Enrutamiento basado en políticas

El enrutamiento basado en políticas reenvía y enruta paquetes de datos en función de políticas o filtros especificados utilizando parámetros como la dirección IP de origen y destino, el puerto de origen o destino, el tipo de tráfico, los protocolos, la lista de acceso, el tamaño del paquete, etc. para luego enrutar los paquetes al usuario. rutas definidas.

Compatibilidad con IPv4 e IPv6 simultáneas

El espacio de direcciones IPv4 se está agotando rápidamente. Las direcciones IPv6 son el futuro, pero las dos deberán coexistir pacíficamente en los próximos años. Por lo tanto, la asignación de NAT para el tráfico entrante y saliente debe admitir IPv4 e IPv6 simultáneos, lo que facilita la configuración de rutas estáticas en el enrutador.

Enrutamiento estático configurable

El enrutamiento estático ocurre cuando un enrutador utiliza una entrada de enrutamiento configurada manualmente, en lugar de información del tráfico de enrutamiento dinámico.

Traducción de prefijo de red IPv6

La traducción de prefijos de red de IPv6 a IPv6 (NPTv6 o NAT66) es una especificación para que IPv6 logre la independencia de direcciones en el borde de la red, similar a la traducción de direcciones de red (NAT) en la versión 4 del Protocolo de Internet.

Anuncios de enrutadores IPv6

El anuncio del enrutador IPv6 se utiliza para la configuración automática y el enrutamiento de IPv6. Cuando está habilitado, el enrutador envía mensajes periódicamente y en respuesta a solicitudes. Un anfitrión usa la información para aprender los prefijos y parámetros de la red local.

Varias direcciones IP por interfaz

Varias direcciones IP por interfaz de red permiten la asignación de muchos nombres de host (sin alias), cada uno a una única dirección IP también dentro de un solo servidor, aunque ese servidor solo tenga una interfaz de red física.

Servidor PPPoE

El Protocolo punto a punto sobre Ethernet (PPPoE) está diseñado para administrar cómo se transmiten los datos a través de redes Ethernet, lo que permite dividir una conexión de servidor único entre varios clientes, utilizando Ethernet.

Inspección completa de paquetes (SPI)

Un firewall con estado es un firewall basado en la red que rastrea individualmente las sesiones de las conexiones de red que lo atraviesan. La inspección de paquetes con estado, también conocida como filtrado dinámico de paquetes, es una función de seguridad que se utiliza para invocar políticas de seguridad detalladas. chcsGuard hace esto de forma predeterminada y se puede configurar para bloquear el tráfico en función de las coincidencias de políticas. Alternativamente, uno puede simplemente inspeccionar y no bloquear el tráfico, agregando reglas de paso para todo el tráfico en cada interfaz desde cualquiera a cualquiera según se desee.

Bloqueo de GeoIP

El filtrado GeoIP puede bloquear el tráfico web de países enteros, un mecanismo para evitar que los piratas informáticos ataquen su empresa. Las conexiones de red se bloquean en función de la ubicación geográfica (información recopilada de direcciones IP) que luego se puede utilizar para filtrar y evitar conexiones entrantes y salientes hacia y desde su empresa.
chcsGuard bloquea implícitamente de forma predeterminada todo el tráfico entrante no solicitado a la interfaz WAN.

Anti-spoofing

Anti spoofing detecta paquetes con direcciones falsas, lo que aumenta la seguridad.

Red de invitados del portal cautivo

Un portal cautivo es una página web a la que se accede con un navegador web que se muestra a los usuarios recién conectados de una red Wi-Fi o cableada antes de que se les conceda un acceso más amplio a los recursos de la red.

Reglas basadas en el tiempo

Las reglas basadas en el tiempo permiten que las reglas de firewall se activen durante días y/o rangos de tiempo específicos. Las reglas basadas en el tiempo funcionan de la misma manera que cualquier otra regla, excepto que, efectivamente, no están presentes en el conjunto de reglas fuera de sus horarios programados.

Límites de conexión

Una política de límite de conexión de firewall permite o deniega el tráfico según una tupla coincidente: dirección de origen, dirección de destino y servicio; y recuento de conexiones, que permite la detección de solicitudes de conexión anómalas.

Mapeo NAT (entrante / saliente)

La traducción de direcciones de red (NAT) es un método para asignar un espacio de direcciones IP a otro mediante la modificación de la información de la dirección de red en el encabezado IP de los paquetes mientras se encuentran en tránsito a través de un dispositivo de enrutamiento de tráfico.

IDS / IPS

Los sistemas de detección de intrusiones (IDS) analizan el tráfico de la red en busca de firmas que coincidan con los ciberataques conocidos. Los sistemas de prevención de intrusiones (IPS) también analizan los paquetes, pero también pueden detener la entrega del paquete, lo que ayuda a detener el ataque.

Analizador de paquetes basados en Snort

Snort es un rastreador de paquetes que monitorea el tráfico de la red en tiempo real, examinando cada paquete de cerca para detectar una carga útil peligrosa o anomalías sospechosas.

Detección de aplicaciones en capa 7

La capa 7, la capa de aplicación del modelo OSI (interconexión de sistemas abiertos), admite procesos de aplicación y de usuario final, como HTTP y SMTP. Los ataques en esta capa presentan un desafío de seguridad, ya que el código malintencionado puede enmascararse como solicitudes válidas del cliente y datos normales de la aplicación.

Variadas reglas, fuentes y categorías

Dependiendo de las opciones en torno al rendimiento, la tolerancia a los riesgos de seguridad y las aplicaciones comerciales reales en uso, hay muchas formas de configurar un IDS/IPS. chcsGuard admite el uso de múltiples fuentes de reglas tanto para Snort como para Suricata. Además, cada uno de esos paquetes también tiene varias categorías de reglas, incluidas reglas flotantes, reglas de grupo de interfaz y reglas de interfaz.

Base de datos de amenazas emergentes

Se puede configurar una solución IDS / IPS para registrar simplemente los eventos de red detectados, o registrarlos y bloquearlos. Esto se realiza mediante el uso de firmas de detección, llamadas reglas. El usuario puede crear reglas de forma personalizada, o se puede habilitar y descargar cualquiera de varios conjuntos de reglas preempaquetados. Los conjuntos de reglas preempaquetados ofrecen detección / protección adicional contra amenazas emergentes en la naturaleza.

Base de datos de lista negra de IP

La lista negra de IP filtra las direcciones IP ilegítimas o maliciosas para que no accedan a sus redes, mediante software que le permite agregar listas de bloqueo de IP y listas de bloqueo de países.

Perfiles de reglas preestablecidos

chcsGuard incluye una serie de reglas de firewall agregadas automáticamente. Los ejemplos incluyen antibloqueo, anti-spoofing, bloquear redes privadas, bloquear redes Bogon, uso del protocolo IPsec y acceso al puerto, regla de denegación predeterminada, etc.

Configuración por interfaz

chcsGuard permite que cada interfaz LAN o WAN se configure de forma independiente con reglas de firewall y otras funciones por interfaz.

Supresión de alertas falsas positivas

Cada administrador de seguridad de IDS / IPS debe decidir en última instancia su propia tolerancia al volumen de alerta, ya que solo usted conoce el tipo de tráfico que es normal en su red. chcsGuard permite seleccionar un conjunto de reglas específico y políticas de alerta por interfaz, además de ofrecer una guía detallada sobre cómo eliminar los ruidosos falsos positivos.

Inspección profunda de paquetes (DPI)

La inspección profunda de paquetes (DPI) permite a los analistas de seguridad capturar y evaluar el encabezado completo del paquete y la información de carga útil para identificar el cumplimiento del protocolo, correo no deseado, virus, intrusiones y otro tráfico anómalo o malicioso. Los paquetes Snort, Suricata y NTOPNG son compatibles con las capacidades de DPI.

Bloqueo de aplicaciones

chcsGuard aprovecha Snort y OpenAppID para detectar, monitorear y administrar el uso de aplicaciones en su red.

Configuración basada en web

La mayor parte de la configuración de chcsGuard se realiza mediante su interfaz gráfica de usuario basada en web incorporada. Algunas tareas también se pueden realizar desde la consola, ya sea un monitor y un teclado, a través de un puerto serie o mediante SSH.

Asistente de instalación para la configuración inicial

La primera vez que un usuario inicia sesión en la GUI de chcsGuard, el firewall presenta automáticamente un asistente de configuración, lo que facilita a los nuevos usuarios una visita guiada de configuración.

Administración remota basada en web

chcsGuard admite varias formas de administrar de forma remota un firewall, con diferentes niveles de recomendación según las restricciones del cliente, las políticas corporativas, etc.

Panel de control personalizable

Copia de seguridad / restauración de configuración sencilla

chcsGuard tiene una capacidad completa de copia de seguridad y restauración a la que se puede acceder a través de la opción de menú Diagnóstico de la GUI.
Archivo de configuración. Simplemente seleccione el archivo XML de copia de seguridad de la configuración de chcsGuard y haga clic en el botón Restaurar configuración, y su computadora cargará el archivo XML y restaurará la copia de seguridad de la configuración de chcsGuard.

Exportación / importación de configuración

chcsGuard admite la exportación / importación de información de configuración del sistema en XML mediante el uso de GUI Backup, donde un navegador web solicita al usuario que guarde el archivo en algún lugar de un entorno informático externo.

Derechos administrativos de nivel variable

Soporte multilenguaje

Configuración compatible con versiones posteriores

Actualizaciones simples

Consola en serie para opciones de recuperación y acceso al shell

Activación de la Wake-on-LAN

DNS Dinámico

El DNS dinámico actualiza automáticamente un servidor de nombres en el Sistema de nombres de dominio, a menudo en tiempo real, con la configuración DDNS activa de sus nombres de host configurados, direcciones u otra información. El cliente de DNS dinámico integrado en chcsGuard registra la dirección IP de una interfaz WAN con una variedad de proveedores de servicios de DNS dinámico. Esto se utiliza para acceder de forma remota a servicios en hosts que tienen WAN con direcciones IP dinámicas, más comúnmente VPN, servidores web, etc.

Servidor DHCP

Un servidor DHCP es un servidor de red que proporciona y asigna automáticamente direcciones IP, puertas de enlace predeterminadas y otros parámetros de red a los dispositivos cliente. Se basa en el protocolo estándar conocido como Protocolo de configuración dinámica de host (DHCP) para responder a las consultas de difusión de los clientes. El servidor DHCP en chcsGuard proporciona direcciones a los clientes DHCP y los configura automáticamente para el acceso a la red.

Reenvío de DNS

El reenvío de DNS determina cómo un servidor designado maneja conjuntos particulares de consultas de DNS, en lugar de ser manejados por el servidor inicial contactado por el cliente. chcsGuard está equipado con un reenvío de DNS que resuelve las solicitudes de DNS utilizando nombres de host obtenidos por el servicio DHCP, asignaciones DHCP estáticas o información ingresada manualmente.

Proxy HTTP y HTTPS

chcsGuard habilita funciones de proxy web (HTTP y HTTPS) a través de Squid (para almacenar en caché páginas web y tareas relacionadas), SquidGuard (para filtrar y controlar el acceso al contenido web) y Lightsquid (para informar la actividad del usuario según los registros de acceso de Squid).

Proxy de almacenamiento en caché no transparente o transparente

chcsGuard admite un proxy de almacenamiento en caché transparente y no transparente a través de Squid.

Filtrado de dominio / URL

chcsGuard utiliza la lista MESD y la lista Shalla para controlar el acceso a listas predefinidas de sitios en categorías específicas como sitios sociales, para adultos, de música y deportivos. También se pueden agregar dominios adicionales y / o URL específicas que están diseñadas para ser bloqueadas, por ejemplo, facebook.com, google.com, microsoft.com, etc.

Filtrado de antivirus

chcsGuard se puede configurar para que funcione como un proxy antivirus utilizando el paquete HAVP. Los proxies antivirus actúan como proxies web tradicionales, excepto que escanean todo el contenido que pasa a través del proxy en busca de firmas de virus o malware. Si el proxy identifica el contenido como malicioso, la descarga se bloqueará y la computadora cliente será redirigida a una página de error.

SafeSearch para motores de búsqueda

chcsGuard utiliza el paquete SquidGuard para proteger a los clientes de resultados de búsqueda no deseados. Es compatible con Google, Yandex, Yahoo, MSN, Live Search.

Selección de contenido y URL HTTPS

chcsGuard utiliza el paquete SquidGuard como un filtro web para bloquear el acceso a contenido no deseado o ilegal (en algunos países, incluso se requiere por ley un filtro web para las escuelas) de Internet.

Informes de acceso al sitio web

chcsGuard aprovecha LightSquid, un analizador de registros de Squid, para analizar los registros de acceso de proxy y producir informes basados en la web que detallan las URL a las que accede cada usuario en la red.

Lista negra de nombres de dominio (DNSBL)

chcsGuard tiene varias opciones para bloquear sitios web, incluidos DNS, reglas de firewall, usuario de un proxy y bloqueo de categorías.

Informes de uso

chcsGuard utiliza LightSquid para monitorear el uso de Internet en su red. Al analizar los registros de acceso de proxy, se pueden producir informes basados en la web que detallan las URL a las que accede por fecha y hora cada usuario de la red, el uso del ancho de banda y los informes del sitio principal, sin que los usuarios de la red lo sepan.

Protección de seguridad de la interfaz web

El protocolo utilizado por la GUI para aceptar las conexiones del navegador web puede ser HTTP (HTTP simple sin cifrar, inseguro y básico, pero ampliamente compatible y es menos probable que tenga problemas con el cliente, o HTTPS (SSL / TLS): HTTP «seguro» cifrado que protege comunicación entre el navegador del cliente y la GUI del firewall La mejor práctica es utilizar HTTPS para que solo se intercambie tráfico cifrado entre la GUI y los clientes.

Protección CSRF

La falsificación de solicitudes entre sitios (CSRF, y a veces representada como XSRF) es una explotación maliciosa de un sitio web donde se envían comandos no autorizados de un usuario en el que confía la aplicación web. chcsGuard WebGUI utiliza la biblioteca csrf-magic para protegerse contra ataques de falsificación de solicitudes entre sitios (CSRF).

Aplicación de HTTP Referer

Los encabezados de referencia (sic) contienen la dirección de una solicitud, por ejemplo, la dirección de la página web anterior desde la que se siguió un enlace a la página solicitada actualmente, o la dirección de una página que carga una imagen u otro recurso. Si bien hay muchos usos legítimos, incluidos análisis, registro o almacenamiento en caché optimizado, también hay usos problemáticos como el seguimiento, el robo o la filtración inadvertida de información confidencial. La GUI del software chcsGuard verifica la URL de referencia enviada por un navegador del cliente para asegurarse de que el formulario se envió desde este firewall. Esta verificación evita que un formulario en otro sitio envíe una solicitud al firewall y cambie una opción cuando el administrador no tenía la intención de que eso sucediera.

Protección de reversión de DNS

La revinculación de DNS es un método para manipular la resolución de nombres de dominio, comúnmente utilizado como una forma de ataque informático. En un ataque, una página web maliciosa hace que los visitantes ejecuten un script del lado del cliente que ataca a las máquinas en otras partes de la red. La revinculación de DNS elude esta protección al abusar del sistema de nombres de dominio (DNS). chcsGuard contiene métodos integrados de protección contra ataques de reenlace de DNS.

Seguridad de transporte estricta HTTP

HTTP Strict Transport Security (HSTS) ayuda a defender los sitios web de los ataques man-in-the-middle, por ejemplo, ataques de degradación de protocolos y secuestro de cookies. chcsGuard es compatible con HSTS, lo que obliga al navegador a usar solo HTTPS para futuras solicitudes al nombre de dominio completo del firewall (FQDN), lo que garantiza que no se degrade accidental o intencionalmente a una conexión no cifrada.

Acceso SSH opcional basado en claves

El acceso Secure Shell (SSH) a un firewall se usa generalmente para depurar y solucionar problemas, pero tiene muchos otros propósitos útiles. Una clave SSH es una credencial de acceso en el protocolo SSH que funciona de manera similar a la de los nombres de usuario y contraseñas. Sin embargo, las claves se utilizan principalmente para procesos automatizados y para implementar el inicio de sesión único por parte de administradores de sistemas y usuarios avanzados. chcsGuard admite el uso de acceso SSH utilizando solo autenticación de clave pública, que es más seguro que permitir el acceso solo mediante contraseña.