Saludos amigos del foro, continuamos con la explicación de las funcionalidades que distinguen a los firewalls de la seria USG6000, en esta publicación conoceremos la función de IPS en el firewall. Pasemos a la información.
La función IPS evita ataques o intrusiones, como ataques de desbordamiento de caché o cache overflow, caballos de Troya o Trojan hourses, ataques de puerta trasera o backdoor attacks y gusanos o worms, en la capa de la aplicación.
A través de la función IPS, el USG6000 supervisa o analiza los eventos del sistema, detecta ataques e intrusiones en la capa de la aplicación y, en tiempo real, realiza acciones para terminar los ataques en tiempo real. Las capacidades de prevención de intrusiones del USG6000 son las siguientes:
●Diferentes modos de implementación con la configuración de medidas defensivas únicas para diferentes flujos de tráfico
El USG6000 puede trabajar en modo en línea y fuera de línea. Cuando está en modo en línea, el USG6000 actúa como dispositivo IPS. Detecta amenazas en tiempo real y bloquea la transmisión de flujos de tráfico relevantes para proteger la intranet. Cuando está en modo fuera de línea, el USG6000 actúa como un dispositivo IDS en modo fuera de línea. Registra eventos sospechosos e informa al administrador de estos eventos, pero no bloquea el tráfico sospechoso.A través de la configuración de políticas de seguridad, el administrador puede crear políticas de defensa granular para diferentes flujos de tráfico.
●Resolución de paquetes en profundidad en la capa de aplicación
El USG6000 tiene una base de datos de firmas de aplicación constantemente actualizada. Realiza la resolución de paquetes en profundidad en los flujos de tráfico de miles de aplicaciones comunes para ataques e intrusiones. De acuerdo con las políticas de seguridad específicas de la aplicación, el USG6000 realiza las acciones correspondientes a los flujos de tráfico de diferentes aplicaciones. En este caso, el administrador puede implementar de manera flexible la función IPS.
●El dispositivo admite la detección de amenazas después del reensamblado de fragmentos de paquetes y el reensamblaje de la secuencia TCP.
Ciertos ataques hacen uso de fragmentos de paquetes IP y reensamblado de flujo TCP para evadir la detección de amenazas. Para abordar este problema, el USG6000 vuelve a ensamblar los fragmentos de paquetes IP en paquetes o flujos originales en flujos de tráfico originales antes de realizar la detección de amenazas.
●Base de datos de firmas que contiene miles de firmas, incluidas las definidas por el usuario
El dispositivo IPS utiliza firmas para detectar el tráfico de ataque. Por lo tanto, la capacidad de la base de datos de firmas representa las capacidades de identificación de amenazas.
Para hacer frente a los ataques y amenazas incesantemente emergentes, USG6000 cuenta con un equipo de seguridad profesional para rastrear de cerca los boletines de seguridad de las organizaciones de seguridad y proveedores de software reconocidos, analizar y verificar las amenazas y generar la base de datos de firmas para la protección de los sistemas de software. Estos sistemas incluyen sistemas operativos, programas de aplicación y bases de datos. Además, HUAWEI recopila los últimos ataques, gusanos, virus y caballos de Troya, extrae firmas de ellos y determina la tendencia de las amenazas con la ayuda de la red de distribución dispersa a nivel mundial. (Un honeynet es un sitio web que atrae a piratas informáticos y recopila datos para producir firmas). Basándose en las características anteriores, USG6000 puede liberar la firma de un virus que ataca una vulnerabilidad recién identificada y actualizar la base de datos de firmas en el menor tiempo posible. La firma puede evitar todos los ataques, conocidos o desconocidos, que aprovechen la vulnerabilidad, ofreciendo una protección de día cero.
La base de datos de firmas predefinida ayuda al USG6000 a identificar miles de ataques en la capa de la aplicación, mientras que las actualizaciones constantes de la base de datos de firmas aseguran que el USG6000 identifique y defienda de los ataques y amenazas más recientes. Además, el administrador puede definir firmas propias según sea necesario para mejorar la función de prevención de intrusos del USG6000.
●Baja tasa de falsos positivos
La tasa de falsos positivos es una medida importante de la precisión de las firmas y la calidad de la base de datos de firmas. Los falsos positivos comprometen los servicios legítimos y entierran información valiosa en la información falsa, haciendo que sea más difícil aislar ataques reales.
Los falsos positivos generalmente son causados por firmas inexactas o mecanismos de detección. USG6000 cuenta con una gran cantidad de profesionales de la seguridad y fuentes de datos para analizar muestras, crear firmas y realizar pruebas falsas negativas para lograr una tasa de falsos positivos casi nula. Debido a la tasa de falsos positivos extremadamente baja, un gran porcentaje de las firmas están habilitadas de forma predeterminada en el USG6000 para maximizar la protección sin comprometer los servicios legítimos. Los administradores no necesitan revisar un montón de registros para detectar falsos negativos o determinar si algunas firmas deben estar deshabilitadas.
Como podemos observar la función de IPS es muy completa y cuenta con el soporte de un amplio grupo de profesionales que están trabajando para mejorar la seguridad de una red de datos.
FIN
Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums
#ComunidadEnterprise
#OneHuawei
