Intrusion Prevention System (IPS) en los firewalls de la serie UGS6000 Destacado

Última respuesta jun. 13, 2019 16:41:05 91 2 0 0

Saludos amigos del foro, continuamos con la explicación de las funcionalidades que distinguen a los firewalls de la seria USG6000, en esta publicación conoceremos la función de IPS en el firewall. Pasemos a la información.


La función IPS evita ataques o intrusiones, como ataques de desbordamiento de caché o cache overflow, caballos de Troya o Trojan hourses, ataques de puerta trasera o backdoor attacks y gusanos o worms, en la capa de la aplicación.


A través de la función IPS, el USG6000 supervisa o analiza los eventos del sistema, detecta ataques e intrusiones en la capa de la aplicación y, en tiempo real, realiza acciones para terminar los ataques en tiempo real. Las capacidades de prevención de intrusiones del USG6000 son las siguientes:


Diferentes modos de implementación con la configuración de medidas defensivas únicas para diferentes flujos de tráfico

El USG6000 puede trabajar en modo en línea y fuera de línea. Cuando está en modo en línea, el USG6000 actúa como dispositivo IPS. Detecta amenazas en tiempo real y bloquea la transmisión de flujos de tráfico relevantes para proteger la intranet. Cuando está en modo fuera de línea, el USG6000 actúa como un dispositivo IDS en modo fuera de línea. Registra eventos sospechosos e informa al administrador de estos eventos, pero no bloquea el tráfico sospechoso.A través de la configuración de políticas de seguridad, el administrador puede crear políticas de defensa granular para diferentes flujos de tráfico.


Resolución de paquetes en profundidad en la capa de aplicación

El USG6000 tiene una base de datos de firmas de aplicación constantemente actualizada. Realiza la resolución de paquetes en profundidad en los flujos de tráfico de miles de aplicaciones comunes para ataques e intrusiones. De acuerdo con las políticas de seguridad específicas de la aplicación, el USG6000 realiza las acciones correspondientes a los flujos de tráfico de diferentes aplicaciones. En este caso, el administrador puede implementar de manera flexible la función IPS.


El dispositi****dmite la detección de amenazas después del reensamblado de fragmentos de paquetes y el reensamblaje de la secuencia TCP.

Ciertos ataques hacen uso de fragmentos de paquetes IP y reensamblado de flujo TCP para evadir la detección de amenazas. Para abordar este problema, el USG6000 vuelve a ensamblar los fragmentos de paquetes IP en paquetes o flujos originales en flujos de tráfico originales antes de realizar la detección de amenazas.


Base de datos de firmas que contiene miles de firmas, incluidas las definidas por el usuario

El dispositivo IPS utiliza firmas para detectar el tráfico de ataque. Por lo tanto, la capacidad de la base de datos de firmas representa las capacidades de identificación de amenazas.


Para hacer frente a los ataques y amenazas incesantemente emergentes, USG6000 cuenta con un equipo de seguridad profesional para rastrear de cerca los boletines de seguridad de las organizaciones de seguridad y proveedores de software reconocidos, analizar y verificar las amenazas y generar la base de datos de firmas para la protección de los sistemas de software. Estos sistemas incluyen sistemas operativos, programas de aplicación y bases de datos. Además, HUAWEI recopila los últimos ataques, gusanos, virus y caballos de Troya, extrae firmas de ellos y determina la tendencia de las amenazas con la ayuda de la red de distribución dispersa a nivel mundial. (Un honeynet es un sitio web que atrae a piratas informáticos y recopila datos para producir firmas). Basándose en las características anteriores, USG6000 puede liberar la firma de un virus que ataca una vulnerabilidad recién identificada y actualizar la base de datos de firmas en el menor tiempo posible. La firma puede evitar todos los ataques, conocidos o desconocidos, que aprovechen la vulnerabilidad, ofreciendo una protección de día cero.


La base de datos de firmas predefinida ayuda al USG6000 a identificar miles de ataques en la capa de la aplicación, mientras que las actualizaciones constantes de la base de datos de firmas aseguran que el USG6000 identifique y defienda de los ataques y amenazas más recientes. Además, el administrador puede definir firmas propias según sea necesario para mejorar la función de prevención de intrusos del USG6000.


Baja tasa de falsos positivos

La tasa de falsos positivos es una medida importante de la precisión de las firmas y la calidad de la base de datos de firmas. Los falsos positivos comprometen los servicios legítimos y entierran información valiosa en la información falsa, haciendo que sea más difícil aislar ataques reales.


Los falsos positivos generalmente son causados por firmas inexactas o mecanismos de detección. USG6000 cuenta con una gran cantidad de profesionales de la seguridad y fuentes de datos para analizar muestras, crear firmas y realizar pruebas falsas negativas para lograr una tasa de falsos positivos casi nula. Debido a la tasa de falsos positivos extremadamente baja, un gran porcentaje de las firmas están habilitadas de forma predeterminada en el USG6000 para maximizar la protección sin comprometer los servicios legítimos. Los administradores no necesitan revisar un montón de registros para detectar falsos negativos o determinar si algunas firmas deben estar deshabilitadas.


Como podemos observar la función de IPS es muy completa y cuenta con el soporte de un amplio grupo de profesionales que están trabajando para mejorar la seguridad de una red de datos.


FIN


Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums


#ComunidadEnterprise


#OneHuawei

  • x
  • convención:

Administrador Publicado 2019-6-13 15:31:11 Útil(0) Útil(0)
En la publicación comentas que hay una Base de Datos que contiene miles de firmas ¿esta base de datos es interna o cada cuando se obtiene una actualización de esta?
  • x
  • convención:

Mexicano%2C%20con%20m%C3%A1s%20de%2010%20a%C3%B1os%20de%20experiencia%20en%20el%20%C3%A1mbito%20de%20Redes%20y%20TICs%20en%20general%20y%20m%C3%A1s%20de%20dos%20dentro%20de%20Huawei%2C%20en%20donde%20cuento%20con%20doble%20certificaci%C3%B3n%20HCIP%20(Routing%20and%20Switching%20y%20WLAN)%2C%20actualmente%20encargado%20de%20ayudarlos%20con%20sus%20dudas%20y%20comentarios%20dentro%20de%20la%20comunidad.
Moderador Publicado 2019-6-13 16:41:05 Útil(0) Útil(0)

Buenas Tardes @VictorSaa La base de datos es local dentro del firewall para que el IPS haga las consultas correspondientes. Para que el IPS funcione de forma correcta la base de datos se debe mantener actualizada y esta actualización se obtiene del centro de competencia de seguridad de Huawei. Sin embargo para hacer uso de esta base de datos se requiere una licencia, si no se cuenta con una licencia la base de datos se puede actualizar de forma local siempre y cuando el administrador tengo el conocimiento suficiente para crear las políticas de firmas que el IPS deberá consultar para evitar algún ataque.


Cualquier duda o comentario adicional quedo a la orden para contestarla.

Saludos.

  • x
  • convención:

Ingeniero%20en%20Comunicaciones%20y%20Electr%C3%B3nica%20con%2020%20a%C3%B1os%20de%20experiencia%20en%20el%20%C3%A1rea%20de%20las%20telecomunicaciones%20para%20voz%20y%20datos%2C%20comparto%20mi%20experiencia%20dando%20clases%20en%20la%20Universidad%20Polit%C3%A9cnica%20de%20Quer%C3%A9taro.

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba