HCIP Seguridad H12 722 Tecnologías de Antivirus II

Última respuesta nov. 12, 2019 04:11:42 51 2 2 1



Esta es la segunda parte del tema Tecnologías de Antivirus, donde se describen los tipos de antivirus y su proceso de trabajo.

En la siguiente liga puedes encontrar el post a la parte 1.

https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-722-tecnolog%C3%ADa-de-antivirus-i/thread/581294-100233


TECNOLOGÍAS DE ANTIVIRUS PARTE II


Antivirus del Tipo  Gateway


Aplicaciones del Antivirus tipo Gateway


Ø La siguiente imagen representa el mecanismo de trabajo del antivirus. Para un mejor entendimiento en su forma nativa, los conceptos no serán traducidos.

mecanismo

·        La Intelligence Awareness Engine (IAE) analiza a detalla el tráfico de la red para identificar el tipo de protocolo y al dirección de transferencia del archivos después de que el tráfico entra en la IAE.


·        Checa si el tipo de protocolo y dirección de transferencia soporta la detección de virus

§  el NGFW ejecuta la función de antivirus para archivos transferidos usando los siguientes protocolos:

Ø FTP

Ø HTTP

Ø POP3

Ø SMTP

Ø IMAP

Ø NFS

Ø SMB


§  El NGFW soporta la función antivirus para archivos que se transfieren en diferentes direcciones

§  Uploaded (cargado): inca archivos enviados desde el cliente hacia el servidor.

§  Downloaded (descargado: indica los archivos enviados desde el servidor hacia el cliente.


·        Verificar si la lista blanca realiza coincidencias. El firewall no ejecuta la detección de virus en las listas blancas.

§  La lista blanca comprende reglas de su tipo. Los administradores pueden configurar reglas en la lista blanca para nombres de dominio confiables, URL´s, direcciones IP y rangos de direcciones IP pára mejorar la frecuencia de detección de antivirus. Una regla de una lista blanca solo corresponde a un perfil de antivirus porque cada perfil de antivirus tiene su propia lista blanca


·        Existen cuatro formas de encontrar coincidencias de acuerdo con el dominio de nombres y los URL:

§  Coincidencia con el Prefijo: host-text o url-text está configurado como ´´example*´´, y si el prefijo del nombre de dominio o URL es ´´example´´, entonces se agrega a la lista blanca.

§  Coincidencia con el Sufijo: host-text o url-text configurado como ´´*example´´, y si el sufijo del nombre de dominio o URL es ´´example´´, se agrega a la lista blanca.

§  Coincidencia por palabra clave: host-text o url-text configurado como ´´*example*´´, y si el sufijo del nombre de dominio o URL es ´´example´´, se agrega a la lista blanca.

§  Coincidencia Precisa: solo cuando el nombre de dominio o nombre de la URL es completamente consistente con el host-text o URL, se agrega a la lista blanca.


·        Detección de Virus

§  La IAE extrae las acaracteristicas de un archivo para el cual el antivirus está disponible y coincide los elementos extraídos con las características dentro de la base de datos de los virus. Si se encuentra una coincidencia, el archivo es un virus y se procesa de acuerdo a las acciones de respuesta especificadas en el archivo de configuración. Si no se encuentra coincidencia, el archivo es permitido. Cuando se habilita la función internetwork, los archivos que no encuentren coincidencia dentro de las firmas de virus en la base de datos son enviados hacia la SANDBOX para una inspección a fondo. Si la sandbox detecta archivos maliciosos, envía la firma del archivo hacia el firewall. El firewall guarda la firma del archivo malicioso en el caché local de detección internetwork. Si el firewall detecta el archivo malicioso otra vez, tomará las acciones definidas dentro del perfil.


§  HUAWEI analiza y sumariza las firmas comunes de virus para construir una base de datos de firmas. Esta base de datos de firmas define las firmas comunes y asgina un identificador único para cada virus de acuerdo a su firma. Después de que se carga esta base de datos, el dispositivo identifica los virus definidos en la base. Para identificar nuevos virus, la base de datos de virus necesita descargar actualizaciones de manera constante, y lo hace desde el centro de seguridad (sec.huawei.com)


·        Después de que un archivo transferido se identifica como virus, el NGFW toma las siguientes acciones:

§  Checa si este virus coincide con una excepción de virus. Si sí, el archivo es permitido.


§  Excepción de Virus se refiere a virus que se han agragdo a la lista blanca. Para prevenir que la tranferencia de archivos resulten en falsos positivos, los ID de los virus en las listas blancas que los usuarios identifican como falso positivo son agregados a estas excepciones para deshabilitar las reglas de virus. Si es detectado como una excepción, se le permite la transferencia.


§  Si el virus no coincide con ninguna excepción de virus, se checa si coincide con una excepción de aplicación. Si sí, el archivo es procesado de acuerdo a la acción de respuesta especificada (permitir, alertar o bloquear).


§  Las acciones de respuesta para la excepción de aplicaciones pueden ser diferentes de esos protocolos. El tráfico de varias aplicaciones puede ser transmitido sobre el mismo protocolo.


§  Debido a la relación entre aplicaciones y protocolos, las acciones de respuesta deben cumplir los siguientes requerimientos:

Ø Si solo está configurada la acción de respuesta para el protocolo, todas las aplicaciones cuyo tráfico está permitido sobre este protocolo heredan la acción de re4spuesta para el protocolo

Ø Si ambos, protocolo y aplicación tienen una acción de respuesta configurada, la acción sobre respuesta hacia la aplicación tiene preferencia


§  Si el virus con coincide con la excepción de virus ni con las excepciones de aplicación, la acción de respuesta corresponde a su protocolo y la dirección de transferencia especificada en el archivo de configuración.

 

Modos de implementación del Antivirus

·        Modo PROXY SACANNING: todos los paquetes que serpan detectados por el antivirus que pasen el firewall serán transmitidos de manera transparente hacia las capas de los protocolos respectivos para ser almacenados en el caché, y después de esto, serán transmitidos hacia la el motor de detección de virus para su detección.


·        Modo FLOW SCANNING: se extraen características de los archivos de los cuales se buscará coincidencia con la bases de datos local dependiendo del estado en el estado de detección y las tecnologías de análisis.


·        Un antivirus basado en proxy Gateway se desempeña mejor en cuento a que tiene operaciones más avanzadas, tales como descompactacion y desempaque, con una alta frecuencia de detección. de cualquier modo, los costos para el sistema y el desempeño son altos porque se almacenan todos los archivos en el caché.


·        Un antivirus basado en flow Gateway tiene un menor encabezado, pero la frecuencia de detección es baja.

 

Modos de implementación del Antivirus

·        El firewall se apoya de diferentes tipos de tecnología para detección de virus:

 

§  Detección “primer paquete”: checa si el archivo es un virus al extraer un ejecutor portable de aplicaciones (Portable Execute o PE) qu incluye de las extensiones exe, dll y sys,entre otras. El encabezado de los PE con frecuencia tienen algunas operaciones específicas, y el encabezado de las firmas son generadas por algoritmos hash. Si se encuentra coincidencia con el primer paquete, se le considera como virus 


§  Detección Heurística (Heuristic Detection: se refiere al descubrimiento de archivos que corran un potencial riesgo de estar infectados, esto durante la ejecución del antivirus. Por ejemplo, un ejemplo de comportamiento de alto riesgo, el empacamiento de un  archivo (tal como un cambio en la encripción para evitar que el virus sea eliminado) o que se atente con detener la operación del software antivirus, alcanzar umbrales específicos, entre otros, el archivo se considerará virus.


§  Inspección Basada en la Reputación del Archivo: detección de la reputación del archivo se implementa a través del cálculo El MD5 de los archivos detectados y buscar coincidencias con la base de datos de firmas. La tecnología de HUAWEI para la inspección de la reputación de archivos está basada en una actualización estática de la reputación del archivo y guardar en el caché de manera dinámica las reputaciones aprendidas, trabajando de manera en conjunto con la SANDBOX.

 

§  La inspección de la reputación de archivos depende del trabajo en conjunto con las SANDBOX y la base de datos de la reputación de archivos.


Finaliza el tema Tecnología de Antivirus, este tema, entre otros es clave para la aprobacion del examen H12 722, por lo que te recomiendo un estudio a detalle. No olvides comentar y dejar tu ♥

  • x
  • convención:

mcalderon
Publicado 2019-11-12 04:11:42 Útil(0) Útil(0)
Gracias por la información compartida.
  • x
  • convención:

Marban
Marban Publicado 2019-11-12 11:40
Hola. No hay de qué. Puedes visitar mi perfil y checar todas las publicaciones que tengo referentes a seguridad. Si tuene alguna duda concreta, te ayudo con gusto  
Profesional%20del%20UNMSM%20(Lima%2C%20Per%C3%BA)%20con%20conocimentos%20y%20experiencia%20en%20Networking%2C%20Seguridad%20de%20la%20Informaci%C3%B3n%20y%20Telecomunicaciones.

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión