HCIP Seguridad H12 722 Tecnología de Detección de Páginas Web Maliciosas I Destacado

Última respuesta oct. 30, 2019 13:13:14 67 3 3 1

Buenas noches a todos.


Después de algunos días, retomo la publicación de información técnica con contenido clave para la certificacion H12-722. Esta función forma parte de las muchas caracteristicas del USG de #HUAWEI


TECNOLOGÍA DE  DETECCIÓN DE PÁGINAS WEB MALICIOSAS PARTE I


Detección de URL Maliciosos

 

·        Fuentes de detección de URL´s maliciosos:

§  Interconexión por Sandbox

§  Detección por Antivirus

§  Sitios web de baja reputación

 

·        Control de detección de URL´s maliciosos

§  Cuando la función de detección de URL´s está habilitada en el perfil URL, los URL que preceden son detectados en secuencia.

 

Escenarios de Aplicación de la Reputación de los Sistemas WEB


·        La reputación del sitio WEB indica su credibilidad. Los archivos contenidos en los sitios web con alta reputación son más seguros.  Con base a la reputación de los sitios web el firewall determina si extraer archivos del tráfico que circula en la red para detectar amenazas ocultas dentro de los archivos.

·        La reputación de los URL refleja la confiabilidad del enlace al que el usuario accede.

·        El firewall usa el servicio de consulta remota para obtener la reputación del URL y bloquea los URL de baja reputación.


·        Los sitios web grandes y formales no son vulnerables a intrusiones y tienen pocos archivos malicioso porque tienen grandes capacidades para el manejo de su seguridad. Por consiguiente, los usuarios corren riesgos menores cuando acceden a estos sitios. Por el contrario, hay varios archivos maliciosos en pequeños sitios web de dudosa procedencia. Y por consiguiente, los usuarios corren grandes riesgos al acceder a este tipo de sitios web.


·        La función de la reputación de la web categoriza los sitios web basándose en su reputación, el firewall desempeña diferentes medidas basándose en las categorías de los sitios web. Para los sitios web con baja reputación, el firewall extrae archivos del flujo de tráfico y los envía hacia la SANDBOX para un análisis detallado. Para los sitios web con alta reputación, el firewall no extrae archivos del tráfico de la red, saltándose la detección de la SANDBOX. Este método puede mejorar la eficiencia de la detección del firewall y mejorar la experiencia de los usuarios sin comprometer la seguridad.


Sistema Flujo Para el Procesamiento de la Reputación de los Sitios Web

Ø Antes de pasar a la explicación, entendamos la siguiente imagen:


REPUTACION WEB


·        Después de ser habilitada la función anti-APT en el firewall, si el tráfico de la red coincide con las condiciones declaras en el perfil de defensa de APT, el firewall extrae archivos del tráfico de la red y los envía hacia las SANDBOX para una detección minuciosa. El desempeño de la SANDBOX disminuye considerablemente si  se envían demasiados archivos para ser analizados. Por consiguiente, la función de reputación WEB se necesita usar para controlar la extracción de los archivos dentro del tráfico.

 

Expliquemos entonces lo que se ve en la imagen:

·        Los usuarios de la intranet puede acceder a dos sitios WEB: sitio A con alta reputación y el sitio B con baja reputación. Cuando los usuarios acceden al sitio A, el firewall no extrae archivo del flujo de tráfico si el tráfico encuentra coincidencias con el perfil de defensa de APT debido a que el sitio WEB está etiquetado como confiable por la función de reputación web.. el firewall envía el tráfico al usuario tras confirmar que este e seguro.


·        Cuando los usuarios acceden al sitio web B, el firewall extrae los archivos del tráfico de la red y los enviar hacia la SANDBOX si el tráfico coincide con el perfil de defensa de APT porque el sitio Web B está etiquetado como sospechoso por la función de reputación WEB .

·        Este método ahorra los recursos del equipo y mejora la eficiencia de la detección porque no se necesita extraer archivos para cierto tráfico. Este método también resguarda la seguridad de los usuarios de la red y sus dispositivos.

 

 

Categoría de un Sitio WEB Dividida por la Reputación del Sitio


·        La función de reputación de sitios WEB categoriza los sitios dentro de cuatro categorías basándose en su reputación:

 

·        Sitio WEB creíble predefinido: este tipo de sitios web indica que por defecto son reconocidos como creíbles por el sistema. El sistema está precargado con una librería de sitios web. El firewall solo permite realizar una consulta solo si el sitio web es un sitio predefinido creíble dentro de la UI. El contenido dentro de esta librería no se puede cambiar.

 

·        Sitios WEB Sospechosos Predefinidos: si la reputación del sitio Web es baja, se puede añadir a la lista de sitios web sospechosos. Los sitios dentro de esta lista definida por el usuario es reconocida por el sistema como sitios sospechosos. Por consiguiente, el firewall extrae archivos del tráfico de la red y los envía hacia la SANDBOX para una inspección minuciosa cuando el tráfico coincide con alguna regla dentro del perfil de defensa de APT.

 

 

·        Sitios WEB Creíbles Definidos por el Usuario: si la reputación es un sitio web es alta y no está incluida en la lista predefinida de los sitios web creíbles, se puede añadir de manera manual a la lista de los sitios web creíbles definida por el usuario, y de este modo, esta lista es reconocida por el sistema. y por consiguiente, el firewall no va a extraer archivos de estos sitios web para su análisis detallado aun cuando el tráfico encuentre una coincidencia en el archivo de configuración de defensa de APT.

 

·        Sitio WEB Desconocido: el sistema reconoce un sitio WEB como desconocido si no se incluye en la lista predefinida de sitios creíbles, la lista de sitios creíbles definida por el usuario o la lista de los sitios web sospechosos definida por el usuario. Se puede agregar a la lista de sitios creíbles o a la lista de sitios sospechosos definida por el usuario.


Hasta aquí la parte uno de este tema, no olvides comenta, complementar la información, compartir y dejar tui ♥ si la informción has sido útil

  • x
  • convención:

gabo.lr
VIP Publicado 2019-10-29 08:09:42 Útil(0) Útil(0)
Excelente aporte, gracias por compartir!! Saludos
  • x
  • convención:

Telecommunications%20and%20Electronics%20Engineer%2C%20with%208%20years%20of%20experience%20working%20with%20Huawei%20equipment.
Gustavo.HdezF
Moderador Publicado 2019-10-29 08:27:37 Útil(0) Útil(0)
Hola. interesante tema gracias por compartir en el foro. Saludos.
  • x
  • convención:

Ingeniero%20en%20Comunicaciones%20y%20Electr%C3%B3nica%20con%2020%20a%C3%B1os%20de%20experiencia%20en%20el%20%C3%A1rea%20de%20las%20telecomunicaciones%20para%20voz%20y%20datos%2C%20comparto%20mi%20experiencia%20dando%20clases%20en%20la%20Universidad%20Polit%C3%A9cnica%20de%20Quer%C3%A9taro.
yoliyop
Publicado 2019-10-30 13:13:14 Útil(0) Útil(0)
Excelente aporte, acabo de visitar la parte 2.
  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje