FortiADC

Resumen de funcionalidades
Dic-2020
Índice
1. Introducción a FortiADC........................................................................................4
2. Características.........................................................................................................5
2.1. Disponibilidad de Aplicaciones.......................................................................5
2.1.1. Aceleración de aplicaciones empresariales y rendimiento..........................6
2.1.2. Inteligencia y control consciente de la aplicación.......................................6
2.1.3. Scripting para extender las funcionalidades nativas....................................6
2.1.4. Descarga de SSL, proxy directo y visibilidad.............................................6
2.1.5. Conector Kubernetes (Ingress Controller)...................................................7
2.2. Global Server Load Balancing........................................................................7
2.3. Link Load Balancing.......................................................................................9
2.4. Web Application Firewall.............................................................................10
2.4.1. Firmas de Ataques Web.............................................................................10
2.4.2. Escáner de Vulnerabilidades Web.............................................................11
2.4.3. Detección de SQLi y XSS.........................................................................11
2.4.4. Prevención de Fugas de Información........................................................11
2.4.5. Anti-Web Defacement...............................................................................11
2.4.6. Protección contra ataques de Fuerza Bruta................................................12
2.4.7. Validación de Entrada (Restricción de Ficheros)......................................12
2.4.8. Protección CSRF.......................................................................................12
2.4.9. Seguridad de Cookies................................................................................13
2.4.10. Web Scraping.............................................................................................13
2.4.11. Validación XML/JSON/SOAP/OpenAPI..................................................13
2.4.12. Validación de Cumplimiento de RFC HTTP.............................................14
2.4.13. Cumplimiento Normativo – Protección contra OWASP Top 10..............14
2.5. Autenticación de Usuarios.............................................................................15
2.6. Protección de Aplicaciones...........................................................................16
2.6.1. Prevención anti DDoS...............................................................................17
2.6.2. AntiVirus y Malware.................................................................................17
2.6.3. Bots y Detección y Protección de IPs maliciosas (Reputación IP)...........18
2.6.4. FortiGuard..................................................................................................18
2.6.5. Security Fabric...........................................................................................19
2.7. Optimización de Aplicaciones.......................................................................20
2.8. Sistema y Red................................................................................................21
2.8.1. Virtual Domains (VDOMs).......................................................................21
2.8.2. Interacción por API....................................................................................21

2
2.8.3. Gestión Centralizada..................................................................................21
2.8.4. Alta Disponibilidad....................................................................................22
2.9. Monitorización e Informes............................................................................23
2.10. Despliegue.................................................................................................25
2.11. Modelos Hardware y Virtual Appliance....................................................26

3
 1. Introducción a FortiADC
La solución de Application Delivery Controllers (ADC) de Fortinet, FortiADC, optimiza
la disponibilidad, experiencia de usuario, rendimiento, y seguridad de las
aplicaciones. La familia de dispositivos físicos y virtuales de FortiADC facilita el
despliegue y aceleración de las cada vez más demandantes aplicaciones
empresariales, garantizando una entrega rápida, inteligente y segura.

Las principales características de FortiADC son:

- Rendimiento ADC desde 500Mbps hasta 250Gbps

- Balanceo de Carga Avanzado de Capa 7 (SLB): Enrutamiento intuitivo de
Capa 7 basado en políticas, para reescribir contenido de manera dinámica,
dando así soporte a configuraciones de servidores y aplicaciones complejas.
- Firewall de Aplicaciones Web (WAF): WAF Avanzado que protege las
aplicaciones mediante técnicas como Firmas de Ataques de Aplicaciones
Web, Validación de Protocolos, Escáner de Vulnerabilidades Web, Detección
de Bots, DLP y Restricción de Ficheros.
- Descarga de SSL (SSL Offloading), Proxy Directo y visibilidad: la descarga del
SSL basado en software y hardware reduce el impacto en rendimiento sobre
la infraestructura de servidores, proporcionando además visibilidad sobre el
tráfico cifrado, pudiendo enviar dicho tráfico a dispositivos externos como
FortiGate para ser inspeccionado en búsqueda de amenazas.
- Optimización de Aplicaciones: aumenta la velocidad de entrega de
aplicaciones mediante técnicas de compresión, caching estático y dinámico,
pasarela HTTP/2, y HTTP PageSpeed, mejorando así el uso de recursos de la
red y servidores web.
- Balanceo de Carga Global (GSLB): la funcionalidad de GSLB incluida
distribuye el tráfico entre múltiples localizaciones geográficas para mejorar
los tiempos de respuesta en el acceso a las aplicaciones, o para escenarios de
respaldo ante caída de un servicio o un centro de datos.
- Autenticación de Usuarios: aplicación de políticas de autenticación para
controlar el acceso a las aplicaciones, soportando, entre otros, Kerberos,
SAML, SSO, y doble factor de autenticación (2FA) con FortiToken/FortiToken
Cloud o Google Authenticator.
- Balanceo de Líneas (LLB): LLB permite la distribución de tráfico entre
múltiples ISPs o circuitos para aumentar la resiliencia y reducir la necesidad
de costosas mejoras de caudal.
- Protección de Aplicaciones: mecanismos de seguridad avanzada de
aplicaciones con servicios de reputación IP, protección DDoS a nivel de
aplicación y red, sistema de prevención de intrusiones (IPS), AntiVirus y
protección Geo-IP.
- Gestión Centralizada: permite la gestión de múltiples FortiADC desde una
única consola.

4
 - Disponible tanto en dispositivos físico como virtuales para un gran abanico de
sistemas de virtualización y soluciones de Cloud Pública.

2. Características

2.1. Disponibilidad de Aplicaciones

Los dispositivos FortiADC ofrecen una disponibilidad de aplicaciones y servicios del

99.999% gracias a sus funcionalidades de balanceo inteligente, tanto local como
global. FortiADC ofrece mecanismos de monitorización de la capa de aplicaciones
para realizar conmutaciones automáticas de los servicios de aplicación, a la vez que
utiliza la información recogida de la monitorización de líneas a través de Link Load
Balancing para optimizar la conectividad WAN. Esto se traduce en una disponibilidad
de aplicaciones 24x7 a la vez que se reducen los riesgos que puedan afectar a la
continuidad del negocio.

5
 2.1.1. Aceleración de aplicaciones empresariales y rendimiento

Los dispositivos FortiADC se basan en una tecnología de procesadores multi-core,

combinados con la descarga del SSL basada en hardware para acelerar el
rendimiento de las aplicaciones. Mediante políticas de calidad de servicio (QoS), son
capaces de optimizar y manejar altas cargas de tráfico en Capas 4/7, a la vez que
garantizan la entrega de aplicaciones sensibles a la latencia, ya sea para
organizaciones pequeñas, medianas o grandes.

2.1.2. Inteligencia y control consciente de la aplicación

Los dispositivos FortiADC entienden el contexto de las aplicaciones para eliminar

cuellos de botella que afecten al rendimiento, reducir la complejidad en el
despliegue de aplicaciones, y facilitar una integración sencilla de las mismas. Al estar
al tanto del tráfico desde la Capa 4 hasta la Capa 7 de las aplicaciones, conexiones,
transacciones y contenido, permite a las organizaciones crear unas políticas basadas
en eventos para una distribución sencilla del tráfico de las aplicaciones entre los
diferentes servidores de aplicación y web, eliminando así la necesidad de replicar el
contenido entre múltiples servidores. Esta inteligencia se extiende a la posibilidad de
crear complejas reglas para reescribir contenido dinámicamente, ya sea mediante las
herramientas nativas o a través de reglas personalizadas mediante el lenguaje de
scripting de FortiADC.

2.1.3. Scripting para extender las funcionalidades nativas

El scripting de FortiADC basado en lenguaje Lua ofrece la flexibilidad para crear

reglas personalizadas basadas en eventos, mediante comandos, variables y
operadores predefinidos. Gracias a la sencilla creación de scripts, se obtiene la
flexibilidad necesaria para extender FortiADC con reglas de negocio especializadas
que ofrecen posibilidades prácticamente ilimitadas de creación de lógicas de
distribución de carga y reescritura de contenidos para cumplir con las necesidades
de cualquier empresa.

2.1.4. Descarga de SSL, proxy directo y visibilidad

FortiADC descarga las tareas de descifrado SSL que supondrían un uso intensivo de
recursos para los servidores, soportando claves de hasta 4096-bits y protocolo TLS
1.3, gestión de conexiones TCP, compresión de datos y procesamiento de peticiones
HTTP desde los servidores. Esto se traduce en una mejora de los tiempos de
respuesta y una reducción de la carga en los servidores finales, permitiéndoles dar
servicio a un mayor número de usuarios.

6
La funcionalidad de Proxy Directo (SSL Forward Proxy) de FortiADC hace uso de su
gran capacidad de cifrado/descifrado para permitir que otros dispositivos, como por
ejemplo los firewalls FortiGate, puedan inspeccionar el tráfico en búsqueda de
amenazas sin tener que gestionar la parte de cifrado/descifrado del SSL. Esto se
puede lograr con múltiples arquitecturas, como por ejemplo poniendo unos equipos
FortiADC en línea antes y después del firewall.

FortiADC garantiza un re-cifrado transparente del tráfico manteniendo los

certificados intactos para evitar afectar a la experiencia de uso. FortiADC también
permite ser utilizado para proporcionar visibilidad SSL sobre soluciones de terceros,
permitiendo a las organizaciones inspeccionar el tráfico SSL con una arquitectura
fuera de banda.

2.1.5. Conector Kubernetes (Ingress Controller)

El conector nativo de Kubernetes de FortiADC se emplea para sincronizar objetos

desde Kubernetes (servicios, nodos y pods) para actualizar dinámicamente los
miembros de las granjas utilizados en la publicación de servicios.

2.2. Global Server Load Balancing

Las funcionalidades incluidas en FortiADC de Global Server Load Balancing (GSLB) o

Balanceo de Carga Global, permiten tener una red siempre disponible, escalando
aplicaciones a través de múltiples centros de datos para alta resiliencia y para
mejorar los tiempos de respuesta de las aplicaciones. Los administradores pueden
configurar reglas para enviar el tráfico en base a la disponibilidad de cada ubicación,
rendimiento del centro de datos y latencia de la red.

El balanceo de carga global (GSLB), es una solución basada en DNS, que nos permite
desplegar recursos redundantes por todo el planeta, y que podemos utilizar para
mantener nuestra organización online incluso cuando en un determinado área hay
una caída de servicios o un problema inesperado.

7
Con esta solución, FortiADC implementa un servidor DNS basado en BIND9, que es
desplegado como el DNS autoritario de las zonas que configuremos. Los recursos
disponibles en cada zona se generan dinámicamente en base a la lógica de balanceo
global definida. La respuesta DNS que se devuelve a una petición de cliente se
construye mediante una lista ordenada de respuestas que incluyen todos los
servidores virtuales disponibles. Un cliente que recibe una respuesta DNS con dicha
lista de respuestas, atacará a la primera, y sólo procederá a las siguientes respuestas
en caso de que la primera no sea alcanzable.

GSLB soporta las siguientes características de seguridad:

- DNSSEC: Domain Name System Security Extensions proporciona

autenticación mediante la asociación de firmas digitales generadas
criptográficamente con conjuntos de recursos de registros (RR) DNS. Este
sistema simplifica la gestión de claves que deben ser proporcionadas al
dominio DNS superior (parent) y las claves que deben ser importadas por los
dominios DNS inferiores (child)
- Limitación de tasa de respuestas: esta funcionalidad ayuda a mitigar ataques
de denegación de servicio orientados a DNS, reduciendo el número de
respuestas que devuelve un servidor DNS autoritativo ante una elevada tasa
de peticiones maliciosas.
- DNS Forwarding: en un despliegue empresarial típico, el cliente tiene
configurada la IP de un servidor DNS autoritativo interno, de forma que las
peticiones a recursos internos son resueltas directamente con los datos
disponibles en esa zona. Las peticiones a recursos externos se envían a otro
servidor DNS conocido como forwarder, que se encarga de gestionar y
optimizar las siguientes búsquedas. El uso de forwarders reduce el número
de servidores DNS que necesitan conectividad para comunicarse hacia
servidores DNS de Internet.

8
 2.3. Link Load Balancing

La funcionalidad nativa de Link Load Balancing (LLB) permite conectar el dispositivo

FortiADC a dos o más enlaces WAN para reducir el riesgo de pérdidas de servicio o
añadir ancho de banda adicional para reducir la congestión de tráfico. FortiADC
soporta balanceo de líneas tanto para tráfico saliente como entrante.

Mediante enrutamiento basado en políticas, FortiADC puede soportar requisitos

complejos de enrutamiento y NAT para dar solución a prácticamente cualquier
arquitectura de balanceo de líneas. Con Tunnel Routing se consigue una conectividad
site-to-site rápida y fiable sin la necesidad de contratar caros enlaces WAN. Permite
agregar múltiples enlaces para crear un túnel virtual contra un centro de datos
remoto que asegure la disponibilidad, especialmente para aplicaciones sensibles que
requieren de una sesión única de larga duración y mucho caudal como puede ser la
videoconferencia.

Las funcionalidades de LLB han sido diseñadas para gestionar tráfico entre múltiples
ISP o enlaces WAN. Esto permite que las organizaciones dispongan de varios enlaces
para así reducir el riesgo de pérdida de servicio, aumentar el ancho de banda
disponible para momentos puntuales, y potencialmente reducir los costes si por
ejemplo el ISP realiza facturación basada en caudal de ancho de banda o en horas
pico/valle.

En la mayoría de los casos, LLB se configura para tráfico saliente. Este tipo de tráfico
puede ser de usuarios o tráfico de servidores que es enrutado a través de la red local
hasta las redes de tránsito del ISP u otros enlaces WAN para alcanzar los destinos en
Internet o la WAN. Mediante la configuración de políticas de enlaces, podremos
seleccionar el Gateway más adecuado para cada tipo de tráfico en cada momento,
en base, por ejemplo, al origen, destino y servicio.

9
 2.4. Web Application Firewall

Las aplicaciones desprotegidas son el punto de entrada más sencillo para los hackers
ya que pueden ser vulnerables a una gran lista de ataques. FortiADC Web Application
Firewall (WAF) se encarga de dotar a las aplicaciones web de una protección
completa de OWASP Top 10 y más. El servicio de seguridad alimentado por la
inteligencia de FortiGuard utiliza información basada en las más recientes
vulnerabilidades de aplicación, bots, URLs sospechosas y patrones de datos, así como
motores heurísticos de detección especializados, para proteger las aplicaciones de:

- Amenazas sofisticadas como SQL Injection, Cross-Site Scripting, Buffer

Overflows, y Cookie Poisoning.
- Recursos maliciosos.
- Validación de entrada y Restricción de Ficheros.
- Fuerza Bruta y anti-web defacement.
- Escáner de Vulnerabilidades Web.
- Prevención de Fugas de Información.

Mediante el uso de técnicas avanzadas para proteger bidireccionalmente ante

orígenes maliciosos de los ataques DDoS a la capa de aplicación y amenazas
sofisticadas como SQL Injection y XSS, la plataforma FortiADC ayuda a evitar el robo
de identidad, fraude financiero, o denegación de servicio. Proporciona la tecnología
necesaria para monitorizar y aplicar regulaciones gubernamentales, buenas prácticas
de la industria, y políticas internas de la compañía. A continuación se describen
algunas de las funcionalidades de FortiADC WAF.

2.4.1. Firmas de Ataques Web

Este servicio de seguridad proporcionado por FortiGuard ofrece una base de datos
de firmas de ataques orientados a aplicaciones, que se actualiza periódicamente
para proteger ante nuevos tipos de ataques.

En la configuración de la política de Firmas de Ataques Web, podremos habilitar o

deshabilitar la clase a inspeccionar y la acción a tomar cuando un flujo de tráfico
haga saltar una de las firmas.

Existen tres tipos de clases:

- HTTP Header: escanea el tráfico contra firmas de cabeceras HTTP. En el
momento de activar una política, ya estaremos habilitando la inspección de
cabeceras HTTP.
- HTTP Request Body: escanea el tráfico contra firmas del cuerpo de la petición
HTTP.
- HTTP Response Body: escanea el tráfico contra firmas del cuerpo de la
respuesta HTTP.

10
 2.4.2. Escáner de Vulnerabilidades Web

El Escáner de Vulnerabilidades de Aplicaciones Web es un conjunto de herramientas

automáticas que realizan una prueba de caja negra sobre las aplicaciones web, en
búsqueda de vulnerabilidades de seguridad como XSS, SQL-i, inyección de comandos,
revelación de código fuente y configuraciones de servidor inseguras.

Con este escáner, FortiADC puede analizar la aplicación web del cliente y generar un
informe detallado de las vulnerabilidades descubiertas

2.4.3. Detección de SQLi y XSS

La detección de inyección SQL/XSS detecta estos mismos tipos de ataques. La

inyección ocurre cuando una información entregada por el usuario es enviada a un
intérprete como parte de un comando o consulta. En un ataque de inyección SQL, el
atacante genera una petición HTTP que hace que ejecute una consulta SQL
directamente contra la base de datos de la aplicación.

Los ataques de inyección XSS hacen que un navegador ejecute un script en el lado
cliente.

En contraste con la detección basada en firmas, el detector de inyección SQL/XSS

detecta este tipo de inyecciones mediante análisis léxico, que resulta un método
complementario además de ser más rápido.

2.4.4. Prevención de Fugas de Información

La funcionalidad de prevención de fugas de información (DLP) evita que se pueda

exfiltrar información confidencial, mitigando así los daños y pérdidas de información.

DLP proporciona también medidas para evitar la fuga de información sensible como
tarjetas de crédito, números de la seguridad social, u otros patrones o conjuntos de
palabras que podremos definir en base a expresiones regulares.

2.4.5. Anti-Web Defacement

Capacidades únicas de monitorización de las aplicaciones protegidas en busca de

cualquier tipo de desfiguración de la página, con la posibilidad de revertir a la versión
almacenada de manera rápida y automática ante cualquier cambio descubierto. Esta
funcionalidad puede ser especialmente útil para proveedores de un servicio web con
muchos clientes, como restaurantes o asociaciones, que pueden tener páginas web
básicas pero que resulta importante monitorizar continuamente para evitar
cualquier cambio no deseado que pueda afectar a su facturación o reputación.

11
La funcionalidad de anti-defacement examina los ficheros de una página web en
búsqueda de cambios en intervalos de tiempo configurables. En caso de detectar un
cambio que pudiera indicar un ataque de desfiguración, FortiADC puede notificarlo
para una rápida reacción.

2.4.6. Protección contra ataques de Fuerza Bruta

Un ataque de fuerza bruta es un intento por descubrir una contraseña mediante la

prueba de todas las combinaciones posibles de letras, números y símbolos hasta dar
con la combinación correcta.

FortiADC soporta las siguientes funcionalidades para prevenir este tipo de ataques:
- Monitorizar y contar las marcas temporales de los login fallidos (se reinician
tras cada login satisfactorio).
- Permitir al usuario establecer un código de login fallido.
- Si el contador alcanza el límite fijado, tomar una acción (bloquear un tiempo).
- Limitar las peticiones aceptadas en base a la IP origen de las mismas.
- Limitar las peticiones aceptadas en base al hostname, pudiendo especificarse
mediante expresiones regulares.
- Limitar las peticiones aceptadas en base a la URL consultada, pudiendo
especificarse mediante expresiones regulares.

2.4.7. Validación de Entrada (Restricción de Ficheros)

La validación de entrada puede prevenir el envío de peticiones HTTP sospechosas al

servidor web.

FortiADC permite una validación avanzada de los campos de entrada, incluyendo

validación de parámetros, campos ocultos, y ficheros. Esta funcionalidad verifica la
entrada del usuario desde diferentes ángulos como el parámetro de la URL,
formulario HTTP, campos ocultos o ficheros subidos. Si el formato no es el correcto o
se detecta algún otro tipo de ataque, la petición será bloqueada.

2.4.8. Protección CSRF

Cross-Site Request Forgery (CSRF) es un ataque que fuerza a un usuario a ejecutar

acciones no deseadas sobre una aplicación web en la que se encuentran
autenticados.

Este tipo de ataques busca peticiones con cambios de estado, y no el robo de

información, ya que el atacante no tiene forma de ver la respuesta a la petición
forjada.

12
FortiADC utiliza dos listas de objetos, una de páginas web para proteger ante
ataques CSRF y otra que corresponde a las URLs encontradas en peticiones que esas
páginas generan:
- Lista de Páginas: cuando FortiADC recibe una petición para enviar a una
página web de la lista, embebe un java-script en la misma.
- Lista de URLs: esta lista contiene todas las URLs que se espera que contengan
el parámetro de token. FortiADC verificará el parámetro de token cada vez
que se acceda a dichas URLs.

2.4.9. Seguridad de Cookies

Las Cookies HTTP son pequeñas piezas de datos enviados por una página web y
almacenadas en el dispositivo del usuario. En algunos casos, se almacena
información sensible como por ejemplo una contraseña.

Si el cliente envía peticiones que no reconocemos, FortiADC tomará la acción

correspondiente (alertar/denegar/bloquear un tiempo/eliminar la cookie).

Se soportan 3 tipos de atributos de cookies: HTTP-Only, Secure y Max-Age.

2.4.10. Web Scraping

FortiADC proporciona control de acceso avanzado en base a IPs, tipos de ficheros o

número de peticiones, para evitar ataques que buscan analizar, mediante bots o
scripts, el directorio completo de la aplicación, en búsqueda de fallos o simplemente
para sacar información de un servicio de la competencia.

Web Scraping soporta los siguientes métodos de detección y funcionalidades:

- Múltiples peticiones y una elevada tasa de peticiones desde la misma IP
- Sólo se solicita un tipo específico de ficheros, como por ejemplo HTML, XML,
JSON u otros
- Múltiples acciones disponibles (alertar, bloquear, denegar…)

Para ello, se miran parámetros como la cabecera HTTP content-type o el código de

respuesta.

2.4.11. Validación XML/JSON/SOAP/OpenAPI

XML se utiliza habitualmente para intercambio de datos, y los hackers en algunas

ocasiones intentan explotar agujeros de seguridad en el código XML para atacar a los
servidores web. FortiADC WAF examina las peticiones de los clientes en busca de
anomalías en el código XML. El WAF también puede validar la estructura de código
XML de las peticiones de clientes en base a un esquema XML confiable. Al configurar
la detección XML, podemos asegurar que el contenido de las peticiones que
contienen XML no supone ningún potencial ataque.

13
Las comprobaciones XML se componen de 6 partes, y cada una de ellas realiza una
única función de detección

- Comprobación de Formato: ejecuta la detección de formato XML.

- Validación de Esquema XML: comprueba si el contenido del XML está bien
formado y coincide con el esquema XML confiable contra el que lo compara.
- Comprobación de Límites: ejecuta el módulo de violación de valores límite
fijados.
- Detección de Inyección SQL.
- Librería de XSS: ejecuta la detección de ataques XSS dentro del XML (XML-
SIDM).

En otras ocasiones, los hackers tratan de explotar vulnerabilidades en los datos JSON
en una petición HTTP de tipo POST para atacar a los servidores web. FortiADC WAF
realiza comprobaciones de seguridad que examinan las peticiones HTTP de los
clientes en búsqueda de anomalías en los datos JSON en peticiones HTTP POST. Esto
garantiza que los datos JSON que llegan a los servidores web están bien formados.
Algunas de las protecciones de seguridad incluidas:

- Ejecutar comprobaciones de formato en peticiones HTTP POST que

contengan datos JSON para proteger de potenciales agujeros de seguridad.
- Imponer límites de parseo JSON para proteger ante ataques de denegación
de servicio.
- Realizar comprobaciones de XSS y SQLi sobre JSON.

2.4.12. Validación de Cumplimiento de RFC HTTP

FortiADC bloquea ataques que manipulan el protocolo HTTP manteniendo rigurosos

estándares RFC para prevenir ataques como los de codificación, desbordamiento de
buffer y otro tipo de ataques orientados a la aplicación.

2.4.13. Cumplimiento Normativo – Protección contra

OWASP Top 10

Open Web Application Security Project (OWASP) es una organización mundial sin
ánimo de lucro enfocada en establecer un marco de trabajo seguro en el desarrollo
de aplicaciones. Su misión es la de visibilizar la necesidad de aplicar seguridad al
software, para que las organizaciones puedan realizar decisiones fundadas sobre los
verdaderos riesgos de seguridad asociados al software.

OWASP Top 10 representa un amplio consenso de los problemas de seguridad más

críticos en aplicaciones web. FortiADC cubre por completo los riesgos asociados al
OWASP Top 10.

14
 2.5. Autenticación de Usuarios

Si una página web no soporta autenticación HTTP en base al RFC 2617, ni

proporciona un formulario HTML, el dispositivo FortiADC puede ser usado para
autenticar clientes HTTP(S) para permitir o denegar su acceso a la página.

La autenticación HTTP de FortiADC se puede utilizar junto con una aplicación que ya
tenga un mecanismo de autenticación. Sin embargo, lo habitual es utilizarlo cuando
la página no lo tiene, o si queremos centralizar la lógica de autenticación en un único
dispositivo en vez de tener una lógica local en cada aplicación.

Los mecanismos de autenticación soportados son:

- Basic.
- Formularios.
- Certificado de Cliente.
- NTML.
- SAML.

Además de poder descargar la autenticación de los servidores para centralizarla en

FortiADC, se soporta tanto base de datos local, como esquemas de autenticación
remotos tales como LDAP, RADIUS o SAML.

FortiADC soporta el protocolo Kerberos para la delegación de la autenticación. La

autenticación Kerberos utiliza tickets que son cifrados y descifrados mediante claves
secretas y no contienen las contraseñas de los usuarios. FortiADC utiliza Kerberos
para dar acceso a las aplicaciones a aquellos usuarios que ya ha autenticado
previamente en el lado cliente, no para la autenticación inicial.

15
La funcionalidad de Authentication Relay de FortiADC soporta, además de HTTP
Basic, dos tipos diferentes de autenticación delegada de Kerberos:

- Regular Kerberos delegation (autenticación en lado cliente Basic o

Formularios).
- Kerberos constrained delegation.

En el caso de que los usuarios tengan que acceder a múltiples páginas webs de un
mismo dominio, y tengamos cuentas centralizadas en algún directorio como por
ejemplo LDAP, Microsoft Active Directory o un servidor RADIUS, resulta interesante
configurar single sign-on (SSO) y una combinación de controles de acceso y
autenticación en vez de simplemente configurar reglas de autenticación HTTP. A
diferencia de estas últimas, SSO no requiere que los usuarios se autentiquen cada
vez que acceden a una aplicación dentro del dominio, mejorando enormemente la
experiencia de usuario al sólo tener que hacerlo una vez.

La técnica del doble factor de autenticación (2FA) es una forma de autenticar la

identidad de un usuario mediante el uso de dos piezas de información o factores
diferentes. La principal ventaja de la autenticación 2FA es que proporciona un mayor
nivel de seguridad que una autenticación de factor único.

Normalmente, los dos factores se dividen entre algo que debes saber (como una
contraseña) y algo que debes tener (como un token). Esto hace que sea más difícil
para un atacante el conseguir acceso a tu cuenta ya que debería tener acceso tanto a
tu contraseña como al token de seguridad.

FortiADC trabaja con FortiToken (y su versión Cloud) y Google Authenticator para

proporcionar 2FA.

FortiADC también puede actuar como ADFS Proxy para facilitar el despliegue de
ADFS. Si todos los usuarios y aplicaciones son internos, no hay necesidad de utilizar
esta funcionalidad, pero si existe algún requisito para exponer este servicio de
federación de identidades hacia Internet, FortiADC puede ayudar haciendo la labor
de ADFS Proxy para ofrecer un servicio garantizado y seguro.

2.6. Protección de Aplicaciones

FortiADC, mediante suscripción a los servicios de seguridad de FortiGuard, soporta el

servicio de Reputación IP para proteger de ataques de DoS/DDoS, phishing, spam,
software malicioso y botnets.

16
 2.6.1. Prevención anti DDoS

Las funcionalidades avanzadas de prevención anti DDoS de FortiADC están diseñadas

para prevenir este tipo de ataques, bloqueando ataques en la capa de red y
aplicación con contramedidas como:

Capa de Aplicación
- Límite de conexiones HTTP: limita el número de conexiones TCP por sesión
HTTP. Esto puede prevenir inundaciones de TCP desde clientes operando tras
una IP compartida con clientes inocentes. Para ello será necesario soportar
Cookies.
- Límite de Accesos HTTP: limita el número de peticiones HTTP por segundo,
por IP origen. Esta funcionalidad previene inundaciones de peticiones HTTP
que incluyen muchas URLs diferentes.
- Protección contra Inundaciones HTTP: limita el número de peticiones HTTP
por segundo, por sesión. Esta funcionalidad utiliza cookies de sesión a nivel
de aplicación en vez de únicamente información de la conexión TCP/IP a nivel
de red. Será necesario por tanto el soporte de Cookies.

Capa de Red
- Protección contra Inundaciones de Acceso mediante Conexiones TCP: una
inundación de conexiones hace referencia a una cantidad abrumadora de
conexiones intentando inundar un servidor. Esto puede venir de una única IP
o de una botnet por lo que el control se aplica por IP origen.
- Protección contra Inundaciones TCP Slow: un ataque de tipo Slow envía
peticiones legítimas a la capa de aplicación, pero mantiene las conexiones
abiertas indefinidamente con el fin de agotar el límite de conexiones
disponibles del servidor.
- Protección contra Fragmentación IP: ataque IP que busca denegar servicios a
la red mediante la creación de paquetes fragmentados de un tamaño lo
suficientemente grande para sobrepasar los buffers del dispositivo.

FortiADC analiza las peticiones originadas por diferentes usuarios basándose en

diferentes características como la IP de origen y las Cookies. Adicionalmente, utiliza
sofisticados mecanismos como CAPTCHA para identificar usuarios reales de ataques
automatizados (LOIC, HOIC y muchos más).

2.6.2. AntiVirus y Malware

El Equipo de Investigación de Seguridad Global de FortiGuard está continuamente

monitorizando la detección de malware conocido y nuevo. Cuando un virus
específico no se ha detectado durante más de un año, se considera durmiente. Sin
embargo, es posible que una nueva brecha pueda revivirlo, pero es altamente
improbable ya que a medida que avanza el tiempo, los sistemas hardware y software
se van actualizando y parcheando. Por ello, las firmas de virus durmientes se retiran
de la base de datos “Regular” pero se mantienen en la “Extended”.

17
La integración de FortiADC con FortiSandbox como parte del Security Fabric de
Fortinet, ofrece protección avanzada contra ataques de día-0. Adicionalmente,
FortiADC permite proteger a los usuarios de correo contra ficheros maliciosos
adjuntados a través de OWA o ActiveSync.

Las funcionalidades clave del sistema AntiVirus son:

- Base de datos Regular y Extended.

- Actualizaciones automáticas del servicio de AntiVirus desde FortiGuard.
- Inspección de ficheros subidos mediante el motor incorporado de AntiVirus
de Fortinet.
- Restricción de los ficheros subidos mediante tipo o tamaño de los mismos.
- Protección contra ataques de día-0.
- Inspección de adjuntos en correo.

2.6.3. Bots y Detección y Protección de IPs maliciosas

(Reputación IP)

Un alto porcentaje del tráfico web es generado por los denominados bots. Estos bots
no son más que clientes automatizados que tratan de encontrar información
importante en páginas webs, o copiar imágenes u otros contenidos. Además, estos
bots se utilizan habitualmente para hacer recorridos de páginas web (webscraping)
con el fin de obtener toda la información disponible de las mismas.

Análisis de Bots
- FortiADC proporciona una distinción de tráfico entre bots maliciosos y
motores de búsqueda conocidos como Google. El análisis de bots muestra
estadísticas de acceso por clientes automatizados como indexadores,
analizadores de contenido y otras herramientas.

Reputación IP
- La base de datos dinámica alimentada por FortiGuard protege ante el acceso
desde IPs maliciosas conocidas, cubriendo un amplio rango, como por
ejemplo:
o Botnets.
o Proxys Anónimos.
o Phising.
o Spam.
o Redes Tor.

2.6.4. FortiGuard

FortiGuard Labs, la organización de investigación e inteligencia de amenazas de

Fortinet, desarrolla, innova y mantiene uno de los sistemas de inteligencia artificial y

18
aprendizaje automático más reconocidos y experimentados de la industria. Lo
utilizamos para brindar protección, visibilidad y continuidad comercial comprobadas
y sin paralelo en todo el Fortinet Security Fabric, protegiendo a nuestros clientes
contra la amplia gama de amenazas cambiantes y sofisticadas.

FortiGuard ofrece los siguientes servicios para FortiADC:

- WAF Security Service

o Firmas de aplicación.
o Bots maliciosos.
- IP Reputation & Anti-Botnet
o Protección para ataques automatizados y orígenes maliciosos.
o DDoS, phishing, botnet, spam, proxies anónimos y orígenes
infectados.
- Antivirus
o Inspección de ficheros.
o Bases de datos Regular y Extended.
- Intrusion Prevention System (IPS)
o Protege contra las últimas intrusiones de red detectando y
bloqueando amenazas antes de que puedan llegar a los dispositivos
de red.
- Sandbox Cloud
o FortiSandbox hospedado por Fortinet.
o Elimina la necesidad de un Sandbox dedicado on-premise.
- Credential Stuffing
o Identifica intentos de login utilizando credenciales robadas de
múltiples fuentes.
o Previene accesos no deseados y protege ante robos de credenciales.
- Web Filtering
o Protege a las organizaciones bloqueando acceso a sitios maliciosos o
inapropiados.
o Útil para decidir sobre qué categorías de navegación queremos
romper el SSL y sobre cuáles no (excepciones) para cumplir con las
normativas y políticas internas.

2.6.5. Security Fabric

A medida que el panorama de amenazas evoluciona, muchas de las nuevas

amenazas requieren de un acercamiento multi-vector para proteger las aplicaciones.
Las Amenazas Persistentes Avanzadas pueden tomar múltiples formas diferentes a
los ataques tradicionales de un único vector y, por tanto, pueden evadir
protecciones ofrecidas por un único dispositivo.

La integración del AntiVirus de FortiADC fon FortiSandbox extiende la seguridad para

inspeccionar ficheros en búsqueda de amenazas conocidas y desconocidas.

19
 2.7. Optimización de Aplicaciones

FortiADC proporciona múltiples servicios que mejoran la velocidad de entrega de

aplicaciones a los usuarios. El conjunto de herramientas de Page Speed para la
mejora del rendimiento puede optimizar de manera automática elementos como
HTML, CSS, JavaScript e imágenes.

- Page Speed: solución tecnológica para optimizar la entrega de aplicaciones,

reduciendo los tiempos de respuesta y optimizando las páginas y recursos en
tiempo real. Se trata de un módulo dentro de FortiADC, lo que lo hace
sencillo de desplegar y no requiere ningún tipo de integración con la
aplicación o servidores, ni requiere de instalación de ningún tipo de agente
en los dispositivos finales. Con PageSpeed, podemos elegir cómo hacer de la
navegación de las webs una experiencia más amigable y rápida.

- HTTP caching. Este mecanismo nos permite reducir la carga de los servidores,
la saturación del ancho de banda, el incremento de las latencias, y aumentar
el rendimiento de la red. Cuando tenemos habilitado el caching en un perfil
de servidor virtual, FortiADC almacena datos de la aplicación, como imágenes
y videos, de forma que cuando estos son solicitados al servidor, los devuelve
el ADC directamente, disminuyendo la carga de trabajo del servidor y
acelerando el funcionamiento de la aplicación.

20
 - Compresión de datos: FortiADC se puede hacer cargo de las tareas de
compresión y des-compresión de la información enviada a las aplicaciones.
Esta acción la realiza en lugar de dejársela al servidor final, permitiendo a
este dedicar más recursos de procesamiento para la aplicación. Cuando la
compresión está habilitada en FortiADC, éste comprime tráfico HTTP y HTTPS
de forma inteligente. Esto reduce el tamaño de los paquetes que van hacia y
desde el servidor al cliente, acelerando así el tráfico de la aplicación. FortiADC
soporta los algoritmos estándares GZIP y DEFLATE, entre otros.

2.8. Sistema y Red

2.8.1. Virtual Domains (VDOMs)

Las plataformas FortiADC, ya sean físicas o virtuales, permiten la creación de

dominios virtuales, donde cada uno de ellos opera como un ADC independiente.
Cada VDOM puede proporcionar un entorno completamente separado e
independiente de servicios ADC, como SLB, SSL Offloading, Traffic Routing, etc.
Podemos crear diferentes perfiles de administración RBAC de forma que sólo
tengamos acceso a los VDOMs que nos correspondan.

2.8.2. Interacción por API

FortiADC incluye una API basada en REST para realizar configuración y

monitorización del sistema

2.8.3. Gestión Centralizada

FortiADC Central Manager es una plataforma disponible en formato virtual para

VMware vSphere ESXi, que permite centralizar la configuración de múltiples
dispositivos FortiADC. Su interfaz de usuario reemplaza a la interfaz de los FortiADC
de la red, permitiendo así crear, desplegar y actualizar sus configuraciones de
manera remota y centralizada.

En vez de crear una configuración local en cada FortiADC, el gestor centralizado

permite crear una configuración que se puede instalar en más de un FortiADC.

Las principales características y beneficios de la consola de gestión centralizada son:

- Gestión de múltiples dispositivos desde una ubicación central

- Posibilidad de configurar todos los dispositivos desde la misma ubicación
- Dos posibles licenciamientos: gestión de hasta 10 dispositivos, o ilimitados

21
 2.8.4. Alta Disponibilidad

El modo de Alta Disponibilidad proporciona sincronización de configuración y

redundancia ante fallos de red o eventos inesperados que afecten a la plataforma.

FortiADC ofrece diferentes modos de despliegue de HA

- Activo-Pasivo
o Sólo el nodo primario está activo, por lo que es el único nodo que
recibe y procesa tráfico.
o Sincronización completa de la configuración
o Failover transparente
o Sin pérdida de servicio
- Activo-Activo
o Todos los nodos, hasta un total de 8, reciben tráfico.
o Necesita de un elemento de red que distribuya el tráfico entre los
nodos del cluster.
o Sincronización completa de la configuración
o Failover transparente
o Sin pérdida de servicio
- Activo-Activo-VRRP
o Todos los nodos pueden recibir tráfico, pudiendo seleccionar qué
servicios gestiona cada uno de los nodos.
o No necesita de un elemento adicional para distribuir la carga entre los
nodos.
o Sincronización completa de la configuración y persistencia
o Failover transparente
o Sin pérdida de servicio

En la siguiente imagen se muestra un entorno de alta disponibilidad típico.

22
 2.9. Monitorización e Informes

FortiADC muestra información histórica y en tiempo real sobre el dispositivo, lo que

incluye una vista topológica de los servicios publicados (virtual servers, real server
pools, etc), datos analíticos de usuarios y aplicaciones, amenazas de seguridad,
mapas de ataques y otros eventos y alertas de sistema.

El Dashboard y los Widgets muestran una clara visión del estado global del servicio,
entre los que se encuentran por ejemplo los siguientes Widgets:

- Información del Sistema.

- Log de Eventos.
- Consola CLI.
- Uso de Recursos.
- Monitor de SLB.
- Ataques de Seguridad (DDoS, IPS, WAF y AV).
- Estado de HA.

FortiView proporciona una topología de los servicios desplegados, así como

información histórica, todo ello con un acceso granular a través de la aplicación de
diferentes filtros de manera sencilla, de información relativa al tráfico de SLB, GSLB,
LLB, Seguridad y Sesiones.

Para tener un registro de eventos de sistema y tráfico, así como diagnosticar

problemas, FortiADC puede guardar logs de los diferentes tipos de eventos tanto en
memoria, como disco, o mandarlos a sistemas externos como Syslog o FortiAnalyzer.

FortiADC incluye cientos de informes para que los administradores o auditores

puedan analizar ataques, eventos y flujos de tráfico con fines de cumplimiento
normativo.

23
Adicionalmente a los informes basados en logs, FortiADC incluye analítica de datos
para ayudar en el seguimiento del uso de los servidores, mostrando información
como las páginas solicitadas y el número de peticiones, tiempos de respuesta,
volúmenes de tráfico, y ataques. Esto permite ampliar el campo de visión y actuar en
base a los eventos reportados.

Dentro de las funcionalidades de Security Fabric, FortiADC se puede integrar con

FortiGate para poder mostrar detalles del estado de los servicios y servidores de
FortiADC en el dashboard de FortiGate, como, por ejemplo, un mapa de estado,
disponibilidad de los servidores y rendimiento.

24
 2.10. Despliegue

FortiADC puede ser desplegado de múltiples formas. Estos son los 4 modos de
despliegue más habituales de FortiADC:

- Modo Transparente: FortiADC funciona en modo switch. Instalación sencilla

sin cambios en la red del cliente
- Modo Proxy Inverso/One-arm: FortiADC proxyfica todas las conexiones de
los clientes a los servicios reales utilizando SNAT para conectar con los
servidores finales.
- Modo Router: FortiADC enruta todas las conexiones de los clientes y
mantiene intacta la IP original del cliente en la conexión a los servidores
finales.
- Modo Direct Server Return (DSR): FortiADC distribuye las peticiones de los
clientes modificando la MAC destino del paquete original por la MAC del
servidor seleccionado en cada caso. La respuesta del servidor se envía
directamente al cliente. Este despliegue está pensado habitualmente para
aplicaciones de alto consumo como Streaming, RTSP, VoIP y similares.

25
 2.11. Modelos Hardware y Virtual Appliance
Hardware Specifications FORTIADC 100F FORTIADC 200F FORTIADC 300F FORTIADC 400F

L4/L7 Throughput 1.5 Gbps / 1.3 Gbps 3 Gbps / 2.2 Gbps 8 Gbps 15 Gbps / 12 Gbps

L4 CPS 50,000 100,000 300,000 400,000

L4 HTTP RPS 150,000 300,000 1M 1.5M

Maximum L4 Concurrent Connection 3M 5M 12M 12M

L7 CPS (1:1) * 15,000 25,000 100,000 120,000

SSL CPS/TPS (1:1) 2K keys ** 400 1,000 4,000 15,000

SSL Bulk Encryption Throughput 400 Mbps 1 Gbps 3 Gbps 6 Gbps

Compression Throughput 1Gbps 1.5 Gbps 6 Gbps 10 Gbps

SSL Acceleration Technology Software Software Software ASIC

Memory 8 GB 8 GB 16 GB 32 GB

Virtual Domains 10 10 10 20

2x 10 GE SFP+, 4x
4x GE RJ45, 2x GE 4x GE RJ45, 4x GE
Network Interfaces 6x GE RJ45 GE SFP, 4x GE
SFP SFP
RJ45

10/100/1000 Management Interface — — — —

Storage 64 GB SSD 64 GB SSD 128 GB SSD 120 GB SSD

HTTPS, SSH CLI, HTTPS, SSH CLI, HTTPS, SSH CLI, HTTPS, SSH CLI,
Management Direct Console DB9 Direct Console DB9 Direct Console DB9
CLI, SNMP CLI, SNMP Direct Console DB9
CLI, SNMP
CLI, SNMP

26
 Single (optional
Power Supply Single Single Single
Redundant PS)

Hardware Specifications FORTIADC 1000F FORTIADC 2000F FORTIADC 4000F FORTIADC 5000F

L4/L7 Throughput 20 Gbps / 15 Gbps 40 Gbps / 25 Gbps 60 Gbps / 35 Gbps 250 Gbps / 220 Gbps

L4 CPS 425,000 750,000 800,000 4M

L4 HTTP RPS 1.5M 2.6M 3.8M 18M

Maximum L4 Concurrent Connection 18M 36M 72M 160M

L7 CPS (1:1) * 150,000 250,000 300,000 1.1M

SSL CPS/TPS (1:1) 2K keys ** 20,000 37,000 54,000 100,000

SSL Bulk Encryption Throughput 7.5 Gbps 11 Gbps 14 Gbps 120 Gbps

Compression Throughput 12 Gbps 18 Gbps 25 Gbps 150 Gbps

SSL Acceleration Technology ASIC ASIC ASIC ASIC

Memory 32 GB 64 GB 128 GB 192 GB

Virtual Domains 45 60 90 90

4x 10 GE SFP+, 8x 8x 10 GE SFP+, 8x 8x GE, 4x 10 GE, 2x 4x 100 GE QSFP28, 8x

Network Interfaces GE SFP, 8x GE GE SFP, 8x GE 40 GE 40 GE QSFP
RJ45 RJ45

10/100/1000 Management Interface 1 1 1 1

Storage 240 GB SSD 240 GB SSD 480 GB SSD 960 GB SSD

HTTPS, SSH CLI, HTTPS, SSH CLI, HTTPS, SSH CLI, HTTPS, SSH CLI,
Management Direct Console DB9 Direct Console DB9 Direct Console DB9 Direct Console DB9
CLI, SNMP CLI, SNMP CLI, SNMP CLI, SNMP

Power Supply Dual Dual Dual Dual

* Layer 7 CPS — measures number of new HTTP connections (1 HTTP request per TCP connection)
** Tested with 1 HTTP request per SSL connection; SSL Ciphers=AES256-SHA; 2K Keys

FortiADC se puede desplegar en entornos de virtualización:

- VMware, Microsoft Hyper-V, Citrix XenServer, Open Source Xen, KVM,

Amazon Web Services (AWS), Microsoft Azure, Oracle Cloud y Google Cloud
(GCP).
- Mismas funcionalidades que los dispositivos físicos
Hardware Specifications VM01 VM02 VM04 VM08 VM16 VM32

L4 Throughput* 1 Gbps 2 Gbps 4 Gbps 10 Gbps 16 Gbps 24 Gbps

Virtual Domains 10 10 10 10 15 20

vCPU Support (Maximum) 1 2 4 8 16 32

Memory Support (Maximum) Unlimited

Network Interface Support (Maximum) 10

Storage Support (Minimum / Maximum) Unlimited

Throughput Hardware Dependent

Management HTTPS, SSH CLI, Direct Console DB9 CLI, SNMP

* Actual performance values may vary depending on the network traffic and system configuration. Performance results were observed using an appliance with an Intel CPU
E5-1650 v2 @ 3.50 GHz running VMware ESXi 5.5.

27