Guía HCIP Seguridad H12 722 Tecnología de Bloqueo de Archivos

Última respuesta Sep 26, 2019 21:20:53 85 6 4 1

Buenas noches.


El tema de acontinuacion corresponde a la tecnología del NGFW para la tecnología del bloqueo de ARCHIVOS.


TECNOLOGÍA DE BLOQUEO DE ARCHIVOS


Un vistazo inicial, ¿qué es la tecnología de bloqueo de archivos?

·        Es un mecanismo de seguridad usado para filtrar contenido basándose en el tipo de archivos. El NGFW (NEXT GENERATION FIREWALL) puede bloquear o generar alarmas para tipos de archivos específicos identificando el elemento.


·        El bloqueo de archivos bloquea la tranferencia de ciertos tipos de archivos, lo cual reduce el riesgo de ejecutar codigo malicioso y virus en la red interna y previene que los empleados filtren información confidencial de la empresa hacia internet.


·        Esta tecnología puede identificar el tipo actual de archivos que pasan a través del NGFW y realizer un filtrado en el tipo de elemento.  ¿A qué nos referimos en esencia al decir “tipo de archivos’’? por ejemplo, el nombre de un archivo de Microsoft Word es file.doc, y puede ser cambiado a file.exe, pero el tipo de archivo sigue siendo .doc.  además , el bloqueo de archivos puede identificar el el nombre de la extensión (sufijo). Si el tipo de archivo no puede ser identificado, el  NGFW puede filtrar archivos basado en el nombre de la extensión del archivo en sí.



Escenario Aplicado al Bloqueo de  Archivos.

231059iq0lp1k8v9pz8k4q.png?image.png

En la figura observamos un escenario en el que se ha configurado una regla específica para el bloqueo de archivos.


Las ventajas de implementar este mecanismo de seguridad son:

·        Reduce el riesgo de que información confidencial sea develada.

§  Generalmente, la información confidencial es almacenada en un documento que puede sr comprimido. Si los empleados suben estos documentos a la red externa (en un servidor de internet por ejemplo), o bien, si un hacker roba estos documentos confidenciales, puede existir una fuga importante de información.

§  La tecnología de bloqueo de contenido puede prohibir la carga hacia internet de documentos y archivos comprimidos y evita que los usuarios de internet descarguen documentos y archivos comprimidos en los servidores internos de la empresa, por consiguiente, el riesgo de fuga de información se reduce de manera considerable.

 

·        Reduce el riesgo de que archivos infectados con virus ingresen a la red interna de la empresa.

§  Con frecuencia los virus se adjuntan a archivos ejecutables para evadir su detección y pasar a través del firewall.

§  El bloqueo de archivos previene que los usuarios de la intranet descargurn archivos ejecutables desde internet y bloquea también la carga de estos archivos, de este módulos riegos de infección por virus se reducen de manera considerable.

 

·        Previene la transferencia de archivos que ocupan el ancho de banda y afectan la eficiencia de los empleados.

§  El descargar un gran número de archivos que no están relacionados con las actividades laborales (contenido multimedia, por ejemplo) es un ejemplo claro del consumo de los recursos como el ancho de banda y la procrastinación.

§  De igual modo, la tecnología de bloqueo de archivos previene que los usuarios descarguen archivos multimedia desde internet y asegura con esto el funcionamiento cabal del ancho de banda y evita que los empleados afecten su eficiencia laboral.

 

Principios del Bloqueo de Archivos

·        El NGFW puede identificar archivos de aplicación, dirección de transferencia, tipo de archivo y el nombre de la extensión:

§  Archivos de aplicación: los archivos son transmitidos sobre protocoles de ciertas aplicaciones, tales como HTTP, FTP, SMTP, POP3, NFS, SMB e IMAP.

§  Dirección de la trasferencia de archivos: esto incluye se es carga o descarga de archivos.

§  Tipo de archivo: por ejemplo, si el nombre de un archivo de Microsoft Word es file.doc y es cambiado a file.exe, el archivo sigue siendo .doc, y puede ser identificado por el firewall.

§  Nombre de la extensión del archivo: sufijo del nombre del archivo (incluye archivos comprimidos) por ejemplo, en el archi****rchivo.doc, el sufijo es .doc y el ejecutable.exe, el sufijo es .exe.

 

·        El NGFW puede bloquear o generar alarmas hacia tipos de archivo específicos identificando el tipo de archivo.

 

·        Si el tráfico de un archivo que pasa a través del NGFW coincide con alguna política de seguridad, la acción de la regla es PERMITIR, y la regla hace referencia al perfil de bloqueo de archivos la detección de bloqueo de archivos es necesaria.

 

·        La configuración global del bloqueo de archivos define la acción a ser tomada cuando la identificación de algún archivo en específico resulte anormal, tamaño de la descompresión de un archivo, tamaño, y la acción a ser tomada cuando un archivo descomprimido excede los límites permitidos. Las configuraciones por defecto aplican en la mayoría de los casos.

 

·        La identificación de archivos anormales puede resultar en lo siguiente:

§  El tipo de archivo es inconsistente con el nombre de la extensión del archivo.

§  El tipo de archivo no puede ser identificado y el nombre de la extensión del archivo no está disponible.

§  El tipo de archivo no puede ser identificado porque el archivo está dañado.

 

·        El NGFW soporta filtrado de archivos para archivos que no están comprimidos. Se puede configurar la descompresión de las capas, el NGFW también puede monitorear y procesar archivos comprimidos pesados y los archivos con mútiples capas de compresión.

 

·        Cuando las capas de compresión del archivo o el tamaño de los archivos comprimidos excede el umbral, el NGFW procesa el archivo de acuerdo con la acción de respuesta que se haya configurado.

 

Flujo del Proceso de la Tecnología de Bloqueo de Archivos.

231205dj4ttw919v9tn5w6.png?image.png

La figura refiere al flujo del proceso sobre el bloqueo de archivos


 

·        Flujo del proceso para bloqueo de archivos:

§  Para crear coincidencia con las reglas de bloqueo, el NGFW hace coincidir los atributos del archivo (aplicación, dirección, tipo de archivo nombre de la extensión del archivo) con acuerdo a las reglas de bloqueo de archivos definidas por el administrador.

 

§  Si los atributos del archivo coinciden con todas las condiciones  de una regla, el archivo hace coincidencia de manera satisfactoria con la regla del perfil de bloqueo. Si una condición no coincide, el NGFW continúa buscando coincidencias con la regla subsecuente. Si no coincide ninguna regla, el archivo pasa a través del NGFW.

 

 

§  Si el archivo coincide con una regla el NGFW ejecuta la acción de esa regla. Si la acción es BLOQUEAR, el NGFW bloquea la transferencia del archivo. Si la acción es PERMITIR, se permite la transferencia y se registra un log del evento.

 

·        Identificación de Aplicación: el módulo de identificación de aplicación el tipo de aplicación del archivo.

 

·        Decodificación de Protocolo: este módulo decodifica el protocolo de los paquetes codificados y analiza el contenido del archivo y la dirección de transferencia (carga o descarga) en la cadena de datos.

 

·        Identificacion de Tipo de Archivo: este módulo identifica el tipo de archi****ctual y el nombre de la extensión del archivo (sufijo) basado en el contenido del archivo y detecta excepciones en los tipos de archivo.

 

·        Bloqueo de Archivo: este módulo realiza coincidencias con el tipo de aplicación, tipo de archivo, dirección de trasferencia del archivo identificado por los módulos previos con la tabla de las reglas de bloqueo que han sido configuradas previamente, esta identificación se realiza de forma descendente.

§  Si todos los parámetros dentro de las coincidencias del archivo  coinciden con la misma regla de bloqueo, el módulo desempeña la acción propia de la regla:

Ø ALERTA: el modulo registra un log y permite pasar el archivo.

Ø BLOQUEAR: el modulo registra un log y bloquea la transferencia del archivo. La detección del filtrado de datos no se desempeñará en archivos bloqueados.

 

§  Si no hay coincidencia con ninguna regla el módulo permite que el archivo pase.

·        Descompresión de archivos: después de la detección del bloqueo de archivos, un archivo comprimido es enviado hacia el módulo de descompresión de archivos para su descompresión. El archivo original es entonces extraído.

§  Descompresión exitosa: el archivo descomprimido será enviado hacia el módulo de identificación de tipo de archivo y excepción de tipos de archivo. Después de la identificación, el bloqueo de archivos será ejecutado otra vez.

§  Descompresión fallida: el bloqueo de archivos no se ejecutará más.




Hasta aquí la publicación, si te ha sido de utilidad no olvides dejar tu ♥, compartir, comentar sugerir mejoras.

  • x
  • convención:

wissal
VIP Publicado 2019-9-26 06:00:19 Útil(0) Útil(0)
Gracias por compartirGuía HCIP Seguridad H12 722 Tecnología de Bloqueo de Archivos-3069797-1
  • x
  • convención:

Telecommunications%20engineer%2C%20currently%20senior%20project%20manager%20at%20an%20operator%2C%20partner%20of%20Huawei%2C%20in%20the%20radio%20access%20network%20department%2C%20for%2020%20years%20I%20managed%20several%20types%20of%20projects%2C%20for%20the%20different%20nodes%20of%20the%20network.
Jorge
VIP Publicado 2019-9-26 06:11:25 Útil(0) Útil(0)
@Marban

Excelente aporte, gracias por compartir esta información en el foro.

Saludos!
  • x
  • convención:

Senior Cybersecurity Engineer
VictorSaa
Admin Publicado 2019-9-26 08:31:17 Útil(0) Útil(0)
Excelente informacion, a estudiar.
  • x
  • convención:

Mexicano%2C%20con%20m%C3%A1s%20de%2010%20a%C3%B1os%20de%20experiencia%20en%20el%20%C3%A1mbito%20de%20Redes%20y%20TICs%20en%20general%20y%20m%C3%A1s%20de%20dos%20dentro%20de%20Huawei%2C%20en%20donde%20cuento%20con%20doble%20certificaci%C3%B3n%20HCIP%20(Routing%20and%20Switching%20y%20WLAN)%2C%20actualmente%20encargado%20de%20ayudarlos%20con%20sus%20dudas%20y%20comentarios%20dentro%20de%20la%20comunidad.
FerGimenez
Publicado 2019-9-26 18:51:26 Útil(0) Útil(0)
Me encanto la publicacion, buen material para este fin de semana :D
  • x
  • convención:

Estudiante%20de%20Ingenier%C3%ADa%20en%20Sistemas%20de%20Computaci%C3%B3n%20en%20la%20Universidad%20Nacional%20del%20Sur%20-%20Argentina.%20Con%20muchas%20ganas%20de%20aprender%20una%20nueva%20mirada%20sobre%20Cloud%20y%20sus%20herramientas.%20Hobby%3A%20microcontroladores%2C%20Sistemas%20Embebidos%20e%20Inteligencia%20Artificial.
Marban
VIP Publicado 2019-9-26 21:20:12 Útil(0) Útil(0)
Publicado por FerGimenez a las 2019-09-26 04:51 Me encanto la publicacion, buen material para este fin de semana :D
Muchas gracias @FerGimenez busca mis publicaciones similares, todas ellas contienen informacion que he traducido directamente del material de certificación oficial.
  • x
  • convención:

Me%20gusta%20compartir%20informaci%C3%B3n%20y%20experiencias%2C%20aprender%20nuevos%20temas%20y%20conocer%20gente%20con%20el%20mismo%20inter%C3%A9s
Marban
VIP Publicado 2019-9-26 21:20:53 Útil(0) Útil(0)
Publicado por Jorge a las 2019-09-25 16:11 @Marban Excelente aporte, gracias por compartir esta información en el foro.Saludos!
Gracias a tí a todos los demás por tomarse el tiempo de visitar el post.
  • x
  • convención:

Me%20gusta%20compartir%20informaci%C3%B3n%20y%20experiencias%2C%20aprender%20nuevos%20temas%20y%20conocer%20gente%20con%20el%20mismo%20inter%C3%A9s

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje