría de los casos, LLB se configura para tráfico saliente. Este tipo de tráfico
puede ser de usuarios o tráfico de servidores que es enrutado a través de la red local
hasta las redes de tránsito del ISP u otros enlaces WAN para alcanzar los destinos en
Internet o la WAN. Mediante la configuración de políticas de enlaces, podremos
seleccionar el Gateway más adecuado para cada tipo de tráfico en cada momento,
en base, por ejemplo, al origen, destino y servicio.
9
2.4. Web Application Firewall
Las aplicaciones desprotegidas son el punto de entrada más sencillo para los hackers
ya que pueden ser vulnerables a una gran lista de ataques. FortiADC Web Application
Firewall (WAF) se encarga de dotar a las aplicaciones web de una protección
completa de OWASP Top 10 y más. El servicio de seguridad alimentado por la
inteligencia de FortiGuard utiliza información basada en las más recientes
vulnerabilidades de aplicación, bots, URLs sospechosas y patrones de datos, así como
motores heurísticos de detección especializados, para proteger las aplicaciones de:
Este servicio de seguridad proporcionado por FortiGuard ofrece una base de datos
de firmas de ataques orientados a aplicaciones, que se actualiza periódicamente
para proteger ante nuevos tipos de ataques.
10
2.4.2. Escáner de Vulnerabilidades Web
Con este escáner, FortiADC puede analizar la aplicación web del cliente y generar un
informe detallado de las vulnerabilidades descubiertas
Los ataques de inyección XSS hacen que un navegador ejecute un script en el lado
cliente.
DLP proporciona también medidas para evitar la fuga de información sensible como
tarjetas de crédito, números de la seguridad social, u otros patrones o conjuntos de
palabras que podremos definir en base a expresiones regulares.
11
La funcionalidad de anti-defacement examina los ficheros de una página web en
búsqueda de cambios en intervalos de tiempo configurables. En caso de detectar un
cambio que pudiera indicar un ataque de desfiguración, FortiADC puede notificarlo
para una rápida reacción.
FortiADC soporta las siguientes funcionalidades para prevenir este tipo de ataques:
- Monitorizar y contar las marcas temporales de los login fallidos (se reinician
tras cada login satisfactorio).
- Permitir al usuario establecer un código de login fallido.
- Si el contador alcanza el límite fijado, tomar una acción (bloquear un tiempo).
- Limitar las peticiones aceptadas en base a la IP origen de las mismas.
- Limitar las peticiones aceptadas en base al hostname, pudiendo especificarse
mediante expresiones regulares.
- Limitar las peticiones aceptadas en base a la URL consultada, pudiendo
especificarse mediante expresiones regulares.
12
FortiADC utiliza dos listas de objetos, una de páginas web para proteger ante
ataques CSRF y otra que corresponde a las URLs encontradas en peticiones que esas
páginas generan:
- Lista de Páginas: cuando FortiADC recibe una petición para enviar a una
página web de la lista, embebe un java-script en la misma.
- Lista de URLs: esta lista contiene todas las URLs que se espera que contengan
el parámetro de token. FortiADC verificará el parámetro de token cada vez
que se acceda a dichas URLs.
Las Cookies HTTP son pequeñas piezas de datos enviados por una página web y
almacenadas en el dispositivo del usuario. En algunos casos, se almacena
información sensible como por ejemplo una contraseña.
13
Las comprobaciones XML se componen de 6 partes, y cada una de ellas realiza una
única función de detección
En otras ocasiones, los hackers tratan de explotar vulnerabilidades en los datos JSON
en una petición HTTP de tipo POST para atacar a los servidores web. FortiADC WAF
realiza comprobaciones de seguridad que examinan las peticiones HTTP de los
clientes en búsqueda de anomalías en los datos JSON en peticiones HTTP POST. Esto
garantiza que los datos JSON que llegan a los servidores web están bien formados.
Algunas de las protecciones de seguridad incluidas:
Open Web Application Security Project (OWASP) es una organización mundial sin
ánimo de lucro enfocada en establecer un marco de trabajo seguro en el desarrollo
de aplicaciones. Su misión es la de visibilizar la necesidad de aplicar seguridad al
software, para que las organizaciones puedan realizar decisiones fundadas sobre los
verdaderos riesgos de seguridad asociados al software.
14
2.5. Autenticación de Usuarios
La autenticación HTTP de FortiADC se puede utilizar junto con una aplicación que ya
tenga un mecanismo de autenticación. Sin embargo, lo habitual es utilizarlo cuando
la página no lo tiene, o si queremos centralizar la lógica de autenticación en un único
dispositivo en vez de tener una lógica local en cada aplicación.
15
La funcionalidad de Authentication Relay de FortiADC soporta, además de HTTP
Basic, dos tipos diferentes de autenticación delegada de Kerberos:
En el caso de que los usuarios tengan que acceder a múltiples páginas webs de un
mismo dominio, y tengamos cuentas centralizadas en algún directorio como por
ejemplo LDAP, Microsoft Active Directory o un servidor RADIUS, resulta interesante
configurar single sign-on (SSO) y una combinación de controles de acceso y
autenticación en vez de simplemente configurar reglas de autenticación HTTP. A
diferencia de estas últimas, SSO no requiere que los usuarios se autentiquen cada
vez que acceden a una aplicación dentro del dominio, mejorando enormemente la
experiencia de usuario al sólo tener que hacerlo una vez.
Normalmente, los dos factores se dividen entre algo que debes saber (como una
contraseña) y algo que debes tener (como un token). Esto hace que sea más difícil
para un atacante el conseguir acceso a tu cuenta ya que debería tener acceso tanto a
tu contraseña como al token de seguridad.
FortiADC también puede actuar como ADFS Proxy para facilitar el despliegue de
ADFS. Si todos los usuarios y aplicaciones son internos, no hay necesidad de utilizar
esta funcionalidad, pero si existe algún requisito para exponer este servicio de
federación de identidades hacia Internet, FortiADC puede ayudar haciendo la labor
de ADFS Proxy para ofrecer un servicio garantizado y seguro.
16
2.6.1. Prevención anti DDoS
Capa de Aplicación
- Límite de conexiones HTTP: limita el número de conexiones TCP por sesión
HTTP. Esto puede prevenir inundaciones de TCP desde clientes operando tras
una IP compartida con clientes inocentes. Para ello será necesario soportar
Cookies.
- Límite de Accesos HTTP: limita el número de peticiones HTTP por segundo,
por IP origen. Esta funcionalidad previene inundaciones de peticiones HTTP
que incluyen muchas URLs diferentes.
- Protección contra Inundaciones HTTP: limita el número de peticiones HTTP
por segundo, por sesión. Esta funcionalidad utiliza cookies de sesión a nivel
de aplicación en vez de únicamente información de la conexión TCP/IP a nivel
de red. Será necesario por tanto el soporte de Cookies.
Capa de Red
- Protección contra Inundaciones de Acceso mediante Conexiones TCP: una
inundación de conexiones hace referencia a una cantidad abrumadora de
conexiones intentando inundar un servidor. Esto puede venir de una única IP
o de una botnet por lo que el control se aplica por IP origen.
- Protección contra Inundaciones TCP Slow: un ataque de tipo Slow envía
peticiones legítimas a la capa de aplicación, pero mantiene las conexiones
abiertas indefinidamente con el fin de agotar el límite de conexiones
disponibles del servidor.
- Protección contra Fragmentación IP: ataque IP que busca denegar servicios a
la red mediante la creación de paquetes fragmentados de un tamaño lo
suficientemente grande para sobrepasar los buffers del dispositivo.
17
La integración de FortiADC con FortiSandbox como parte del Security Fabric de
Fortinet, ofrece protección avanzada contra ataques de día-0. Adicionalmente,
FortiADC permite proteger a los usuarios de correo contra ficheros maliciosos
adjuntados a través de OWA o ActiveSync.
Un alto porcentaje del tráfico web es generado por los denominados bots. Estos bots
no son más que clientes automatizados que tratan de encontrar información
importante en páginas webs, o copiar imágenes u otros contenidos. Además, estos
bots se utilizan habitualmente para hacer recorridos de páginas web (webscraping)
con el fin de obtener toda la información disponible de las mismas.
Análisis de Bots
- FortiADC proporciona una distinción de tráfico entre bots maliciosos y
motores de búsqueda conocidos como Google. El análisis de bots muestra
estadísticas de acceso por clientes automatizados como indexadores,
analizadores de contenido y otras herramientas.
Reputación IP
- La base de datos dinámica alimentada por FortiGuard protege ante el acceso
desde IPs maliciosas conocidas, cubriendo un amplio rango, como por
ejemplo:
o Botnets.
o Proxys Anónimos.
o Phising.
o Spam.
o Redes Tor.
2.6.4. FortiGuard
18
aprendizaje automático más reconocidos y experimentados de la industria. Lo
utilizamos para brindar protección, visibilidad y continuidad comercial comprobadas
y sin paralelo en todo el Fortinet Security Fabric, protegiendo a nuestros clientes
contra la amplia gama de amenazas cambiantes y sofisticadas.
19
2.7. Optimización de Aplicaciones
- HTTP caching. Este mecanismo nos permite reducir la carga de los servidores,
la saturación del ancho de banda, el incremento de las latencias, y aumentar
el rendimiento de la red. Cuando tenemos habilitado el caching en un perfil
de servidor virtual, FortiADC almacena datos de la aplicación, como imágenes
y videos, de forma que cuando estos son solicitados al servidor, los devuelve
el ADC directamente, disminuyendo la carga de trabajo del servidor y
acelerando el funcionamiento de la aplicación.
20
- Compresión de datos: FortiADC se puede hacer cargo de las tareas de
compresión y des-compresión de la información enviada a las aplicaciones.
Esta acción la realiza en lugar de dejársela al servidor final, permitiendo a
este dedicar más recursos de procesamiento para la aplicación. Cuando la
compresión está habilitada en FortiADC, éste comprime tráfico HTTP y HTTPS
de forma inteligente. Esto reduce el tamaño de los paquetes que van hacia y
desde el servidor al cliente, acelerando así el tráfico de la aplicación. FortiADC
soporta los algoritmos estándares GZIP y DEFLATE, entre otros.
21
2.8.4. Alta Disponibilidad
- Activo-Pasivo
o Sólo el nodo primario está activo, por lo que es el único nodo que
recibe y procesa tráfico.
o Sincronización completa de la configuración
o Failover transparente
o Sin pérdida de servicio
- Activo-Activo
o Todos los nodos, hasta un total de 8, reciben tráfico.
o Necesita de un elemento de red que distribuya el tráfico entre los
nodos del cluster.
o Sincronización completa de la configuración
o Failover transparente
o Sin pérdida de servicio
- Activo-Activo-VRRP
o Todos los nodos pueden recibir tráfico, pudiendo seleccionar qué
servicios gestiona cada uno de los nodos.
o No necesita de un elemento adicional para distribuir la carga entre los
nodos.
o Sincronización completa de la configuración y persistencia
o Failover transparente
o Sin pérdida de servicio
22
2.9. Monitorización e Informes
El Dashboard y los Widgets muestran una clara visión del estado global del servicio,
entre los que se encuentran por ejemplo los siguientes Widgets:
23
Adicionalmente a los informes basados en logs, FortiADC incluye analítica de datos
para ayudar en el seguimiento del uso de los servidores, mostrando información
como las páginas solicitadas y el número de peticiones, tiempos de respuesta,
volúmenes de tráfico, y ataques. Esto permite ampliar el campo de visión y actuar en
base a los eventos reportados.
24
2.10. Despliegue
FortiADC puede ser desplegado de múltiples formas. Estos son los 4 modos de
despliegue más habituales de FortiADC:
25
2.11. Modelos Hardware y Virtual Appliance
Hardware Specifications FORTIADC 100F FORTIADC 200F FORTIADC 300F FORTIADC 400F
L4/L7 Throughput 1.5 Gbps / 1.3 Gbps 3 Gbps / 2.2 Gbps 8 Gbps 15 Gbps / 12 Gbps
Memory 8 GB 8 GB 16 GB 32 GB
Virtual Domains 10 10 10 20
2x 10 GE SFP+, 4x
4x GE RJ45, 2x GE 4x GE RJ45, 4x GE
Network Interfaces 6x GE RJ45 GE SFP, 4x GE
SFP SFP
RJ45
HTTPS, SSH CLI, HTTPS, SSH CLI, HTTPS, SSH CLI, HTTPS, SSH CLI,
Management Direct Console DB9 Direct Console DB9 Direct Console DB9
CLI, SNMP CLI, SNMP Direct Console DB9
CLI, SNMP
CLI, SNMP
26
Single (optional
Power Supply Single Single Single
Redundant PS)
Hardware Specifications FORTIADC 1000F FORTIADC 2000F FORTIADC 4000F FORTIADC 5000F
L4/L7 Throughput 20 Gbps / 15 Gbps 40 Gbps / 25 Gbps 60 Gbps / 35 Gbps 250 Gbps / 220 Gbps
SSL Bulk Encryption Throughput 7.5 Gbps 11 Gbps 14 Gbps 120 Gbps
Virtual Domains 45 60 90 90
HTTPS, SSH CLI, HTTPS, SSH CLI, HTTPS, SSH CLI, HTTPS, SSH CLI,
Management Direct Console DB9 Direct Console DB9 Direct Console DB9 Direct Console DB9
CLI, SNMP CLI, SNMP CLI, SNMP CLI, SNMP
* Layer 7 CPS — measures number of new HTTP connections (1 HTTP request per TCP connection)
** Tested with 1 HTTP request per SSL connection; SSL Ciphers=AES256-SHA; 2K Keys
Virtual Domains 10 10 10 10 15 20
* Actual performance values may vary depending on the network traffic and system configuration. Performance results were observed using an appliance with an Intel CPU
E5-1650 v2 @ 3.50 GHz running VMware ESXi 5.5.
27