Acerca de Reputation Enabled Defense

Puede utilizar la suscripción de seguridad de Reputation Enabled Defense (RED) para aumentar el desempeño y mejorar la seguridad de su Firebox.

RED de WatchGuard utiliza un servidor de reputación de WatchGuard basado en nube que asigna una calificación de reputación entre 1 y 100 a cada URL. Cuando un usuario se dirige a un sitio web, RED envía la dirección web (o URL) solicitada al servidor de reputación de WatchGuard. El servidor de WatchGuard responde con una calificación de reputación para esa URL. Según la calificación de reputación y de los umbrales configurados localmente, RED determina si el Firebox debe descartar el tráfico, permitir el tráfico y escanearlo de manera local con Gateway AntiVirus, o bien permitirlo sin un escaneo local con Gateway AntiVirus. Esto aumenta el rendimiento porque el Gateway AntiVirus no necesita escanear las URL que tienen una reputación buena o mala reconocida.

RED es compatible solo con las acciones de proxy de cliente HTTP. No es compatible con las acciones de proxy del servidor HTTP.

Umbrales de Reputación

Puede configurar dos umbrales de calificación de reputación:

  • Umbral de mala reputación — Si la calificación para una URL excede el Umbral de mala reputación, el proxy HTTP niega el acceso sin inspección adicional.
  • Umbral de buena reputación — Si la calificación para una URL es inferior al Umbral de reputación Buena y se habilita Gateway AntiVirus, el proxy HTTP hace un bypass del escaneo de Gateway AV.

Si la calificación de una URL es igual o se encuentra entre los umbrales de reputación configurados y el Gateway AntiVirus está habilitado, el contenido es escaneado en busca de virus.

Cuando el proxy HTTP detecta una violación de Gateway AntiVirus, envía retroalimentación al servidor de reputación de WatchGuard, y la puntuación de reputación de la URL se actualiza para referencia futura.

Diagrama de puntuaciones de reputación y umbrales, de 100 (Malo) a 1 (Bueno)

Calificaciones de Reputación

La calificación de reputación de una URL se basa en los comentarios recolectados de dispositivos de todo el mundo. Incorpora datos de los resultados de escaneo de los principales proveedores de inteligencia antimalware para la web.

Una calificación de reputación más cercana a 100 indica que es bastante probable que la URL contenga una amenaza. Una calificación de reputación más cercana a 1 indica que es mucho menos probable que la URL contenga una amenaza. Si el servidor de la RED no tiene una calificación previa para una dirección web determinada, le asignará una calificación neutral de 50. La calificación de reputación cambia desde la calificación predeterminada de 50 sobre la base de una cantidad de factores.

Estos factores pueden hacer que la calificación de reputación de una URL aumente, o se desplace hacia el 100:

  • Resultados de escaneo negativos
  • Resultados de escaneo negativos para un enlace remitido

Estos factores pueden hacer que la calificación de reputación de una URL disminuya, o se desplace hacia el 1:

  • Múltiples escaneos limpios
  • Escaneos limpios recientes

Las calificaciones de reputación pueden cambiar con el paso del tiempo. Para un mejor desempeño, el Firebox almacena las calificaciones de reputación de las direcciones web a las que se accedió recientemente en una caché local.

reputaciónauthority.org no se toma en cuenta para las puntuaciones RED. Este sitio solo fue utilizado por dispositivos XCS para tráfico SMTP.

Búsquedas de Reputación

El Firebox usa el puerto UDP 10108 para enviar consultas de reputación cifradas al servidor de reputación de WatchGuard. UDP es un servicio de mejor esfuerzo. Si el Firebox no recibe una respuesta a una consulta de reputación a tiempo para tomar una decisión basada en la calificación de reputación, el proxy HTTP no espera la respuesta, sino que procesa la solicitud HTTP sin la puntuación de reputación. En este caso, el contenido es escaneado a nivel local si está habilitado el Gateway AntiVirus.

Reputation Enabled Defense no realiza una búsqueda de reputación para los sitios en la lista de Excepciones de Sitios Bloqueados o en la lista de Excepciones de Proxy HTTP de la acción de proxy HTTP. Para conexiones a sitios en estas listas de excepciones, los mensajes de registro muestran una puntuación de reputación de -1.

Si un sitio no se está en la lista de Excepciones de Proxy HTTP o de Excepciones de Sitios Bloqueados, una puntuación de reputación de -1 indica que el Firebox no obtuvo una respuesta lo suficientemente pronto como para tomar una decisión basada en la puntuación de reputación.

Las búsquedas de reputación están determinadas por el dominio y la ruta de URL, no sólo el dominio. Los parámetros ubicados después de los caracteres de escape y operador, como & y ? se ignoran.

Por ejemplo, para la URL:

http://www.example.com/example/default.asp?action=9&parameter=26

la búsqueda de reputación es:

http://www.example.com/example/default.asp

El Fireware v11.12 y superiores es compatible con IPv6 para las políticas de proxy y los servicios de seguridad. Reputation Enabled Defense no envía la dirección IPv6 al servidor para su clasificación si un cliente envía una solicitud HTTP directamente a una dirección IPv6, en lugar de a un nombre de host.

Comentario sobre Reputation Enabled Defense

Si el Gateway AntiVirus está habilitado, puede elegir si desea enviar los resultados de los escaneos locales del Gateway AntiVirus y el APT Blocker al servidor de WatchGuard. También puede elegir si desea cargar los resultados de escaneo del Gateway AntiVirus y APT Blocker en WatchGuard incluso si Reputation Enabled Defense no está habilitada o no tiene licencia en su dispositivo. Se cifran todas las comunicaciones entre su red y el servidor de Reputation Enabled Defense.

Le recomendamos que active la carga de los resultados de escaneo local a WatchGuard para mejorar la cobertura y precisión general de Reputation Enabled Defense.

Ver También

Configurar Reputation Enabled Defense

Estadísticas de Reputation Enabled Defense