HCIP Seguridad H12 722 Tecnología de Detección de Páginas Web Maliciosas II

Última respuesta oct. 30, 2019 13:12:13 59 1 2 0

Buenas noches.


Este segundo POST es la segunda parte de esta tecnología de filtrado de contenido que es parte de las funciones del USG de #HUAWEI


El siguiente link te llevará a la parte 1, donde puedes consultar a mayor detalle los conceptos:

https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-722-tecnolog%C3%ADa-de-detecci%C3%B3n-de-p%C3%A1ginas-web-maliciosas-i/thread/577978-100233


TECNOLOGÍA DE  DETECCIÓN DE PÁGINAS WEB MALICIOSAS PARTE II


Flujo del Proceso del Sistema de Reputación WEB


FLUJO DEL PROCESO


·        Después de que el usuario inicia una solicitud de acceso, si el tráfico dentro de la red encuentra una coincidencia con el perfil de defensa de APT, el sistema extrae el nombre de dominio dentro del tráfico e inicia el proceso de flujo.

 

·        El Firewall encuentra coincidencia con el nombre de dominio dentro de la lista de los sitios web maliciosos definidos por el usuario:

§  Si hay coincidencia con esta lista, el firewall extrae archivos del tráfico de la red y envía los archivos al sandbox para un análisis detallado.


§  Si el nombre de dominio no encuentra coincidencia con ningún sitio web dentro de la lista de los sitios maliciosos definidos por el usuario, el sistema ejecuta un análisis más minucioso del nombre de dominio

 

·        El contenido dentro de la lista preestablecida de la reputación de sitios web no puede cambiarse. De cualquier modo, se pueden agregar sitios de la lista predefina de sitios creíbles hacia la lista de sitios sospechosos si este es reconocido como un sitio web sospechoso. El sitio encuentra una coincidencia dentro de la lista de sitios sospechosos porque la prioridad de coincidencia de la lista de sitios sospechosos definida por el usuario es más alta que la lista predefinida de sitios creíbles.

 

·        El firewall coincide con el nombre de dominio de la lista definida por el usuario

§  Si el nombre de dominio encuentra coincidencia dentro de la lista de nombres de dominio creíbles definida por el usuario, el firewall no extrae los archivos del tráfico de la red y desempeña otros procedimientos de detección, saltándose la detección de la sandbox.


§  Si el nombre dominio no coincide con ningún sitio web en esta lista, el sistema una inspección más a detalle del nombre de dominio.

 

·        El firewall encuentra coincidencia dentro de la lista predefinida de sitios web creíbles

§  Si el nombre de dominio encuentra coincidencia con esta lista, el firewall no encuentra archivos del flujo de la red y desempeña otros procedimientos de detección, saltándose la detección de la sandbox


§  Si el nombre de dominio no se encuentra dentro de esta lista, el firewall reconoce el sitio como sitio desconocido. El firewall extrae los archivos del tráfico de la red y los envía hacia la sandbox para análisis detallado.

 

 

Reputación WEB: Modo de Coincidencia


·        Ya mencionado previamente, la función de reputación web extrae la información del host dentro de un URL y hace coincidir la cadena de caracteres con las categorías dentro del sitio web. El campo de host puede ser un nombre de dominio o bien, una dirección IP.


Formato del Campo   Host

Nivel 1 Nombre de   Dominio

Ejemplo

Modo de   Coincidencia

Dirección IP

No Aplica

192.168.10.10 o 192.168.10.10:8080

El sistema hace coincidir directamente la   cadena sin ningún procesamiento

Nombre de Dominio

No contiene puntos (.)

Example, example-abc o example123

Contiene uno o dos puntos

Example.com o example.com.cn

El sistema desempeña un sistema de   coincidencias basándose en el la especificación definida.

Contiene   más de dos puntos

www.abc.example.com o   abcd.example.com.cn

 


Configuraciones Clave de la Función Reputación Web: interfaz Gráfica


GUI REP WEB

1.   Seleccionar objeto

2.   Dentro del menú Security Protection, seleccionar reputation

3.   Habilitar la casilla web reputation

4.   Se agregan los sitios web creíbles

5.   Se agregan los sitios web sospechosos, la detección de la sandbox se ejecuta primero

6.   Se puede visitar esta lista de top 10 de sitios web

 

Ø  En resumen, expliquemos:

·         Agregar un nombre de dominio dentro del campo trusted websites o suspicious websites. El valor es una cadena entre 1 hasta 255 caracteres, sin caracteres especiales: /, \, #, “,? ni espacios.


·         Los nombres de dominio dentro de los trusted websites, son los nombres de dominio de sitios web desconocidos en general. Los nombres de dominio dentro de los campos suspicious websites son los nombres de los sitios web creíbles predefinidos y sitios desconocidos en general. Una de las funciones de del campo suspicious websites es cambiar la categoría de  los sitios creíbles predefinidos porque el contenido en la lista predefinida no se puede cambiar. Se puede agregar un sitio web a la lista de sitios sospechosos si el sitio es reconocido como sitio web sospechoso.


·         La frecuencia de acceso y la seguridad de los sitios web varía con el tiempo. Por consiguiente, de manera regular se debe verificar si el TOP de los sitios más visitados está correcto, y ajustar las categorías o agregar los sitios web a la categoría correcta. Dar click en view top N Statistics  para ver el top N de los nombres de dominio que son visitados con mayor frecuencia.

 

Consulta de la Reputación de los Sitios WEB



CONSULTA REP WEB


1.   Se refiere al área de búsqueda

2.   Se escribe el nombre de dominio del sitio web que se quiere consultar y se da click en search. La reputación del sitio web se desplegará a continuación


La coincidencia del resultado se determina por la prioridad de coincidencia porque un nombre de dominio puede estar categorizado dentro de diferentes categorías. La categoría de la reputación desplegada es la coincidencia final del resultado


Aquí finaliza el tema tecnología de detección de páginas web maliciosas. Se te ha parecido útil deja tu ♥, comparte, opina y si asío lo deseas, complementa esta información

  • x
  • convención:

yoliyop
Publicado 2019-10-30 13:12:13 Útil(0) Útil(0)
Gracias por el aporte, esta muy entendible.
  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje