¿Cómo funciona Norman Network Protection?

Norman Network Protection (NNP) se instala en un ordenador con tres interfaces de red y trabaja como una caja negra que analiza en tiempo real la presencia de malware en el tráfico de datos.
Una de las interfaces de red se reserva para las alertas y la configuración remota, mientras que las otras dos recopilan paquetes de red para analizarlos desde los segmentos de red a los que están conectados.
En un par de interfaces conectadas, una de las interfaces proporciona una conexión de red de secuencia ascendente u "abierta" y la segunda la conexión de red de secuencia descendente o "protegida". Ambas interfaces protegen las secuencias de datos de una de las direcciones. Las conexiones de red pueden ser de cualquier tipo físico que admita el protocolo TCP/IP. 

NNP - How it works 1

En la figura anterior, NNP ejecuta eth1 en "modo omnívoro". Esto quiere decir que se reciben todos los paquetes de red de la zona abierta sin importar la dirección de destino. A continuación, los paquetes del tipo de protocolo seleccionado se reúnen y se pasan al motor de análisis para comprobar la existencia de código malintencionado. Si el paquete de grupo no contiene código malintencionado, se pasa a la zona protegida mediante eth2. Sin embargo, si los paquetes contienen código malintencionado, se bloquean en la zona protegida y se envía una alerta a la red mediante eth0.

El puenteado aporta rapidez y transparencia

Los equipos NNP se pueden instalar en cualquier lugar de la red y se pueden utilizar de distintas formas para proteger toda la red o algunas de sus partes. Norman Network Protection trabaja en el nivel de enlace de datos del modelo de transmisión de datos OSI. Esto permite que NNP opere en distintos protocolos y ofrezca más funciones que las soluciones proxy.

NNP - How it works 2

NNP recibe paquetes Ethernet sin procesar “fuera del cable” en el nivel de enlace de datos. Si el marco Ethernet contiene un paquete IP, éste se enviará hacia arriba en la jerarquía de NNP. Las direcciones MAC se almacenan para un uso futuro.

Análisis de protocolo para detectar malware

El análisis de protocolo de NNP se puede configurar, además de poder activarse y desactivarse en tiempo real.

NNP también se puede configurar para bloquear protocolos, equipos y segmentos de red en función de las infecciones y las amenazas de la red. Asimismo, NNP utiliza la tecnología Norman SandBox, que puede detener el código malintencionado nuevo o no detectado incluso antes de que se hayan distribuido los archivos de detección con firmas para el nuevo malware. NNP analiza los protocolos que tengan una alta probabilidad de alojar tráfico malintencionado.

Compatibilidad con múltiples protocolos 

NNP - How it works 3

  • HTTP: tráfico normal de contenido Web en el que se incluye el correo Web 
  • SMTP: tráfico de correo electrónico entrante 
  • POP3: tráfico de correo electrónico saliente 
  • RPC: tráfico de llamada a procedimiento remoto 
  • FTP: protocolo de transferencia de archivos 
  • TFTP: protocolo trivial de transferencia de archivos 
  • CIFS/SMB: sistema frecuente de archivos de Internet para los ordenadores basados en MS Windows 
  • IRC: por sus siglas en inglés Internet Relay Chat, que es un protocolo de sistema de chat

Conforme se recibe cada paquete, éste se envía al módulo de análisis de protocolo adecuado. Cada módulo de análisis llama al motor de análisis que, por su parte, solicita porciones de datos del paquete o paquetes posteriores en la secuencia. Como alternativa, si Norman SandBox está activado, los paquetes recibidos se recopilan en un entorno virtual en el que se analiza el comportamiento del código. Si se detecta código malintencionado, se bloquea para que no continúe atravesando la red. A continuación, NNP emite una alerta según la configuración.

NNP menu - Overview
NNP menu - Why secure your network
NNP menu - Deployment
NNP menu - How it works
NNP menu - Management
NNP menu - Analysis
NNP menu - Reference
NNP menu - Support
NNP menu - Try it!