Upload
muk-extreme
View
114
Download
2
Embed Size (px)
Citation preview
© Copyright Fortinet Inc. All rights reserved.
Решения по обеспечению доступности сервисов. Защита от DDoS атак на инфраструктуру, атак направленных на веб приложения
2
Содержание
Безопасная доставка приложений
Общая информация о DDoS, методы
защиты
Продукты Fortinet для безопасной
доставки приложений
»FortiDDoS
»FortiWeb
»FortiADC
Пример дизайна
3
Что такое сеть доставки приложений (ADN)?
Набор технологий обеспечивающих приложению:
» Масштабируемость
» Базопасность
» Высокая производительность
Используя устройства/сервисы:
» Контроллеры доставки приложений (ADC)
» Firewall / UTM/ WAF
» Средства защиты от DOS/DDOS
Fortinet предлагает решения для
высокопроизводительной и безопасной доставки
приложений
4
Решения Fortinet для ADN:
Server Side Security Outer Perimeter
APPLICATION DELIVERY NETWORK
• Server LB
• SSL Offloading
• Firewall/VPN
• Antivirus/malware
• IPS/IP Reputation
• WAF
• WAN Optimization
• GSLB
• Link Load Balancing
• DDOS protection
• FortiADC • FortiGate
• FortiGuard
• FortiAnalyzer
• FortiManager
• FortiWeb
• FortiADC (LLB/GSLB)
• FortiDDOS
5
Application Servers
Web Servers
DB Servers
Mail Servers
FortiDB
FortiWebFortiDDoS
FortiMail
FortiADCFortiSwitch FortiAP
FortiGateFortiWiFi
FortiClient
FortiSandBox FortiAuthenticator FortiAnalyzer FortiManager
FortiDNS
FortiToken
FortiExtender
FortiDirector
FortiCloud
FortiRecorder
FortiCam
FortiVoice/
FortiGateVoice
Fortifone
File Analysis
User Auth
Central Log & report
Central Device mgmt
Remote VPN
3G/4G WAN
WiFi Access
Secure WiFi Access
IP Cam. Recorder
IP PBX Web App. Firewall
Load Balancer
Mail Security Gateway
Security gateway
FortiCache
Endpoint Security
2 Factor OTP Token
DATA CENTERSECURITY OPERATING CENTER
LAN
MOBILE
REMOTE
Global Load balancing
Log retention & reporting
Ascenlink
Site-to-site VPN
Link Load Balancer
Secure DNS Caching server
Secure Web Caching server
L2 Switching
L7 D/DOS Mitigator
DB Security
FortiDDOS
7
DDoS в новостях
DDoS атаки угроза №1 для ЦОД
Размер атак увеличивается
80% атак размером меньше 50 Мбит/с
Наиболее успешные атаки были меньше 1 Гбит/с
Атаки становятся все более изощренными
Атаки на 7 уровень наиболее растущий тип атак
Злоумышленники используют DDoS атаки, чтобы
замаскировать утечки данных
Предприятиям необходима защита
Финансовый и Государственный секторы
Перебои в работе сервисов
Заказчик и финансовые данные в зоне риска
Традиционные средства защиты не могут
обнаружить небольшие атаки
Атаки на 7 уровень делаются через ЦОД
8
Что такое DDoS атака?
Целью является перебои
в работе сети,
приложений или
сервисов
Сеть и сетевые сервисы
становятся недоступными
для легитимного трафика
Заполнение паразитным
трафиком от бот-сетей
Бот-мастер контролирует
устройства (ставшие
частью бот-сети
добровольно или
принудительно)
Мотив может быть
политическим,
финансовым или личным
9
Типы DDoS атак
На уровень приложений
Более мелкие и более сложные
атаки, нацеленные на сервисы 7
уровня на серверах, такие как
HTTP, SMTP и HTTPS.
Проблемы:
• Остаются незаметными для
традиционных методов защиты
• Быстро растущий тип атак
• Сложно обнаружить
• Легче в организации для бот-
мастера
На облачную
инфраструктуру
Современные атаки на все элементы
инфраструктуры облака, такие как
брандмауэры, почтовые и веб
серверы
Проблемы:
• Необходима комплексная защита
• Угрозе подвергаются несколько или
все клиенты облачного сервиса
• Комбинация DDoS атак
• Необходима защита нескольких
узлов
Массовая
Волюметрическая
Разработана для подавления и
потребления доступной полосы
пропускания Интернет или
перегрузки серверов (например,
SYN, UDP, ICMP floods).
Проблемы:
• Сервисы не доступны
пользователям
• Может маскировать утечки
данных
• Размер атак постоянно растет
• Простота организации атаки
10
Развитие угроз
Традиционные атаки
• Уровень 3 и 4
• Массовые
волюметрические
• Подмена IP адресов
• Все больше и больше по
мощности
• Большие бот-неты
Сегодня и завтра
• Фокус на уровне сервисов
7 уровня
• Небольшие, целевые
атаки
• Смешанные атаки на 3/4/7
уровни
• Атаки на облачные
сервисы
• Большие атаки для
отвлечения внимания
Новый подход
• Поведенческий анализ
• Мониторинг сервисов и
портов
• Обнаружение атаки любого
размера
• Аппаратное решение
• Нельзя полагаться только
на ISP
• Автоматическая реакция
11
Варианты защиты от DDoS
Брандмауэр/IPS
Комплексное устройство с
функционалом межсетевого
экрана, системы защиты от
вторжений и предотвращения
ДДоС
За:
• Единое устройство
• Простота управления
Против:
• Низкий уровень обнаружения
атак на уровне приложений
• Потенциально лицензируемый
функционал
• Снижение производительности
Выделенное устройство
Устройство устанавливаемое в
ЦОД для обнаружения и смягчения
ДДоС атак на 3, 4 и 7 уровни
За:
• Предсказуемые затраты
• Расширенная защита на 7
уровне
Против:
• Необходимость управления
дополнительным устройством
• Может быть подвержено
волюметрическим атакам
• Может потребоваться
обновление сигнатур
Провайдер DDoS защиты
Сервис в виде управляемой подписки
с отдельными услугами по
обнаружению и смягчению
последствий
За:
• Простота подписки
• Простота внедрения
Против:
• Дорогостоящие излишки
• Непредсказуемые расходы
• Ограничена гибкость
12
Поведенческий анализ и система основанная на уровнях
Отсутствие сигнатур
Поскольку FortiDDoS использует анализ поведения
пользователей и систему уровней, он обеспечивает модель
обеспечения безопасности для защиты от тех атак, которые
злоумышленники еще даже не придумали. Шлюз защиты от
вторжений работает в режиме 24/7, автоматически защищая
ваши сетевые сервисы и полосу пропускания без участия
администратора
13
Основные характеристики и преимущества
100% поведенческий анализ FortiDDoS не полагается на сигнатуры, требующие
постоянных обновления для защиты от самых последних и
актуальных угроз, тем самым обеспечивая защиту от уже
известных и еще не известных атак «нулевого дня»
100% аппаратное решение Процессор FortiASIC-TP2 обеспечивает двунаправленное
обнаружение и смягчение DDoS атак на 3, 4 и 7 уровни
Непрерывная оценка атак Сводит к минимуму риск «ложных срабатываний»
обнаружения переоценивая атаку, чтобы убедиться, что
«легитимный» трафик не блокируется
Устойчив к перегрузкам Высокая пропускная способность и работа на скорости
линии не позволяет перегрузить FortiDDoS и подвергнуть
его DDoS атаке
Автоматическое обучение После минимальной начальной настройки, FortiDDoS
автоматические построит нормальные профили трафика и
поведения ресурсов экономя ваше время и ресурсы
Защита от атак Понимая модели поведения, FortiDDoS может обнаружить
любую DDoS атаку, начиная от простой волюметрической
до сложной атаки на 7 уровне на основе SSL без
необходимости расшифровывать трафик
14
Как это работает
• Обнаружение производится в «железе»
• Смягчение происходит «inline»
Обнаружение и смягчение атак
Virtual Partitioning
Geo-Location ACL
Protocol Anomaly
Prevention
Packet Flood
Mitigation
Stateful Inspection
Out of State Filtering
Granular Layer 3 and 4
Filtering
Application Layer
Filtering
Algorithmic Filtering
Heuristic Filtering
Bogon Filtering
Attack T
raff
icТ
ра
фи
к а
та
ки
Ле
гити
мн
ый
тр
аф
ик
15
Построение базового профиля трафика
16
Многоуровневая защита от DDoS
Выделенное устройство не может защитить «канал» сам по себе
Используется совместно с DDoS защитой поставщика услуг Интернет, ЦОД
защищены от волюметрических атак 3/4 уровня и более мелких атак на 7 уровень
Layer 3/4
Layer 7
Good Traffic
Поставщик
услуг
Интернет
FortiDDoS ЦОД
Волюметрическая
защита
Провайдер предлагает защиту
от волюметрических атак на 3/4
уровне и может экранировать их
чтобы минимизировать
перегрузку канала к центру
обработки данных
Защита приложений
FortiDDoS обнаруживает и
смягчает более мелкие атаки на
7 уровне, которые пропустил
провайдер к центру обработки
данных и может обнаруживать
небольшие атаки 3/4 уровня,
которые не смог обнаружить
провайдер
DDoS Attacks
17
MID-RANGE
FortiDDoS B-Серия
FortiDDoS-400B• 8x GE LAN/8x GE WAN
• 4.0 Gbps full duplex
• 1 M Connections
• 100 K/sec setup/teardown
• 1x FortiASIC-TP2
FortiDDoS-800B• 8x GE LAN/8x GE WAN
• 8.0 Gbps full duplex
• 2 M Connections
• 200 K/sec setup/teardown
• 2x FortiASIC-TP2
FortiDDoS-1000B• 8x 10GE LAN/8x 10GE WAN
• 12.0 Gbps full duplex
• 3 M Connections
• 300 K/sec setup/teardown
• 3x FortiASIC-TP2
FortiDDoS-2000B• 8x 10GE LAN/8x 10GE WAN
• 4x 10GE LAN/WAN bypass
• 24.0 Gbps full duplex
• 6 M Connections
• 600 K/sec setup/teardown
• 6x FortiASIC-TP2
Целевые сегменты/вертикали
• Финансовый сектор
• Государственный сектор
• Датацентры
• Провайдеры веб-хостинга
FortiDDoS-200B• 4x GE LAN/4x GE WAN
• 2.0 Gbps full duplex
• 1 M Connections
• 100 K/sec setup/teardown
• 1x FortiASIC-TP2
18
Преимущества FortiDDoS Производительность
» До 10 раз лучше в определении и защите от атак в сравнении с Radware и Arbor
» Неизменная производительность за счет ASIC (отсутствует падение производительности как в
устройствах на базе стандартных процессоров)
Низкая стоимость владения для частной защиты от DDoS
» До 50% меньше стоимость владения в сравнении с Radware и Arbor (аппаратные решения).
» Модель с фиксированными затратами дешевле и предсказуема по сравнению облачными
решениями защиты от DDoS корпоративного уровня
Низкий уровень ложных срабатываний
» Решение на базе поведенческого анализа не блокирует легитимный трафик из-за ошибочного
определения атаки
» Постоянное изучения трафика позволяет максимально быстро исправить ошибку ложного
срабатывания
Всегда в актуальном состоянии
» Отсутствие сигнатур означает, что устройству не нужно ждать пока угроза будет определена и для
нее напишут сигнатуру
» Устраняет атаки «нулевого дня»
Устройство защищено от DDoS на него
» Пропускная способность на скорости линии минимизирует риск перегрузки устройства, большая
часть трафика проходит
» Возможность DDoS атаки на FortiDDoS исключена, поскольку трафик проходит только через ASIC
19
Преимущества FortiDDoS
Производительность
Низкая стоимость владения для частной
защиты от DDoS
Низкий уровень ложных срабатываний
Всегда в актуальном состоянии
Устройство защищено от DDoS на него
FortiWeb
21
Что такое WAF?
Защищает web приложения от
атак, например:
» SQL Injection
» Cross Site Scripting
» Layer 7 DoS/DDoS attacks
» Cookie/schema poisoning
Защита от атак на уязвимости в
приложениях
Понимает/изучает «нормальное»
поведение и защищает от
аномалий
» URL parameters, HTTP methods,
session IDs, cookies, schema, etc.
Умеет быстро подстраиваться под
новые угрозы
Может ли Firewall или IPS делать
это?
Firewall защищает от network-based атак
IPS обнаруживает только уже известные
проблемы
FortiWeb WAF
Web Application
Servers
SQL Injection, XSS…
INTERNET
22
WAF – задачи/трудности
Защита приложений от
уязвимостей в коде
Соответствие PCI Compliance (5.5
and 6.6)
Защита от OWASP Top 10
Application Vulnerabilities
Публикация приложений
Защита сайта от изменений
Где востребован?
Любая компания работающая с
пластиковыми картами и /или
должна соответствовать
требованиям PCI
Компании работающие с
конфиденциальной информацией
Mission-critical бизнес приложения
Где наиболее востребован?
Хостинговые компании
E-commerce/online сервисы
Retail, Food Service, Hospitality
Финансовый сектор
23
FortiWeb – Web Application Firewalls
4 модели – от 100 Mbps до 4 Gbps HTTP
До 6x GE и модели с 2x 10GE SFP+ портами
Встроенный сканер уязвимостей и антивирус
Аппаратные и VM исполнения
(VMware, Hyper-V и AWS)
Автоматическое behavior-based
сканирование
Возможность автообучения и
настройки
L7 DDoS защита
FortiGuard antivirus/IP reputation
Transparent, reverse и non-inline
варианты внедрения
Central Management/ADOM
Продвинутая отчетность
реального времени
SSL offloading/compression
SSO/Authentication
Layer 7 load balancing
Рекомендовано NSS
Complete WAF Solution for
PCI DSS Compliance
24
FortiWeb Virtual Appliances
Enterprise grade virtual WAF
Внедрение WAFs без дополнительного железа
Быстрое развертывание в виртуальной среде
Эффективное использование ресурсов без потери функционала WAF
VMware ESX / ESXi / 4.0 / 4.1 / 5.0 / 5.1 / 5.5, Microsoft Hyper-V,
Citrix XenServer 6.2, Open Source Xen 4.2, AWS (BYOL/On-Demand)
Technical
Specifications FortiWeb VM01
FortiWeb
VM02
FortiWeb
VM04
FortiWeb
VM08
vCPU Support (Max) 1 2 4 8
Memory Support (Max) Unlimited Unlimited Unlimited Unlimited
Network Interface Support
(Max)4 4 4 4
Storage Support (Min / Max) 40 GB / 1TB 40 GB / 1TB 40 GB / 1TB 40 GB / 1TB
25
FortiWeb – защита на всех уровнях
ATTACKS/THREATS
APPLICATION
IP REPUTATION
DDOS PROTECTION
PROTOCOL VALIDATION
ATTACK SIGNATURES
ANTIVIRUS/DLP
BEHAVIORAL VALIDATION
CO
RR
EL
AT
ION
BOTNETS, MALICIOUS HOSTS,
ANONYMOUS PROXIES, DDOS SOURCES
APPLICATION LEVEL
DDOS ATTACKS
IMPROPER
HTTP RFC
KNOWN APPLICATION
ATTACK TYPES
VIRUSES, MALWARE,
LOSS OF DATA
UNKNOWN APPLICATION
ATTACKS
26
Автоматическая настройка и защита
Основной функционал
» Авто-обучение
» Профилирование трафика
» Моделирование приложений на
базе профиля трафика
» Понимание реального поведения
Преимущества
» Нет изменений в приложении
» Действия при аномалиях трафика
» Защита от неизвестных
уязвимостей и zero-day атак
27
Функционал
» Сканирование всех элементов
приложения
» Гранулярная настройка
» Расписание
» Отчет с рекомендациями
» Обновления с FortiGuard
Преимущества
» Автоматизация отчетности об
уязвимостях
» Дополняет WAF для соответствия
требованиям PCI DSS
Сканирование уязвимостей
28
Преимущества FortiWeb
Защищает приложения с автоматическим профилированием и
сканером аномалий
Соответствует PCI Compliance (5.5 и 6.6) с обнаружением и защитой
приложений базирующихся на поведенческом анализе
Защищает от OWASP Top 10 Application Vulnerabilities
Определяет уязвимые места приложений используя сканер
уязвимостей
Публикация приложений с поддержкой Single Sign On/Authentication
Восстановление поврежденных страниц с Anti-Defacement Protection
Блокирует трафик от скомпрометированных источников с подпиской
FortiGuard IP Reputation
FortiADC
31
Что такое ADC?
Развертывание приложения на
несколько серверов
На один или несколько ЦОД
Обеспечивает доступность и
надежность (аварийное
восстановление)
Увеличивает эффективность
серверов с «умными»
мониторингом/проверкой доступности
Увеличивает производительность
приложений и уменьшает задержку
Продвинутое управление трафиком
» L7 content-based routing
» SSL offloading
» Content caching
» HTTP compression
Application
ServersINTERNET
32
ADC – задачи/трудности
Доступность/масштабируемость
приложений
» Поддержка роста количества
пользователей
» Поддержка возрастания SSL
трафика
» Минимальная задержка
Непрерывность сервиса и
аварийное восстановление
Уменьшение стоимости
доставки приложения
» Улучшение использования
серверных ресурсов
» Уменьшение администрирования
приложений
» Минимизация потери прибыли во
время простоев/аварий
Где востребован?
Предприятия с сетевыми
приложениями
Приложения где нужны несколько
серверов или ЦОД
Где наиболее востребован?
Электронная коммерция
Онлайн сервисы
Финансовые сервисы
Образование
Хостинговые компании
33
FortiADC – Application Delivery Controller
Аппаратные и виртуальные варианты
Пропускная способность от 1.0 до
50 Гбит/с
Модели с до 8х 10GE SFP+ портами
Полный функционал без
дополнительных лицензий
Наилучшее соотношение производительность/цена для любых задач
L4 и L7 load balancing
Продвинутые L7 content rewriting и
routing
GSLB
Полная поддержка IPv6 и 6in4
Tunneling
Несколько вариантов High Availability
failover
SSL offloading
Gzip HTTP compression
Quality of Service
Link Load Balancing
CLI и простой GUI
Caching
Firewall и защита от DoS
34
FortiADC Virtual Appliances
Виртуальный ADC корпоративного класса
Внедрение ADС без дополнительных устройств
Быстрое развертывание в виртуальной среде
Поддержка
Technical
Specification
s
FortiADC
VM01
FortiADC
VM02
FortiADC
VM04
FortiADC
VM08
vCPU Support
(Max)1 2 4 8
Memory Support
(Max)2GB 4GB 8GB 16GB
Network Interface
Support10 10 10 10
Storage Support
(Min / Max)50MB / 1TB 50MB / 1TB 50MB / 1TB 50MB / 1TB
35
Server Load Balancing
Проблема
» Добавление серверов для увеличения производительности
» Обеспечение доступности
Решение
» Health checking
» Маршрутизация только к доступным
» Маршрутизация к более
производительным
Результат
» 25% увеличение производительности
» Уменьшение потребности в серверах
10.1.0.2
10.1.0.3
10.1.0.1
INTERNET
36
Secure Application Traffic Offloading
Проблема
» SSL уменьшает производительность серверов
» Мощность ограничена 100 TPS
Решение
» SSL offloading на ADC
» Увеличение до десятков тыс .TPS
» HTTP к серверам
» HTTPS к клиентам
Результат
» 100 кратное увеличение
производительности
» Уменьшение количества серверов
10.1.0.2
10.1.0.3
10.1.0.1
INTERNET
37
Аварийное восстановление
Проблема
» Покрытие нескольких ЦОД
» Отказоустойчивость
Решение
» GSLB smart routing
» DNS-based
» Автоматическое
срабатывание
Результат
» Доступность во время аварий
» Незаметно для пользователя
» Автоматическое восстановление
INTERNET
Datacenter 2
Datacenter 1
38
FortiADC - преимущества
Масштабирование приложений с Server Load Balancing
Улучшение производительности с SSL Offloading/Acceleration
Аварийное восстановление/покрытие нескольких ЦОД с Global Server
Load Balancing
Приоритизация трафика с Quality of Service (QoS)
Отказоустойчивость и оптимизация WAN с Link Load Balancing
FortiGate
41
Анатомия FortiGate
Features & Capabilities Available by default, no requirement for hidden charges and software upgrades
Firewall VPN IPS App. Ctrl AntiVirus Web Filter
AntiSpam DLP NAC Vuln Mgmt Traffic Shaping WAN opt.
HA: A-A, A-P, Virtual
cluster, weighted
IPv6 FW + UTM
Routing Protocols
Wireless Controller
Server LB
Какое решение выбрать?
43
Сравнение функционала
Feature FortiGate FortiDDOS FortiWeb FortiADC
Hardware DOS/DDOS protection
+ + HW syn-proxy,
DOS sensor
+++ 100% ASIC
based
Software DOS/DDOS protection
+ IPS + syn proxy (syn
cookie), L7
rate limiting,
learning
+ syn proxy (syn
cookie),
SSL Acceleration Hardware + CP8 platforms + +
L4 load-balacing + + +++
L7 load-balancing + +++
Web Application Firewall +++
IP reputation filtering + + + +
Virtualisation up to 500 VDOM 8 SPP up to 64 ADOM up to 25 VDOM
Пример дизайна
45
46
Паливода Александр
Системный инженер МУК
Спасибо за внимание!