Contents

Temas Relacionados

Acerca de Defensa de Reputación Activada

Puede utilizar la suscripción de seguridad de Defensa de Reputación Activada (RED) para aumentar el desempeño y mejorar la seguridad de su Firebox.

RED de WatchGuard utiliza un servidor de reputación de WatchGuard basado en nube que asigna una calificación de reputación entre 1 y 100 a cada URL. Cuando un usuario se dirige a un sitio web, RED envía la dirección web (o URL) solicitada al servidor de reputación de WatchGuard. El servidor de WatchGuard responde con una calificación de reputación para esa URL. Dependiendo de la calificación de reputación y de los umbrales configurados localmente, RED determina si el Firebox debe descartar el tráfico, permitir el tráfico y escanearlo de manera local con Gateway AV o permitirlo sin un escaneo local con Gateway AV. Esto aumenta el rendimiento, porque el Gateway AntiVirus no necesita escanear las URL que tienen una reputación buena o mala reconocida.

RED es compatible solo con las acciones de proxy de cliente HTTP. No es compatible con las acciones de proxy del servidor HTTP.

Umbrales de Reputación

Puede configurar dos umbrales de calificación de reputación:

  • Umbral de mala reputación — Si la calificación para un URL excede el Umbral de mala reputación, el proxy HTTP niega el acceso sin inspección adicional.
  • Umbral de buena reputación — Si la calificación para un URL es inferior al Umbral de buena reputación y se habilita Gateway AntiVirus, el proxy HTTP hace un bypass del escaneo de Gateway AV.

Si la calificación de una URL es igual o se encuentra entre los umbrales de reputación configurados y el Gateway AntiVirus está habilitado, el contenido es escaneado en busca de virus.

Diagrama de puntuaciones de reputación y umbrales, de 100 (Malo) a 1 (Bueno)

Calificaciones de Reputación

La calificación de reputación de una URL se basa en los comentarios recolectados de dispositivos de todo el mundo. Incorpora datos de los resultados de escaneo de los principales proveedores de inteligencia antimalware para la web.

Una calificación de reputación más cercana a 100 indica que es bastante probable que la URL contenga una amenaza. Una calificación de reputación más cercana a 1 indica que es mucho menos probable que la URL contenga una amenaza. Si el servidor de la RED no tiene una calificación previa para una dirección web determinada, le asignará una calificación neutral de 50. La calificación de reputación cambia desde la calificación predeterminada de 50 sobre la base de una cantidad de factores.

Estos factores pueden hacer que la calificación de reputación de una URL aumente, o se desplace hacia el 100:

  • Resultados de escaneo negativos
  • Resultados de escaneo negativos para un enlace remitido

Estos factores pueden hacer que la calificación de reputación de una URL disminuya, o se desplace hacia el 1:

  • Múltiples escaneos limpios
  • Escaneos limpios recientes

Las calificaciones de reputación pueden cambiar con el paso del tiempo. Para un mejor desempeño, el Firebox almacena las calificaciones de reputación de las direcciones web a las que se accedió recientemente en una caché local.

Búsquedas de Reputación

El Firebox usa el puerto UDP 10108 para enviar consultas de reputación cifradas al servidor de reputación de WatchGuard. UDP es un servicio de mejor esfuerzo. Si el Firebox no recibe una respuesta a una consulta de reputación a tiempo para tomar una decisión basada en la calificación de reputación, el proxy HTTP no espera la respuesta, sino que procesa la solicitud HTTP sin la puntuación de reputación. En este caso, el contenido es escaneado a nivel local si está habilitado el Gateway AntiVirus.

Defensa de Reputación Activada no realiza una búsqueda de reputación para los sitios en la lista de Excepciones de Sitios Bloqueados o en la lista de Excepciones de Proxy HTTP de la acción de proxy HTTP. Para conexiones a sitios en estas listas de excepciones, los mensajes de registro muestran una puntuación de reputación de -1.

Si un sitio no se está en la lista de Excepciones de Proxy HTTP o de Excepciones de Sitios Bloqueados, una puntuación de reputación de -1 indica que el Firebox no obtuvo una respuesta lo suficientemente pronto como para tomar una decisión basada en la puntuación de reputación.

Las búsquedas de reputación están determinadas por el dominio y la ruta de URL, no sólo el dominio. Los parámetros ubicados después de los caracteres de escape y operador, como & y ? se ignoran.

Por ejemplo, para la URL:

http://www.example.com/example/default.asp?action=9&parameter=26

la búsqueda de reputación es:

http://www.example.com/example/default.asp

El Fireware v11.12 y posteriores es compatible con IPv6 para las políticas de proxy y los servicios de seguridad. La Defensa de Reputación Activada no envía la dirección IPv6 al servidor para su clasificación si un cliente envía una solicitud HTTP directamente a una dirección IPv6, en lugar de a un nombre de host.

Comentario sobre Defensa de Reputación Activada

Si el Gateway AntiVirus está habilitado, puede elegir si desea enviar los resultados de los escaneos locales del Gateway AntiVirus y el APT Blocker al servidor de WatchGuard. También puede elegir si desea cargar los resultados de escaneo del Gateway AntiVirus y ATP Blocker en WatchGuard incluso si Defensa de Reputación Activada no está habilitada o no tiene licencia en su dispositivo. Se cifran todas las comunicaciones entre su red y el servidor de Defensa de Reputación Activada.

Le recomendamos que active la carga de los resultados de escaneo local a WatchGuard para mejorar la cobertura y precisión general de Defensa de Reputación Activada.

Ver también

Configurar Defensa de Reputación Activada

Estadísticas de Defensa de Reputación Activada

Danos tu Opinión     Obtener Soporte     Toda la Documentación del Producto     Búsqueda Técnica