1 2003 por Rafael Ausejo Prieto. Los logotipos de DAVINCI y de ITEM son usados con permiso. Esta versión es una modificación actualizada de la presentación original usada en Mundo Internet 2003 Arquitecturas Antivirus en la Pasarela de Internet v2.1 51 diapositivas FIST Conference 2003 October Edition [email protected]t
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
1
2003 por Rafael Ausejo Prieto. Los logotipos de DAVINCI y de ITEM son usados con permiso. Esta versión es una modificación actualizada de la presentación original usada en Mundo Internet 2003
Arquitecturas Antivirus en la Pasarela de Internet v2.1
AntivirusSistemas (software o hardware) que protegen la infraestructura (equipos, sistemas operativos, aplicaciones, datos, NEGOCIO) contra la propagación de los daños causados por la infección de código malicioso o defectuoso, con capacidades de replicación.
Ataques– Confidencialidad (troyanos, backdoors)
– Integridad (virus de macro, virus con payload destructivo)
– Disponibilidad (gusanos, virus distribuidos, bloqueo del correo, spam)
2001: las pérdidas causadas este año por la acción de los virus informáticos ascienden a 14.544 millones de euros. (Fuente: Computer Economics)
El año de Nimda, CodeRed y Sircam
6
Decisión Financiera
Justificación– Análisis del Riesgo (¿qué pierdo? ¿con qué probabilidad?
¿cuánto me cuesta? -> Impacto)
– Retorno de la Inversión (¿en cuánto tiempo habré recuperado lo invertido?)
– Coste de Oportunidad (¿es el momento?)
– Time to Market (Servicios Gestionados)
7
Mercado Antivirus: IDC
8
SCM vendor performance- Symantec led the SCM market $570 million
- SurfControl led the Web Filtering market with $44 million and 22% share
- Clearswift (w/ Baltimore) led Email Scanning market with $32.6 million and 23% share
Anti virus vendor performance- Symantec led the anti virus market with $541 million and 32%
share
- NAI ranked 2nd in the anti virus market with $441 million
- Trend ranked 3rd in the anti virus market with $240 million
2006 growth- Anti virus software will grow at 15% CAGR, reaching $3.4 billion
- Web filtering software will grow at 29% CAGR, reaching $730 million
- Email scanning will grow at 37% CAGR, reaching $662 million
Worldwide Antivirus Software Forecast and Analysis, 2003-2007: Return of the Consumer Doc #30254
"Viruses and malicious code remain constant, but blended threats such as Nimda and Code Red are now the most significant threat to companies and consumers," said Brian Burke, research manager for IDC's Security Products program
Peligro potencial: usuarios con discos USB, CDs, disquetes, capetas compartidas
14
Protección contra infecciones
Tipos de Protección
Antivirus de Pasarela (+ Filtrado de Contenidos)
Antivirus de Correo (+ Filtrado SPAM)
Antivirus de Servidor (+ Control de Integridad)
Antivirus de escritorio (+ Firewall personal)
Consola centralizada
15
Protección en la pasarela Internet
Diseño de arquitecturas de red
– Modo Proxy / Relay
– Redirección CVP
– Redirección CIS
– Appliance Bridge transparente
– Appliance router en línea
– Modo ICAP
16
Protección en la pasarela Internet
Comprobación de tráfico
– http
– ftp
– smtp
Internet
PC PC PC
UsuarioRemoto
Web, FTP
DNSInterno
Anti VirusCVP
Relay deCorreo
DNS externo
Segmento deRed Interna
SegmentoDMZ
Red deSeguridad
Router deacceso
Segmentoexterno
Servidorde Correo
Servidor deficheros
Bases deDatos
Cortafuegos
Diagrama de Red
17
Protección en la pasarela Internet
18
Modo Proxy / Relay
Redirección
– Necesidad de configurar los usuarios clientes
19
Modo Proxy / Relay
Cobertura de la intervención
INTERNET(Red IRIS)
Red interna (Correo)
Red externa (Correo)
Router Cisco 7200(en HA con Cisco 7400)
Trend Micro InterScanMessaging Security SuiteSun Fire 280 R Solaris 8
SunOne Messaging ServerSun Enterprise 4500 Solaris 8
Empresa ACMEPropuesta de implantación
20
Content Vectoring Protocol
CVP
Content Vectoring Protocol forma parte del conjunto de APIs abiertas de Seguridad OPSEC y pemite a los cortafuegos comprobar el tráfico, redirigiéndolo a un servidor externo, analizador de contenidos.
• Análisis y modificación o bloqueo del contenido de mensajes de correo
• Comprobación y limpieza Antivirus de ficheros adjuntos al correo y transferencia de ficheros
• Comprobación o bloqueo de ejecutables y código malicioso de tipo Java y ActiveX.
21
Content Vectoring Protocol
Akonix L7 by Akonix Systems, Inc.
Anti-Virus for Firewalls by F-Secure
eSafe Protect Gateway by Aladdin
InterScan AppletTrap by Trend Micro
InterScan Messaging Security Suite by Trend Micro
InterScan VirusWall by Trend Micro
MAILsweeper by Clearswift
N2H2 Filtering for FireWall-1 by N2H2
Panda Antivirus for Firewalls by Panda Software
PestPatrol Corporate by PestPatrol Inc.
PrivaWall by Aliroo
PureSight for FireWall-1 by iCognito Technologies Ltd.
SmartFilter by Secure Computing
SQL-Guard by Log-On Software
StormWatch by Okena
SurfControl Web Filter for FireWall-1 by SurfControl
SurfinGate by Finjan Software
Symantec Web Security by Symantec
Websense for FireWall-1 by Websense
WebWasher EE by WebWasher
X-Stop for FireWall-1 by 8e6 Technologies
Productos compatibles con CVP
22
Content Vectoring Protocol
23
Content Vectoring Protocol
Programación– Compilación en Windows (MS Visual
Studio), Solaris (CC forte) y Linux (gcc)
– Tamaño del buffer de 256 KBytes
– Basado en llamadas a funciones C++ y gestión de eventos:
CVP_REQUEST,
CVP_SERVER_CHUNK,
CVP_CTS_SIGNAL,
CVP_CLEAR_TO_SEND
24
Content Inspection Server (CIS)
25
Bridge Transparente
Bridge Transparente
– Redundancia por Spanning Tree
26
Appliances hardware
• Aladdin e-Safe Appliance
• Nokia Message Protector
• Network Associates WebShield
• Panda Antivirus GateDefender
• Symantec Gateway Security
27
Appliances hardware
Funcionamiento
Internet
Internet
Cortafuegos
Servidor de Correo
DNSDNS MX Pointer
Solicitudes DNS
Tráfico SMTP
Appliances Hardware
28
ICAP
Internet Content Adaptation Protocol
• Es un protocolo abierto y público, originado en 1999 para la redirección de contenidos con fines de filtrado y conversión. Estandarizado en Abril 2003 como
RFC 3507 - Internet Content Adaptation Protocol (ICAP)
• Está basado en comandos estándares RFC 822 sobre HTTP, por lo que usa el puerto 80/TCP
• Mejora el software y hardware existente de caché y posibilita el acceso de dispositivos PDA
29
ICAP
Funcionamiento
30
ICAP
Usos
• Antivirus
• Filtrado y Gestión de contenidos
• Conversión a PDAs (XHTML, XML, WAP)
• Traducción dinámica de páginas
• Inserción de anuncios
• Compresión de HTML
• Firma de páginas
31
Protección en el servidor de correo
VS API Virus Scanning API 2.0 es un interfaz de llamadas a
librerías de comprobación de contenido para inspeccionar los ficheros adjuntos. Diseñada para MS Exchange.
Antivirus de Correo Otra opción es instalar el antivirus en el propio servidor
de correo, integrándose con la aplicación (normalmente Microsoft Exchange o Lotus Notes) para inspecionar los los ficheros adjuntos (attachments)
32
Protección en el servidor de correo
Exchange Information Store ServiceExchange Information Store Service
CAN-2002-1121 El ataque "Message Fragmentation and Reassembly" (RFC2046, sección 5.2.2.1) logra saltarse el filtrado de contenidos, mediante la división del mensaje en varios bloques, simplemente con un botón. (http://www.securiteam.com/securitynews/5YP0A0K8CM.html)
Antivirus CorporativosNecesidad de aplicación y despliegue distribuidos con
una gestión y actualización de forma centralizada.
La Consola Centralizada
• Actualización de versiones
• Actualización de patrones
• Prevención de epidemias
• Adecuación a la Política
37
La consola centralizada
JapanHeadquarters
Taiwan BU
Australia BU
USA BU
Scandinavia BU
Italy BUGermany BUFrance BU
Argentina BU
China BU
Korea BU
Hong Kong BU
Brazil BU
Business UnitHeadquarters
Philippine Virus Research and Development CenterR&D
Virus R&D Center
UK BU
Spain BU
Mexico BU
Actualización antes de la infecciónActualización antes de la infección• Antivirus a varios niveles con capacidad Gigabit
• Actualizaciones permanentes y centralizadas• Antivirus a varios niveles con capacidad Gigabit
• Actualizaciones permanentes y centralizadas
38
La Política Corporativa de Antivirus
Política Antivirus
• Ejecutar siempre el antivirus corporativo y mantener actualizados tanto el engine como los patrones de virus.
• Nunca abrir ficheros o macros de remitente desconocido, no confiable sospechoso. Borrarlos y vaciarlos de la papelera.
• Eliminar el spam, cadenas de correo y correo basura similar, sin reenviar; de acuerdo con la Política Corporativa de Uso Aceptable de e-mail
• Nunca descargar ficheros de fuentes sospechosas. En la media de lo posible, ejecutar solamente los programas descargados de la URL original o de la intranet corporativa.
• Evitar las carpetas compartidas salvo que sea requisito indispensable para el negocio.
39
La Política Corporativa de Antivirus
Política Antivirus
• Pasar SIEMPRE el antivirus a los disquetes y discos USB o Iomega ZIP
• Hacer copia de seguridad regular de los datos críticos y de las configuraciones, y almacenarlos en lugar seguro.
• En caso de conflicto de pruebas de apliaciones con el antivirus, pasar primero el antivirus pasa asegurar la máquina antes de deshabilitarlo. Pasar posteriormente la prueba e inmediatamente volver a activar el antivirus.
• Comprobar esta política frecuentemente, debido a que prácticamente a diario se descubren nuevas formas de infección que podrían requerir un cambio en el procedimiento.
– Usualmente aprovechan bugs del cliente de correo o del cliente de navegación
44
El futuro
•Microsoft Authenticode* Digital ID
– In conjunction with Microsoft's Authenticode technology, this enables you to digitally sign 32-bit .exe (PE files), .cab, .dll and .ocx, files.
• Netscape Object Signing* Digital ID
– In conjunction with Netscape's signing tools, this enables you to digitally sign applets and other Java code, JavaScript scripts, plug-ins or any JAR format file.
• Microsoft Office 2000 and VBA Signing Digital ID
– Allows software publishers to digitally sign Macros and VBA objects.
• Macromedia Shockwave Digital ID
– Allows software publishers to digitally sign the content created with Macromedia Director 8 Shockwave Studio or Macromedia Flash.
• Marimba Channel Signing Digital ID
– Allows software publishers to digitally sign the content which they distribute on the Castanet Channel.
• Sun Java Signing Digital ID
– Allows software publishers to digitally sign the content created with Java SDK.
Certificados digitales de código
45
El futuro
Componentes de software distribuido, verificables mediante certificados X.509 por el propio Sistema Operativo, previo a cada ejecución
– Se asegura que el software proviene del proveedor de software
– Protege la aplicación de modificaciones o infecciones
– Consigue una verificación antes de ejecutarse, incluso en el propio sistema operativo
– Actualmente existe para drivers hardware (Windows XP) y para Software Publishing Certificates (SPCs)
46
El futuro
Bucarest, 10 de junio de 2003
GeCAD Software anuncia el acuerdo definitivo con por el cual Microsoft Corp. adquiere su tecnología RAV Antivirus para integrarla en sus productos.
47
Las nuevas amenazas
1. Primera generaciónVirus: Viernes 13, Chernobyl, Melissa, I Love you, SirCam, Klez