À propos de Reputation Enabled Defense (RED)

Vous pouvez utiliser l'abonnement au service de sécurité Reputation Enabled Defense (RED) pour améliorer les performances et la sécurité de votre Firebox.

WatchGuard RED utilise un serveur de réputation WatchGuard en nuage qui attribue un score de réputation entre 1 et 100 à chaque URL. Lorsqu'un utilisateur consulte un site Web, RED envoie l'adresse Web (ou URL) demandée au serveur de réputation WatchGuard. Le serveur de réputation WatchGuard répond par un score de réputation pour cette URL. En se basant sur le score de réputation et les seuils configurés localement, RED détermine si le Firebox doit abandonner ou autoriser le trafic et l'analyser localement avec Gateway AntiVirus, ou bien s'il doit autoriser le trafic sans analyse locale par Gateway AntiVirus. Les performances augmentent, étant donné que Gateway AntiVirus n'a pas besoin d'analyser les URL de réputation connue, bonne ou mauvaise.

RED est pris en charge uniquement dans les actions de proxy client HTTP. Il n'est pas pris en charge dans les actions de proxy serveur HTTP.

Seuils de réputation

Il existe deux seuils de score de réputation que vous pouvez configurer :

  • Seuil de mauvaise réputation — si le score d'une adresse URL est supérieur au seuil de mauvaise réputation, le proxy HTTP en refuse l'accès sans inspection supplémentaire.
  • Seuil de bonne réputation — si le score d'une adresse URL est inférieur au seuil de bonne réputation et que Gateway AntiVirus est activé, le proxy HTTP ignore l'analyse de Gateway AntiVirus.

Si le score d'une URL est égal aux seuils de réputation configurés ou se situe entre ces seuils, et que Gateway AntiVirus est activé, le contenu fait l'objet d'une analyse virale.

Lorsque le proxy HTTP détecte une violation de Gateway AntiVirus, il envoie un retour au serveur de réputation WatchGuard et l'indice de réputation de l'URL est mis à jour à des fins de consultation ultérieure.

Diagramme des indices et des seuils de réputation compris entre 100 (Mauvais) et 1 (Bon)

Scores de réputation

Le score de réputation d'une URL est calculé en fonction des résultats recueillis par les périphériques à travers le monde. Il intègre les résultats d'analyse des principaux fournisseurs de logiciels anti-programmes malveillants.

Un score de réputation proche de 100 indique que l'URL est plus que susceptible de contenir une menace. Un score de réputation proche de 1 indique que l'URL est peu susceptible de contenir une menace. Si le serveur RED ne possède pas encore de score pour une adresse Web, il lui attribue la note neutre de 50. Le score de réputation, fixé à 50 par défaut, est réajusté selon divers critères.

Les critères suivants augmentent le score de réputation de l'URL vers 100 :

  • des résultats d'analyse négatifs
  • des résultats d'analyse négatifs pour un lien de référence

Les critères suivants diminuent le score de réputation de l'URL vers 1 :

  • plusieurs résultats d'analyse positifs
  • des résultats d'analyse positifs récents

Les scores de réputation peuvent varier au fil du temps. Pour des performances accrues, le Firebox stocke les scores de réputation des adresses Web consultées dernièrement dans un cache local.

reputationauthority.org n'entre pas dans le calcul des scores de RED. Ce site était uniquement utilisé par les périphériques XCS pour le trafic SMTP.

Recherches de réputations

Le Firebox utilise le port UDP 10108 pour envoyer des requêtes de réputation chiffrées au serveur de réputation WatchGuard. UDP est un service best effort. Si le Firebox ne reçoit pas de réponse à une requête de réputation suffisamment vite pour prendre une décision en fonction de l'indice de réputation, le proxy HTTP traite la requête HTTP en l'absence de l'indice de réputation sans attendre la réponse. Dans ce cas, le contenu est analysé localement si Gateway AntiVirus est activé.

Reputation Enabled Defense n'effectue pas de recherche de réputation pour les sites figurant dans la liste des Exceptions aux Sites bloqués ni dans la liste d'Exceptions de Proxy HTTP de l'action de proxy HTTP. Pour les connexions aux sites figurant sur ces listes d'exceptions, les messages de journal indiquent un indice de réputation de -1.

Pour les sites ne figurant pas dans la liste des Exceptions aux Sites bloqués ni dans la liste d'Exceptions de Proxy HTTP, un score de réputation de -1 indique que le Firebox n'a pas obtenu de réponse suffisamment rapide pour prendre une décision en fonction de l'indice de réputation.

Les recherches de réputations se basent sur le domaine et le chemin d'URL, et non uniquement sur le domaine. Les paramètres suivant un caractère d'échappement ou d'opération tels que & et ? sont ignorés.

Par exemple, pour l'URL :

http://www.example.com/example/default.asp?action=9&parameter=26

la recherche de réputation est :

http://www.example.com/example/default.asp

Fireware v11.12 et les versions ultérieures prennent en charge IPv6 pour les stratégies de proxy et les services de sécurité. Reputation Enabled Defense n'envoie pas l'adresse IPv6 au serveur en vue de sa classification si un client envoie directement une requête HTTP à une adresse IPv6 plutôt qu'à un nom d'hôte.

Retour d'informations Reputation Enabled Defense (RED)

Si Gateway AntiVirus est activé, vous pouvez choisir d'envoyer ou non les résultats des analyses locales de Gateway AntiVirus et APT Blocker au serveur WatchGuard. Vous pouvez également opter pour l'envoi des résultats d'analyse de Gateway AntiVirus et APT Blocker à WatchGuard, même si Reputation Enabled Defense n'est pas activé ou concédé sous licence sur votre périphérique. Toute communication entre votre réseau et le serveur Reputation Enabled Defense (RED) est chiffrée.

Nous vous recommandons d'autoriser le téléchargement des résultats d'analyse locale sur WatchGuard afin d'améliorer la protection et la précision de Reputation Enabled Defense (RED).

Voir Également

Configurer Reputation Enabled Defense (RED)

Statistiques de Reputation Enabled Defense (RED)