Giải pháp bảo mật FortiDDoS Chuẩn bị cho: Lập bởi: Techhorizon Phần kiểm soát Các thay đổi Ngày Người thực Cao Đình Phú Xem xét Ngày Tên chức vụ Nguyễn Trung Công Nhận tài liệu Ngày Tên chức vụ Version Nội dung 2.0 Tạo tài liệu Mục Lục MỤC LỤC .3 TỔNG QUAN CHUNG .4 1.1 1.2 1.3 Giới thiệu giải pháp FortiDDoS Cách thức hoạt động FortiDDoS Các ưu điểm bậc FortiDDoS 20 CÁC DÒNG THIẾT BỊ FORTIDDOS 23 BẢN SO SÁNH FORTIWEB VỚI CÁC HÃNG KHÁC 25 CẤU HÌNH FORTIDDOS 26 4.1 4.2 Sơ đồ 26 Cấu hình 27 Tổng quan chung 1.1 Giới thiệu giải pháp FortiDDoS Tấn công từ chối dịch tụ (DoS DDoS) chương trình máy tính hacker tạo cài vào máy tính nạn nhân (zombie), máy tính thay mặt cho hacker công vào target server xác đĩnh sẵn nhằm tạo thành mạng botnet Tấn công từ chối dịch vụ không nhằm mục đích đánh cắp liệu cơng ty, tổ chức hay cá nhân Mục tiêu kẻ công ngăn chặn quyền truy cập hợp pháp người dùng lên server cách gây hàng trăm, hàng ngàn phiên kết nối từ zombies lên server gây “ngập” hệ thống, chiếm dụng băng thông đường truyền gây tải xử lý server Tấn công DDoS năm gần để lại nhiều hậu nghiêm trọng hoạt động kinh doanh uy tín doanh nghiệp Qui mơ cơng từ chối dịch vụ ngày lớn hình thức công ngày phưc tạp.DDoS xuất vào đầu năm 90 với hình thức công đơn giản ICPM ping of dead, TCP Sync Flood, UDP Flood… năm 2000 DDoS làm tê liệt hệ thống nhiều nhà cung cấp lớn yahoo, eBay, Amazon, CNN… DDoS phương thức công nguy hiểm chưa có có giải pháp phòng chống hiệu FortiDDoS cung cấp giải pháp bảo mật không ngừng bảo vệ hệ thống trước nguy bị công DDoS Với nhiều thuật toán phức tạp với sức mạnh phần cứng tăng tốc xử lý chip FortiACIS, FortiDDoS phát ngăn chặn IP cơng vong giây góp phần ngăn chặn giảm thiểu hậu nhiều kiểu công từ chối dịch vụ xảy mạng 1.2 Cách thức hoạt động FortiDDoS Cách thức hoạt động FortiDDoS mô tả qua sơ đồ sau: FortiDDoS liên tục học tập cập nhật phân tích thông tin để theo dõi bất thường trình truyền liệu hệ thống Để định hủy cho phép gói tin qua nó, FortiDDoS phải thực nhiều bước kiểm tra đánh giá độ an toàn của nguồn lưu lượng dựa vào tập danh sách ngưỡng thiết lập q trình học tập, có bất thường bước kiểm tra FortiDDoS tiến hành drop gói tin với IP nguồn IP đích xác định Về tổng thể FortiDDoS kiểm tra hủy gói tin giống hoạt động Statefull Firewall, xét cách thức hoạt đông FortiDDoS Firewall có nhiều điểm khác nhau: Bảng so sánh FortiDDoS với Firewall FortiDDoS Statefull Firewall FortiDDoS Rate Base Analysic Đối với Statefull Firewall, nhà quản trị quản lý dựa vào sách (Rules) để định cho phép(allow) hay từ chối (deny) kết nối Khi phiên kết nối kết thức, Firewall không lưu lại thông tin quan sát tốc độ truyền gói tin Layer 3, layer mang so sánh với giá trị ngưỡng (threshold) cấu hình Nếu tốc độ truyền gói phát giá trị vượt ngưỡng, FortiDDoS tiến hành Drop chúng FortiDDoS cho phép người quản trị cấu hình ACESS-LIST phép (Allow) chặn (deny) kết nối từ theo hai Đối với Firewall người quản trị cấu hình phép client thực kết nối kết nối thỏa sách (rules) không quan tâm tới tốc độc hướng Inbound Outbound, nhiên tốc độ truyền gói vượt ngưỡng, FortiDDoS truyền gói ví dụ (access-list 100 permit any 192.168.1.1/32 udp 1343) tiến hành drop gói Access Control List FortiDDoS cấu hình để quản lí ứng dụng từ layer đến layer gồm thơng tin sau: -Layer 3: chặn gói tin theo hướng inbound outbound gồm:  Protocol ID  Fragment packet  IP nguồn(Source IP)  IP đích(Destination IP)  IP dựa quốc gia(GEO IP) -Layer Access List cho phép định nghĩa danh sách rules phép hay từ chối theo chiều Inbound Outbound gồm:  Port TCP định  Port UDP định  ICMP Type Code định -Layer Access-list cho phép áp đặt sách dựa vào URL, HTTP Referer, User-Agent, Host, Cookies Bảng so sánh FortiDDoS IPS FortiDDoS FortiDDoS Rate-Base Instruction Prevention System (NBA), dùng để ngăn chặc hình thức cơng mạng dựa vào kỹ thuật tính tốn, phân tích, thống kê… để xác định nguồn traffic độc hại, bảo vệ hệ thống khỏi bị “ngập lụt”(flood) Điểm khác NBA Content-Base Instruction Prevention System (CBIPS) NBA không sử dụng signature định nghĩa trước để xác định ngăn chặn công, CBIPS phát ngăn chặn phương thức công không định nghĩa signature, hình thức khai thác lỗ hổng bảo mật “zero-day attack” kiểu công bị phân mảnh hay liệu layer mã hóa Khi FortiDDoS cài đặt vào hệ thống, cần khoảng thời gian để học tập thích nghi với thơng tin sau thiết lập ngưỡng lớp ngưỡng thiết lập thủ công người quản trị IPS Content-Base Instruction Prevention System (CBIPS) : phát ngăn chặn công dựa vào signature định nghĩa sẵn FortiDDoS hardware NBA dùng để ngăn chặn nhiều phương thức công DoS cách thống kê traffic từ layer tới layer 7, với nhiều cách phân loại kiểm tra liệu : theo dõi IP nguồn, IP đích, giao thức (TCP, UDP, ICMP) hàng triệu phiên kết nối thời điểm FortiDDoS sử dụng ngưỡng để xác định dấu hiệu IP công Trên lớp, FortiDDoS phân tích nhiều hình thức cơng dựa vào bảng sau: L Type Protocol Flood 2.Fagment Flood 3.IP Source Flood and Source Tracking 4.IP Destination Flood 5.Dark Address Scan Limited CountersMicrofine Counter 256 1 Limited or None Milion Limited Milion Limited Milion Source 1.TCP Port Flood Limited 2.UDP Port Flood Limited 3.ICMP Type/Code Flood Limited 4.TCP Connection Flood GLOBAL->Device Configuration->IP Address để đặt IP quản lý Chọn Save Vào MANAGE->GLOBAL->User để cấu hình User Chọn Save Vào MANAGE->GLOBAL->Role để cấu hình User Role Chọn Save Vào Server CONFIGURE->GLOBAL->VID Name để đặt tên cho VID Chọn Save để lưu tên VID Vào CONFIGURE->GLOBAL->VIDs để đặt subnet cho VID Chọn Add Nhập vào IP Address Netmask -> chọn Save Vào CONFIGURE->GLOBAL->Operating Mode để chuyển FortiDDOS sang Prevntion mode Chọn Save Thiết lập ngưỡng FortiDDoS Chọn Save Vào CONFIGURE->CURRENT VID->Access Control List để cấu hình ACL FortiDDoS Layer ACL Layer ACL Chọn Save Xem Report FortiDDoS: Danh sách Top Attack VID Danh sách Top Attack VID Danh sách Top Attacker Thống kê tổng liệu truyền thời gian Số lượng kết nối TCP hợp pháp xác định FortiDDoS