Navbar ES

Security Gateway Appliance



Hoy en día, el ataque a las organizaciones ha ido en aumento con técnicas más eficientes; aprovechando las debilidades que presentan las redes informáticas, comprometiendo incluso la continuidad del servicio. Hoy en día no son suficientes las protecciones con antivirus, ya que incluso los sistemas que se consideraban "seguros", hoy son blanco de ataques que terminan con la pérdida de información o la exposición de datos sensibles.

Sitios como Have i been pwned? llevan el registro de las grandes empresas y sistemas que han sido comprometidos detectando 1,444,567,928 cuentas en 142 sitios globales. Sitios de importancia como Linkedin; empresas como Adobe; y servicios como Dropbox, también han sido blanco de ataque donde se ha visto comprometida información confidencial, al igual de la información comprometida a Gobiernos e Instituciones a nivel Mundial.

¿Qué tan segura es su red de datos?

Es una realidad que todas las organizaciones requieren reforzar su Seguridad Informática. Las cifras son contundentes, y la realidad es preocupante. Desde hace ya algunos años, hemos percibido cómo las películas y la Televisión, han difundido la importancia que tienen los "hackers" en la actualidad.

Con la creciente dependencia de la tecnología, cada vez con más información circulando por la red, información por cierto de gran relevancia para las organizaciones como facturas electrónicas. Se hace cada vez más necesario e indispensable contar con mecanismos que protegan este tipo de información.

Security Gateway Appliance (SGA), cumple con este propósito. Cuenta con características que permiten proteger sus redes de forma integral. Brinda protección a sus comunicaciones y a sus equipos desde un sólo dispositivo. Además, contamos con diferentes modelos para proteger desde pequeñas redes, hasta redes corporativas muy complejas.



Modelos

Hogar

SGA
SG-2100
  • Procesador: ARMv8-A 64-bit Cortex A53 @ 1.2GHz with NEON SIMD and FPU
  • RAM: 4 GB DDR4
  • Almacenamiento: 8 GB eMMC (expandible a 32GB)
  • Puertos: 1 GbE WAN RJ45, 4 GbE switch, 1 USB 2.0
  • Fuente: AC/DC 100-240V, 50-60 Hz, 12V 2.0A

Medianas

SGA
SG-4100
  • Procesador: Intel® Atom® C3338R with QAT, 2-core @ 1.8 GHz
  • RAM: 4GB DDR4
  • Almacenamiento: 8 GB eMMC (expandible a 128GB)
  • Puertos: (2) Auto media 1 Gbps (RJ45/ SFP fibra), (4) 2.5 Gbps RJ-45 ethernet LAN, 2x USB 3.0
  • Fuente: AC/DC 100-240V, 50-60 Hz, 12V 5.0A (60W)

Medianas

SGA
SG-6100
  • Procesador: Quad-Core 2.2 GHz Intel Atom
  • RAM: 8GB DDR4
  • Almacenamiento: 16 GB eMMC (expandible a 128GB)
  • Puertos: (2) 10 Gbps SFP+ cage (WAN), (2) Auto media 1 Gbps (RJ45/ SFP fibra), (4) 2.5 Gbps RJ-45, 2x USB 3.0
  • Fuente: AC/DC 100-240V, 50-60 Hz, 12V 5.0A (60W)

Medianas

SGA
SG-8200
  • Procesador: C3758R with QAT, 8-core @ 2.4 GHz
  • RAM: 16 GB DDR4
  • Almacenamiento: 128 GB NVMe M.2 SSD
  • Puertos: (2) 10 Gbps SFP+ WAN, (2) Auto media 1 Gbps (RJ45 / SFP fibra), (4) 2.5 Gbps RJ-45
  • Fuente: AC/DC 100-240V, 50-60 Hz, 12V 5.0A (60W)

empresarial

SGA
XG-1537 1U
  • Procesador: Intel Xeon ® 1.7 GHz 8-Core
  • RAM: 8GB DDR4
  • Almacenamiento: 256GB M.2 SSD
  • Puertos: 2x Intel 10Gb SFP+2x Intel 1GbE RJ-45
  • Fuente: 20W

empresarial

SGA
XG-1541 1U
  • Procesador: Intel Xeon® 2.1 GHz 8-Core
  • RAM: 16GB DDR4
  • Almacenamiento: 150GB SSD
  • Puertos: 2x Intel 10GbE - 2x Intel 1GbE
  • Fuente: 20W

empresarial

SGA
XG-1541 1U HA
  • Procesador: Intel Xeon® 2.1 GHz 8-Core
  • RAM: 16GB DDR4
  • Almacenamiento: 150GB SSD
  • Puertos: 2x Intel 10GbE - 2x Intel 1GbE
  • Fuente: 20W


Características

Captive Portal (Portal Cautivo)
Permite proteger una red al solicitar un nombre de usuario y contraseña. Es una autenticación, esto puede realizarse mediante la administración de usuario integrada en Security Gateway Appliance (SGA), o un servidor de autenticación externo, como un servidor RADIUS.
DHCP Server
Entrega direcciones a los clientes DHCP y automáticamente configurarlos para tener acceso a la red, en un rango de direcciones asignado por el usuario. Por defecto, el servidor DHCP está activado en la interfaz LAN. El servicio del servidor DHCP, tiene una ficha para cada interfaz disponible. El proceso de DHCP sólo puede funcionar con interfaces con una dirección IP estática, por lo que si una ficha para una interfaz no está presente, compruebe que está habilitado y configurelo con una dirección IP estática.
DNS Forwarder
Responde a las peticiones DNS de los clientes, y a su vez trata de resolver las consultas que usan todos los servidores DNS configurados actualmente disponibles. De esta manera, no es necesario configurar los servidores DNS públicos directamente en los sistemas cliente. Si se habilita este servicio, la dirección IP de la interfaz interna para Security Gateway Appliance (SGA) se entregará a los clientes DHCP como un servidor DNS. Si está desactivada, los servidores DNS configurados en Security Gateway Appliance (SGA) serán entregados en su lugar. Este servicio puede registrar nombres de host de DHCP, concede tal forma que nombres locales pueden ser resueltos a través de DNS. El mismo se puede hacer con las asignaciones de DHCP estáticos. Esto sólo debe estar habilitado en redes en las que los nombres de host de cliente se puede confiar.
Dynamic DNS
Actualiza un proveedor externo con la dirección IP pública actual en el servidor. Esto mantiene un nombre de host DNS constante, incluso si la dirección IP cambia periódicamente. Hay muchos servicios de DynDNS libres por ahí, Security Gateway Appliance (SGA) es compatible con más de 15 proveedores diferentes. Además de los servicios públicos normales, Security Gateway Appliance (SGA) también es compatible con RFC 2136 actualizaciones de DNS a los servidores DNS. En las versiones actualmente soportadas por Security Gateway Appliance (SGA), el cliente DynDNS es compatible con el uso de múltiples DynDNS y RFC 2136 clientes. Estos pueden ser usados ​​para actualizar múltiples servicios en la misma interfaz, o múltiples interfaces.
Load Balancer
Método de distribución que asigna o balancea las solicitudes de los clientes a los servidores. Minimiza tiempos de respuestas mejorar el desempeño del servicio. Evitar la saturación de los servers.
Virtual server
Un equipo de cómputo físico con sistema operativo, pude contener un entorno virtual (contenedor), el cuál emula un sistema operativo dentro del mismo (suite Windows, Linux), así podemos hacer pruebas en dichos sistemas operativos para que sirvan de “sandbox” generando un ambiente controlado a ser dañado por dichas pruebas.
Firewall Rules
Permitir o bloquear el tráfico de equipos internos y externos a la red que no queremos que usuarios tengan acceso a la red privada. Las reglas no pueden protegernos de amenazas a las que está sometido por ataques internos o usuarios negligentes. No puede prohibir a espías corporativos copiar datos sensibles en medios físicos de almacenamiento (discos, memorias, etc.) y sustraerlas del edificio.
Sticky connections
Conexiones adhesivas puede aliviar un poco los problemas de sesiones compartidas, pero no son tan fiables como el uso de almacenamiento de sesión compartida. Para el escenario en el que un cliente solicita una página Web y todos los contenidos (imágenes, scripts) en esa página, si las conexiones adhesivas están habilitadas el cliente ingresará a la página y todas las imágenes y secuencias de comandos desde el mismo servidor.
Failover & Recovery
Failover (relevo) es cuando un equipo falla y es sustituido al menor tiempo por otro, para que este último continúe con las acciones del equipo que falló. Si algún servido falla, Security Gateway Appliance (SGA) enviará el tráfico a los servidores disponibles que estén con el servicio “arriba”.
PPPoE server
Permite conexiones por medio de terminales de clientes PPPoE. Esto se puede utilizar como un medio para restringir el acceso de red en una interfaz restringida, ya sea cableada o inalámbrica. Protocolo de red para la encapsulación PPP sobre una capa de Ethernet. Es utilizada mayormente para proveer conexión de banda ancha mediante servicios de cable-módem y DSL. Este ofrece las ventajas del protocolo PPP como son la autenticación, cifrado, mantenimiento y compresión. En esencia, es un protocolo, que permite implementar una capa IP sobre una conexión entre dos puertos Ethernet, pero con las características de software del protocolo PPP, por lo que es utilizado para virtualmente "marcar" a otra máquina dentro de la red Ethernet, logrando una conexión "serial" con ella, con la que se pueden transferir paquetes IP, basado en las características del protocolo PPP.
Watchdog
Monitorea los servicios que se deseen tener en mayor demanda en uso, o que sea muy perjudicial su baja en servicio. Cada minuto se va a comprobar que los servicios en la lista se estén ejecutando, y si no lo están, serán levantados estos servicios.
SNMP
El protocolo simple de administración de redes (SNMP) Permite consultar cierta información sobre el estado de Security Gateway Appliance (SGA) con un cliente SNMP, como los sistemas de monitorización de red. Como mínimo, para habilitar el servicio, establece un sondeo de puertos (por defecto es UDP / 161) y una cadena de comunidad de lectura.
IDS
Sistema de detección de intrusos, como su nombre en inglés lo dice “Intrusion Detection System”, se utiliza para detectar accesos no permitidos a una red. El IDS posee sensores que les permite recopilar datos, de manera que cuando detecta el tráfico, puede determinar anomalías o comportamientos extraños los cuales pueden ser un ataque o un falso positivo. Tipos de IDS: HIDS: busca datos que hayan dejado los atacantes en un equipo cuando intentan tomar control del mismo, con toda la información que consiguen obtener genera sus estratégias. NIDS: IDS de red, detecta ataques a nivel de toda la red. Debe ver todo el tráfico que entra a la red. Tiene varias opciones para implementarlo, hardware, software o combinación de ambas.
IPS
Controla el acceso de usuarios ilegítimos adicionando la posibilidad de bloquear los ataques, no simplemente de monitorearlos. Los IPS se categorizan según el modo en el que detectan el tráfico malicioso: Basado en firmas: compara el tráfico con firmas de ataques conocidos, debe tener la lista de firmas actualizada. Basado en políticas: se definen políticas de seguridad estrictas, si el tráfico está permitido el IPS permite el tráfico, si no lo está lo bloquea. Basado en anomalías: este método es el que más falsos positivos genera debido a que es muy difícil que es lo normal o estándar. En este modo encontramos dos opciones: Detección estadística de Anormalidades: analiza todo el trafico durante un tiempo determinado, luego de este tiempo crea una línea de lo que es “normal o estandar”. Luego de terminado este período si el comportamiento varía mucho en comparación a la regla creada, se toma como una posibilidad de ataque. Detección no Estadística de Anormalidades: en esta opción el Administrador define la línea de lo que es lo “normal o estándar” que va a ser la base para la comparación del tráfico. En resumen, el IPS agrega la posibilidad de bloquear ataques y además protege de forma proactiva la red, mientras que el IDS no permite bloquear y protege de forma reactiva la red.
Squid
Es un servidor proxy para web con caché. Es una de las aplicaciones más populares para esta función, software libre publicado bajo licencia GPL. Entre sus utilidades está la de mejorar el rendimiento de las conexiones de empresas y particulares a Internet guardando en caché peticiones recurrentes a servidores web y DNS, acelerar el acceso a un servidor web determinado o añadir seguridad realizando filtrados de tráfico. Aunque orientado principalmente a HTTP y HTTPS soporta también otros protocolos como FTP e incluso Gopher. Implementa cifrado SSL/TLS tanto en la conexión al servidor web como a los navegadores y cualquier cliente web que lo soporte.
Squidguard
Es un redireccionador de URL´s que se utiliza para integrar listas negras con el software de proxy Squid. • Limitar el acceso a la Web para algunos usuarios a una lista de servidores aceptadas / conocidos web y/o URL´s solamente. • Bloquear el acceso a algunos servidores que aparecen en la lista negra o web y / o direcciones URL para algunos usuarios. • Bloquear el acceso a URL´s que coincidan con una lista de expresiones regulares o palabras para algunos usuarios. • Hacer cumplir el uso de nombres de dominio/prohibir el uso de direcciones IP en direcciones URL. • Redirigir URL bloqueada a una página de información. • Redirigir banners para un GIF vacío. • Tener diferentes reglas de acceso según la hora del día, día de la semana, fecha, etc.
Blacklist
Las listas negras son opcionales, mayormente útil para poner como referente a la lista de sitios no deseados o peligrosos. Una mejor manera de comenzar con una colección de las listas negras como se muestra a continuación. • Listas negras MESD - Ellos son de libre acceso. • Las listas negras de Shalla - Gratuito para uso no comercial/privada.
Squid proxy
Es un agente o sustituto autorizado para actuar en nombre de otra persona (máquina o entidad) o un documento que lo autoriza a hacerlo. Intermediario entre el navegador web e internet.
UPnP y NAT-PMP
UPnP es la abreviatura de Universal Plug and Play y se encuentra comúnmente en los sistemas Windows, Linux y BSD. NAT -PMP es la abreviatura de Protocolo de asignación de puertos NAT y es similar a UPnP, pero más comúnmente encontrado en los dispositivos y programas de Apple. Security Gateway Appliance (SGA) es compatible con ambos. UPnP y NAT -PMP tanto permiten que los dispositivos y programas se apoyen automáticamente a redireccionarse a puertos dinámicos y entradas del firewall. Los usos más comunes son en los sistemas de juegos (Xbox, Playstation, etc)
Wake on LAN
El despertador de servicio en LAN (WoL), puede enviar un "paquete mágico " para una estación de trabajo en una red conectada localmente, que podrá prender una estación de trabajo si está configurado correctamente y si su BIOS lo soporta.
Aliases
Actúan como ubicación por medio de otro dato al anfitrión real, redes y puertos. Pueden ser utilizados para reducir al mínimo el número de cambios que tienen que ser hecho si un host, red o de puertos. El nombre de un alias se puede introducir en lugar de la dirección, o puerto de red IP en todos los campos que tienen un fondo rojo. El alias se resolverá de acuerdo con la lista [en la página Alias ​​de la WebGUI]. Si un alias no se puede resolver (por ejemplo, porque se ha suprimido), se considerará que el elemento correspondiente (por ejemplo, la regla del filtro / formador / NAT) no válida y se saltó.
Firewall Rules
Permite enviar o reciban tráfico con programas, servicios del sistema, equipos o usuarios. Se pueden crear reglas de firewall que lleven a cabo una de las tres acciones siguientes para todas las conexiones que coincidan con los criterios de la regla: Permitir la conexión. Permitir una conexión solo si está protegida mediante el uso de protocolo de seguridad de Internet (IPsec). Bloquear la conexión. Las reglas pueden crearse para el tráfico entrante o el tráfico saliente. Una regla se puede configurar para especificar los equipos o los usuarios, el programa, el servicio, o bien el puerto y el protocolo. Puede especificar el tipo de adaptador de red al que se aplicará la regla: red de área local (LAN), inalámbrica, acceso remoto, como una conexión de red privada virtual (VPN), o bien todos los tipos. También puede configurar la regla para que se aplique cuando se use un determinado perfil o cuando se use cualquier perfil. A medida que cambia el entorno de TI, es posible que tenga que cambiar, crear, deshabilitar o eliminar reglas.
Pfblocker
Permite añadir bloqueo de servicios IP y bloques de funciones de país de un firewall o router. PfBlocker fue creado para reemplazar las funciones de la lista de bloqueo de IP, y empaqueta País Block.
NAT
La traducción de direcciones de red o NAT es un mecanismo utilizado por routers IP para intercambiar paquetes entre dos redes que asignan mutuamente direcciones incompatibles. Consiste en convertir, en tiempo real, las direcciones utilizadas en los paquetes transportados.
Traffic Shaping
Permite controlar el tráfico en redes para así lograr optimizar o garantizar el rendimiento, baja latencia, y/o un ancho de banda determinado retrasando paquetes. Propone conceptos de clasificación, colas, imposición de políticas, administración de congestión, calidad de servicio (QoS) y regulación. Por otra parte, esto consiste en una práctica utilizada por diversos ISP´s para no sobrepasar sus capacidades de servicio.
Virtual IP Addresses
Una dirección IP virtual (VIP o VIP) es una dirección IP que no se involucra con una interfaz de red física real (puerto). Usos para los VIP incluyen la traducción de direcciones de red (especialmente uno-a - muchos NAT), tolerancia a fallos, y la movilidad.
IPSec
(Internet Protocol Security) es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos. IPsec también incluye protocolos para el establecimiento de claves de cifrado.
OpenVPN
Es una solución de conectividad punto a punto, cifrada a nivel bancario en SSL (Secure Sockets Layer) VPN (Virtual Private Network de red virtual privada).