Aker Web Defender Se preocupe com o que é importante, que a … · 2018-01-10 · Aker N-Stalker...

Os firewalls convencionais e os IPS (Intrusion Prevention System) não são capazes de detectar e bloquear ataques na camada de

aplicação, isso explica por que as aplicações são o alvo preferido dos atacantes. Baseado nesse fato, percebeu-se a necessidade de

desenvolver um novo método que pudesse analisar as particularidades da camada de aplicação e que tomasse decisões voltadas

para o bloqueio de ataques contra as aplicações.

O WebDefender foi desenvolvido para suprir essa demanda, oferecendo possibilidades muito mais complexas do que a simples

configuração de regras de fluxo de tráfego TCP/IP presente nos firewalls convencionais. Com foco em segurança, seu sistema

operacional é "hardenizado" e configurado de acordo com as melhores práticas para suportar os mais duros ataques.

Ao atuar diretamente na camada 07 (aplicação) do modelo OSI como um proxy reverso, o WebDefender é capaz de interceptar todas

as requisições do cliente e as respostas do servidor Web, detectando e bloqueando ataques em HTTP, HTTPS, SOAP, XML-RPC, Web

Service, dentre outros.

Alguns firewalls de aplicação adotam o conceito de "assinaturas de ataques" a fim de detectar ataques específicos, enquanto outros

adotam o conceito de "anomalia de comportamento" com o intuito de detectar ataques através de tráfego anormal, o WebDefender

reúne o melhor dos dois mundos em um único produto.

Se preocupe com o que é importante, que a gente se preocupacom a segurança.

Produtos adaptados à sua realidade:

CLASSES DE ATAQUE

O Firewall de Aplicação WebDefender fornece proteção por default para todos os ataques comuns direcionados a aplicações web,

incluindo SQL injection, Cross-Site-Scripting, dentre outros. Muitas aplicações são vulneráveis a tais ataques porque os

programadores não empregam constantemente as melhores práticas em programação segura.

O WebDefender foi projetado para combater por default todos os tipos do ataque que foram categorizados como ameaças

significativas, incluindo:

Sistema de alta performance;Capaz de analisar tráfego encriptado (TLS/SSL);Conformidade com o PCI Security Standarts Council;Protege contra as vulnerabilidades listadas no OWASP TOP 10;Serviço de gerenciamento e monitoramento 24X7;Logs guardados com segurança e em tempo real;

Imune a técnicas de evasão utilizando os protocolos IP e TCP;Inspeção bidirecional de ataques;Constante atualização de assinaturas de ataques;Permite que a empresa defina o controle de acesso interno/externo;Oferece os mais altos níveis de vigilância das aplicações em tempo real;Disponibiliza Relatórios de Segurança.

Violações do protocolo http;SQL Injection;LDAP Injection;Cookie Tampering;Cross-Site Scripting (XSS);Buffer Overflow;OS Command Execution;

Remote Code Inclusion;Server Side Includes (SSI) Injection;File disclosure;Information Leak;Scanners de vulnerabilidade Web e Crawlers;Worms e Web Shell Backdoors;Ausência de tratamento de erros do Webserver.

Data Sheet VERSÃO 9

Aker Web DefenderAker Web DefenderProteção para aplicações Web.


Aker Web DefenderHardwares

Aker Web DefenderProteção para aplicações Web.

2 Aker N-Stalker Brasília/DF ▪ CEP: 70750-650 ▪ Tel./Fax: (61) 3038-1900

PARTE DIANTEIRA PARTE TRASEIRA

AkerWeb DefenderBoxModelos:50 e 200

AkerWeb DefenderBoxModelos:500, 2000 e 4000

1- Valores máximos levantados em laboratório com otimização do produto. Outras variáveis como tipo de tráfego ou tipo de uso do sistema podem alterar este valor.2- Tráfego de entrada e saída somados.3- Módulos de Mini Gbic estão inclusos na aquisição da placa - Mini GBIC Finisar RoHS-6 Compliant 1G/10G 850nm Multimode Datacom SFP+ Transceiver (FTLX8571D3BCV)4- Tempo máximo total de garantia é de 36 meses.5- Refere-se apenas à parte de softwares do produto.6- Os valores máximos de performance dependem do quantitativo de memória instalado, nos testes em laboratório os equipamentos com processador e memória adicional.

Personalização: Os modelos acima são padrões de fornecimento. Placas WAN, Aceleradores VPN, aceleradores em geral, VOIP ou outros dispositivos, podem ser integrados nos equipamentos de acordo com a necessidade e disponibilidade do projeto.

Características(1)(2)(6)Throughput (Mbps)

Nº de domínios protegidos

Usb (data / serial / 3G)Serial (DB9/RJ45/compatível)LED de Atividade (Rede, Disco, Ligado / Desligado)Display Frontal LCDPlaca de rede RJ45 (10 / 100 / 1000)

(3)Placa de rede Interfaces 10 Giga SFP+Memória RAM (Gb)Armazenamento InternoFonte de Alimentação

Módulos Opcionais (Slots de Expansão) Slot 1 - Adicional (apenas uma das opções abaixo) AKHWMO-0062 - Oito Interfaces Giga Rj45 Module

(3) AKHWMO-0063 - Quatro Interfaces Giga SFP Module Slot 2 - Adicional (apenas uma das opções abaixo) AKHWMO-0062 - Oito Interfaces Giga Rj45 Module

(3) AKHWMO-0063 - Quatro Interfaces Giga SFP Module

Módulos de Substituição Memória Ram

Garantia e atualizaçãoGarantia Estendida(4)

(5)Plano de Atualização de Firmware

DimensõesCaracterística Física Altura, Largura, Comprimento (cm) Peso (Kg)

MTBF (Mean Time Between Failures) Consumo Máximo Temperatura de Operação Umidade

Modelo 50050050

2 portasInclusoInclusoIncluso

4Não disponível

16600 Gb SSD

Interna redundante automática

10/100/1000 UTP1.000 SFP

10/100/1000 UTP1.000 SFP

32 Gb

AnualAnual

1U para rack 19”4,4/43/39,2

1795.000270W

0 - 40ºC5% - 95%

Modelo 50505


8Não disponível

8SSD 240 Gb

Interna automática

Não disponívelNão disponível


Não disponível

AnualAnual

1U para rack 19”4,4/43/39,2

8,5 95.000270W

0 - 40ºC10% - 95%

Modelo 20020025


8Não disponível

8SSD 240 Gb

Interna automática



Não disponível

AnualAnual

1U para rack 19”4,4/43/39,2

8,5 95.000270W

0 - 40ºC10% - 95%

Modelo 40004.000300


42

32600 Gb SSD


10/100/1000 UTP1.000 SFP

10/100/1000 UTP1.000 SFP

Não disponível

AnualAnual

1U para rack 19”4,38/43,1/54,87

1795.000270W

0 - 40ºC5% - 95%

Modelo 20002.000100


42

16600 Gb SSD


10/100/1000 UTP1.000 SFP

10/100/1000 UTP1.000 SFP

32 Gb

AnualAnual

1U para rack 19”4,38/43,1/54,87

1795.000270W

0 - 40ºC5% - 95%


Aker Web DefenderBox

Aker Web DefenderProteção para aplicações Web.

Pequenas/Média/Grandes Empresas

3 Aker N-Stalker Brasília/DF ▪ CEP: 70750-650 ▪ Tel./Fax: (61) 3038-1900

Aker N-Stalker Brasília/DF ▪ CEP: 70750-650 ▪ Tel./Fax: (61) 3038-1900

4

ESPECIFICAÇÕES TÉCNICAS COMPLEMENTARES

1. Suporta os mais variados tipos de infraestrutura de SO dos servidores nos webservices quehospedam as aplicações, tais como:

• Sistemas Operacionais:o Windows Professional 10;o Windows Server 2008 R2;o Windows Server 2016;o Unix / Linux em seus diversos sabores e versões;o Windows Server 2012 R2.

• Servidores Web:o IIS em suas versões (IIS 6.0, IIS 7.0, IIS 8.0 ou superior);o Apache Server 2.0 ou superior;o Nginx 1.7 ou superior.

• Banco de Dados:o SQL Server 2005 ou superior;o Oracle 10G ou superior;o MySQL 5.0 ou superior;o HANA;o Postgres.

• Aplicações:o NET Framework 2.0 ou superior;o PHP 6 ou superior;o WordPress 2.9 ou superior;o Moodle 2.7 ou superior;o IBM Lotus Notes;o Outlook;o Microsoft Sharepoint;o SAP ECC 6.0 ou superior.

2. Características de Hardware:

• Compatível com rack com largura padrão de 19 polegadas, EIA-310, 1U (44mm);• Acompanha todos os cabos, suportes (gavetas, braços e trilhos);• Possui painel frontal do tipo LCD com as seguintes informações: CPU, memória, indicativo on/off, tráfego de rede e disco;• Fonte de alimentação redundante N+1 e Hot-Swapping com tensão de entrada de 110V a 220V AC automática e

frequência de 60Hz;• Sistema operacional AKER OS;• Throughput mínimo de 4000 Mbps para tráfego HTTP/HTTPS;• Menos composição com 32 GB de RAM;• Processadores de 8 núcleos de 3.40GHz;• Capacidade para proteger pelo menos 300 domínios;• Armazenamento interno de 1 TB com espelhamento do tipo RAID-1;• Suporte a, pelo menos, 5.000 novas conexões por segundo por equipamento;• Suporte ao monitoramento e bloqueio de transações por segundo (TPS) com SSL conforme imagens abaixo:




5

• Possui 4 interfaces de rede Gigabit Ethernet 10/100/1000 com leds indicativos de funcionamento;• Possui módulo para até 4 interfaces de fibra ótica SFP+;• Possui 2 (duas) portas USB para inserção de dispositivos externos;• Interface para configuração e gerenciamento através de interface de linha de comando CLI (Command Line Interface),

SSH, ou Web (HTTPS);• Console do tipo serial DB-9, com conector RJ-45;• Log de atividades de uso USB. Exemplo: usuário que ativou ou desativou a porta, data e hora de ativação, etc.;• Possui porta segregada exclusiva para gerencia da solução;




6

3. Características de Software

• Suporte a cluster com dois ou mais equipamentos idênticos;• Tolerância a falhas (ativo/passivo) e alta performance (ativos/ativos).• Característica de rollback para a versão anterior;• Suporte ao protocolo agregação de links / portas (802.1ax / 802.3ad);• Suporte ao protocolo 802.1q, com a possibilidade de criação de VLANs e a definição de seus endereços IP através da

interface gráfica;• Página HTML informativa e personalizável como HTTP Response aos bloqueios conforme ilustração abaixo:

• Inspeção de upload de arquivos para os servidores de aplicação;• Possibilita realização de NAT (Network Address Translation);• Identifica e cria perfil de utilização dos aplicativosem Javascript, CGI, ASP e PHP:

• Realiza proteções de cabeçalho: X-Frame-Options, X-XSS-Protection, X-Content-Type-Options:

• Atua diretamente na Camada 7 do modelo OSI interceptando todas as requisições do cliente e as respostas dowebservice.




7

• Detecta e bloqueia ataques em HTTP, HTTPS, SOAP, XML-RPC, Web Service, entre outros;• Possui políticas em conformidade com PCI-DSS;• Permite implementar o conceito de “assinaturas de ataques” para detectar ataques específicos e o conceito de “anomalia

de comportamento” para detectar ataques através de tráfego anormal;• Possui características de “Modo Positivo” de aprendizado automatizado, capaz de identificar os conteúdos das

aplicações, incluindo URLs, parâmetros URLs, campos de formulários, o que se espera de cada campo (tipo de dado,tamanho de caracteres, se é um campo obrigatório e ainda se é somente-leitura), cookies, arquivos XML, ações SOAP, eelementos XML, conforme ilustração a seguir:

• Proteção contra-ataques de bot e botnets;• Proteção contra-ataques de “crawling“;• Suporta request compression e response compression;• Suportar assinatura digital de cookies;• Suporta edição de URL (“URL rewriting”);• Permite o cadastro manual de usuários e grupos diretamente na interface de gerência remota;• Permite a integração com qualquer autoridade certificadora emissora de certificados X509 que siga o padrão de PKI

descrito na RFC 2459, incluindo as CRLs emitidas periodicamente pelas autoridades, podendo ser obtidasautomaticamente via protocolos HTTP e LDAP;

• Suporte man-in-the-middle para conexões do tipo HTTPS;• Todos os ataques detectados são registrados (log) em banco de dados;• Utiliza o campo HTTP X-Forwarded-For sem modificar seu conteúdo de origem, permitindo a diferenciação em ambientes

com NAT;• Suporte a aceleração de SSL, tanto a troca de chaves quanto a criptografia dos dados pode ser realizada com aceleração

em hardware não impactando a performance do sistema;• Suporta SSL offload conforme ilustração que segue:




8

• Suporte ao recurso para re-criptografar em SSL a requisição ao enviar para o servidor, permitindo as demais otimizaçõesem ambiente totalmente criptografado;

• Suporte a autenticação do cliente através da verificação da validade do certificado digital fornecido pelo lado servidor noprocesso de estabelecimento do túnel SSL/TLS;

• Suporte inspeção offload e aceleração de tráfego criptografado através de SSL/TLS;• Possibilita o encaminhamento ao servidor de origem, via cabeçalho HTTP ou transparente, todo o certificado digital

utilizado pelo lado cliente para se autenticar durante o processo de estabelecimento do túnel SSL/TLS;• Possui capacidade de importação dos certificados e chaves criptográficas para transações seguras entre cliente/servidor,

operando em modo “man in the middle”, ou seja, descriptografar, otimizar e re-criptografar o tráfego SSL semcomprometer a segurança da conexão SSL estabelecida previamente entre cliente/servidor. Caso haja falha na leitura daconexão SSL, se assim configurado, permite seguir em regime de passthrough;




9

• Permite remover mensagens de erro de conteúdo que será enviado aos usuários;• Possui recursos para balancear as sessões novas preservando as sessões existentes no mesmo servidor, através de

persistência de sessão:o Cookie;o Sessão SSL;o Análise da URL acessada;o Parâmetro do cabeçalho HTTP;o Certificados digitais permitindo:

• Autenticação criptográfica mútua entre servidor e usuário;• Robusta proteção contra-ataques por tentativa de senhas (força bruta);

• Suporta conexão com os sistemas operacionais Windows 98/2000/XP/Vista/seven, Windows server 2008 R2, 2012 R2 e2016, Linux e respectivas distribuições;




10

•

oooooooooooooooooooooo

Detecta as seguintes classes de ataques:

Anonymous Proxy Vulnerabilities;Violações do protocolo HTTP;SQL Injection;LDAP Injection;Cookie Tampering;Cookie Injection;Cookie Poisoning;Cross-Site-Request Forgery (CSRF);Directory Traversal;Forceful Browsing;Form Field Tampering;Google Hacking;HTTP hidden field manipulation;HTTP parameter pollution;HTTP request smuggling;HTTP Response Splitting;HTTP Verb Tampering;HTTP Distributed Denial of Service (DDoS);Known Worms;LDAP injection;Malicious Encoding;Malicious Robots;



ooooooooo

Parameter Tampering;Phishing Attacks;Remote File Inclusion Attacks;Illegal Encoding;Sensitive Data Leakage;Data Leak prevention;Outbound data leakageSession Hijacking;Site Reconnaissance;


11

o Zero Day Worms;o Recursive payloado Conteúdo do payload;o Vazamento de código de servidores;o Syn flood;o Web site cloaking;o Web Scraping;

o Web server software and operating system attacks;o Web services (XML) attacks;o Cross-Site Scripting (XSS);o Data Destruction;o Denial of Service;

o Buffer Overflow;o OS Command Execution;o OS Command Injection;o Remote Code Inclusion;o Server Side Includes (SSI) Injection;o File disclosure;o Information Leak;o Scanners de vulnerabilidade Web e Crawlers;o Worms e Web Shell Backdoors;o Anti-defacemento Ausência de tratamento de erros do Webserver;o Geolocalização e bloqueio de requisições de um determinado IP e/ou país suspeito;




12

4. Características de LOG:

• Armazenamento interno de, pelo menos, 1 TB com espelhamento do tipo RAID-1;• Suporta integração com SIEM’s, tais como: Splunk, ArcSight e IBM QADAR;• Consulta aos logs por interface gráfica:

• Suporte a correlação de múltiplos eventos e regras de segurança;




13

• Logs armazenados com segurança e em tempo real:

o Cópia da tentativa do ataque;o Endereços IP que originaram os ataques;o Horário do ataque;o Nome do ataque;o Qual campo foi atacado;o Quantas vezes esse ataque foi realizado;o Informações de identificação dos usuários autenticados nas aplicações;

• Permite armazenamento dos eventos (logs) em equipamento remoto em plataformas Windows Server(NT/2000/2003/2008) ou Unix, via SYSLOG;

5. Características de Administração

• Possui interface de gerenciamento web, suportando HTTPS;• Possui suporte ao protocolo SNMP V2 e V3, com MIB própria;• Possui suporte ao protocolo NTP para atualização da hora do produto, sendo possível configurar, pelo menos, 4

servidores para a consulta;• Permite configuração de endereçamento das interfaces de rede pela interface de gerencia Web;• Permite configuração de agendamento automático de atualizações de novas versões do produto;• Permite configuração de notificações de tarefas agendadas e autenticação TLS;• Possibilita configurar múltiplos perfis de administração;• Possibilita administração baseado em papéis, de forma a permitir a definição de diversos administradores para o

dispositivo, cada um responsável por determinada tarefa da administração;• Permite a conexão simultânea de vários administradores, sendo apenas um deles com poderes de alteração de

configurações e os demais apenas de visualização das mesmas;• Permite que o segundo administrador possa enviar mensagem ao primeiro por meio de interface de administração;• Possui autenticação em base local com usuários e também uma base remota do Active Directory (AD) e LDAP;• Permite filtro de logs de acordo com arquivos de definição de formatos;• Permite agendamento de relatórios e envio via FTP, SFTP, SMTP e local próprio no servidor com controle de acesso;• Possui agendamento para atualização automática das definições dos formatos de log suportados;• Permite agendamento para atualização automática do sistema;• Exibe eventos de envio ou erro de operação;• Armazena logs padronizados em um banco de dados para consulta;• Disponibiliza relatórios e consulta do banco de dados;• Possibilita rotação dos arquivos de log e do banco de dados para remover arquivos e registros antigos. Com opção de

exportar os dados em texto e enviar via FTP/SFTP antes de excluir do banco;



14

• Possui funcionalidades de gerenciamento de Logs;• Permite funcionar como centralizador de logs e eventos capaz de reter as informações conforme a disponibilidade de

hardware e interesse do administrador;• Possui visualizações consolidadas para perfis, tais como: administradores de redes, gestores de TI, gestores da segurança,

por meio de relatórios e gráficos personalizados para cada público alvo;• Permite o envio automático de relatórios por e-mail com arquivo anexado, nos formatos PDF e CSV;• Possibilita customização dos relatórios;• Permite extração de logs em processo batch, em horários pré-agendados;• Possibilita configuração de logs via SYSLOG com transferência podendo ser via protocolo seguro SSL;• Permite compactação de logs;• Permite exportação de relatórios em, pelo menos: HTML, Common Separated Value (CSV), XML e TXT;• Possui DashBoards para acompanhamento da situação da infraestrutura monitorada;• Possibilita monitorar a previsão de crescimento, tais como: utilização de disco, memória e processador;• Exibe atualizações: versão de software, patches e hotfixes instalados;• Exibe principais acessos: sites e serviços acessados, acessos fora do expediente e acessos remotos;• Informações de infraestrutura: tráfego gerado, consumo de banda;• Informações de produtividade: tempo gasto no acesso à Internet, tempo gasto por serviço;• Informações sobre tentativas de ataque: ativo e serviço acessado, origem do ataque;



www.aker.com.br • [email protected] www.nstalker.com • [email protected]

Aker Web Defender Se preocupe com o que é importante, que a … · 2018-01-10 · Aker N-Stalker...

Documents

Transcript of Aker Web Defender Se preocupe com o que é importante, que a … · 2018-01-10 · Aker N-Stalker...