Académique Documents
Professionnel Documents
Culture Documents
Resumen de funcionalidades
Julio 2015 – FortiWeb v.5.3.7
ÍNDICE
1. Introducción ........................................................................................................................... 2
1.1. Protección completa e inigualable para aplicaciones y servicios web .................... 2
1.2. Asegurar el cumplimiento de las políticas regulatorias PCI-DSS ........................... 2
2. Posibilidades de Despliegue ................................................................................................. 3
2.1. Transparent inspection ................................................................................................. 3
2.2. True Transparent Proxy ................................................................................................ 3
2.3. Reverse Proxy ................................................................................................................. 3
2.4. Offline mode .................................................................................................................. 3
3. Características......................................................................................................................... 5
3.1. Autoaprendizaje ............................................................................................................. 5
3.2. Gestión de la autenticación .......................................................................................... 5
3.3. Alta Disponibilidad........................................................................................................ 6
3.4. ADOMS .......................................................................................................................... 6
3.5. Balanceo de Carga.......................................................................................................... 6
3.6. Gestion SSL .................................................................................................................... 7
3.7. Prevención DOS ............................................................................................................ 8
3.8. Caching ............................................................................................................................ 8
3.9. Prevencion de “Zero day attacks” ............................................................................... 9
3.10. Logs / Informes .......................................................................................................... 9
3.11. Integración con gestores de logs y SIEM .............................................................. 10
3.12. Proteccion a nivel de aplicación .............................................................................. 10
3.13. DLP ............................................................................................................................. 11
3.14. Web antidefacement .................................................................................................. 12
3.15. RFC Complaining ...................................................................................................... 12
3.16. Politicas de acceso a web .......................................................................................... 12
3.17. Analisis de vulnerabilidades ..................................................................................... 12
3.19. Protección basada en reputación de IPs ................................................................ 14
3.20. Cumplimiento de normativas reguladores (PCI-DSS) ......................................... 14
4. Familia de Productos .......................................................................................................... 17
4.1. Appliances físicos ........................................................................................................ 17
4.2. Máquinas virtuales ....................................................................................................... 18
1. Introducción
2. Posibilidades de Despliegue
FortiWeb reduce de forma muy significativa los costes de despliegue e
implementación de las políticas de seguridad a través de la consolidación de las
funcionalidades de Firewall de Aplicaciones, Firewall XML, aceleración del tráfico
web y balanceo del tráfico de las aplicaciones en un solo dispositivo, que además no
se licencia por número de usuarios o servidores. Reduce por tanto drásticamente el
tiempo necesario para realizar el análisis, diseño e implementación de una política
de protección completa y eficaz de los recursos y aplicaciones web de cualquier
organización o empresa.
Despliegue a nivel dos, como en el caso anterior, y que por tanto no requiere de
ningún tipo de rediseño de la arquitectura de la red. La diferencia con el modo de
despliegue antes indicado es que en este caso el tráfico se trata de forma interna
mediante Proxy, con lo que permite ofrecer más funcionalidades que la inspección
pura, es decir, más funcionalidades que el modo “Transparent inspection”.
3. Características
3.1. Autoaprendizaje
Permite descargar a los servidores web de las tareas de autenticación, dado que la
plataforma FortiWeb soporta diferentes tipos y esquemas de autenticación: local,
autenticación contra servidores LDAP, Kerberos, autenticación NTLM, con opción de
doble factor de autenticación.
3.4. ADOMS
En el caso de utilizar adoms, las opciones globales del equipo solo las podrá
modificar el usuario admin. Estas opciones son:
operation mode
network interfaces
system time
backups
administrator accounts
access profiles
FortiGuard connectivity settings
HA and configuration sync
SNMP
RAID
TCP SYN flood anti-DoS setting
vulnerability scans
exec ping and other global operations that exist only in the CLI
Weighted Round Robin: Distribuye las sesiones basandonos en pesos que
hayamos establecido para cada miembro.
Least Connection Manda las conexiones al miembro de la granja que menos
conexiones haya recibido.
También es posible configurar persistencia de sesiones para que todas las peticiones
HTTP o HTTPS que haga un cliente se realicen contra el mismo servidor.
Las persistencias soportadas son:
Persistent IP
Persistent Cookie
Insert Cookie
ASP Session ID
PHP Session ID
JSP Session ID
En el caso de que los servidores a proteger no utilicen SSL / TLS, tendremos la opción
de terminar el túnel SSL en FortiWeb. Mediante esta característica conseguimos dos
ventajas:
Existe otra opción llamada SSL inspection donde se puede descifrar el tráfico HTTPS
que pase por el FortiWeb cargando los correspondientes certificados con su clave
pública y privada sin necesidad de terminar el túnel SSL en el propio FortiWeb.
Con esto conseguiremos aplicar tanto la capa de protección así como el resto de
capas sobre tráfico cifrado HTTPS.
FortiWeb, entre sus características de protección de entornos web, cuenta con un módulo
de protección de ataques de denegación de servicio.
Se genera mediante la saturación de los puertos con flujo de información, haciendo que el
servidor se sobrecargue y no pueda seguir prestando servicios; por eso se le denomina
"denegación", pues hace que el servidor no dé abasto a la cantidad de solicitudes. Esta
técnica es usada por los llamados crackers para dejar fuera de servicio servidores objetivo.
Los ataques de denegación de servicio, se categorizan según las capas 3, 4 y 7 del modelos
OSI:
FortiWeb es capaz de detector y parar ataque en ambas capas llegando a discriminar si esa
petición llega de un navegador o de un bot.
3.8. Caching
No existan en la cache
No sean cacheables
Un ataque de día-cero es un ataque contra una aplicación o sistema que tiene como
objetivo la ejecución de código malicioso gracias al conocimiento de
vulnerabilidades que, por lo general, son desconocidas para la gente y el fabricante
del producto. Esto supone que aún no han sido parcheadas. Un ataque de día cero
se considera uno de los más peligrosos dentro de los ciberataques existentes.
FortiWeb nos permite defendernos de ataques “zero day”, o ataques para los cuales
no tenemos una firma definida. Podemos utilizar las siguientes técnicas para
defendernos de ataques de dia 0:
La enorme flexibilidad del motor de escaneo que ofrecen los dispositivos FortiWeb
permite a cada organización desarrollar sus propias firmas mediante el uso de
expresiones regulares. Esto permite crear firmas nuevas y completamente
personalizadas para cada aplicación y vulnerabilidad.
3.13. DLP
Asegurar el correcto acceso a las aplicaciones siguiendo la lógica del negocio es una
parte importantísima de la seguridad de las aplicaciones web. Las aplicaciones que
no implementan este tipo de seguridad son completamente vulnerables a ataques
de “Cross Site Request Forgery (CSRF)”. Por ejemplo, las aplicaciones de comercio
electrónico no deberían permitir accesos directos a las páginas de pago o de envío
directamente, sin antes haber pasado por las páginas de selección de artículos.
Definiendo una regla de acceso a páginas web (Page Access rule) en FortiWeb, se
bloquean los ataques de CSRF, ayudando además a cumplir los requisitos OWASP
Top Ten (requisito A5).
FortiWeb es la única tecnología para proteger entornos web que ofrece un módulo
de Escaneo de Vulnerabilidades capaz de escanear y analizar de forma automática
las aplicaciones web, detectando las debilidades y vulnerabilidades conocidas y
desconocidas de las mismas.
Además del módulo de Vulnerability Scanner integrado ofrece integración con
scaners de terceros como Acunetix. Pudiendo mediante la importación del reporte
A5. Cross-Site A CSRF attack forces a logged-on Strict reference page enforcing
Request Forgery victim’s browser to send a forged provides protection against
(CSRF) HTTP request, including the victim’s sophisticated CSRF attacks. Also,
session cookie and any other page access rules allow
automatically included customers to define URL order.
authentication information, to a Common CSRF attacks attempt to
vulnerable web application. This submit a specific crafted request.
allows the attacker to force the For example, FortiWeb enforces
victim’s browser to generate a page order sequence that will
requests the vulnerable application block the request if it didn’t go
thinks are legitimate requests from through the proper payment
the victim. order sequence and as such -
invalid.
A6. Security Good security requires having a 1) Using Auto-Learn FortiWeb will
Misconfiguration secure configuration defined and block any attempt made by an
deployed for the application, attacker to exploit a
frameworks, application server, web misconfigured web application.
server, database server, and 2) Through monitoring
platform. All these settings should be application responses, FortiWeb
defined, implemented, and is able to identify any application
maintained as many are not shipped failure.
with secure defaults. This includes 3) Vulnerability Scanner module
keeping all software up to date, scans the protected applications,
including all code libraries used by finds inherent misconfigurations
the application. and quickly turns them to
security rules.
4. Familia de Productos
Asi como appliances físicos, se dispone también de máquinas virtuales, listas para integra en
los siguientes hipervisores:
- VMware ESX/ESXi
- Microsoft Hiper-v
- Citrix XenServer
- Open source XEN
- Amazon web services