antivirus gateways architecture design
TRANSCRIPT
1
2003 por Rafael Ausejo Prieto. Los logotipos de DAVINCI y de ITEM son usados con permiso. Esta versión es una modificación actualizada de la presentación original usada en Mundo Internet 2003
Arquitecturas Antivirus en la Pasarela de Internet v2.1
51 diapositivas
FIST Conference 2003 October Edition
2
Índice
Antivirus
Virus / Virii
– ¿Qué?
– ¿Por qué?
– ¿Cuales?
– ¿ Cómo?
– Los Virus
– El futuro
– Las nuevas amenazas
3
¿Qué son los Antivirus?
AntivirusSistemas (software o hardware) que protegen la infraestructura (equipos, sistemas operativos, aplicaciones, datos, NEGOCIO) contra la propagación de los daños causados por la infección de código malicioso o defectuoso, con capacidades de replicación.
Ataques– Confidencialidad (troyanos, backdoors)
– Integridad (virus de macro, virus con payload destructivo)
– Disponibilidad (gusanos, virus distribuidos, bloqueo del correo, spam)
4
¿Por qué son necesarios?
5
Decisión Financiera
*Source ICSA 7th Annual Computer Virus Prevalence Survey 2001
Incidents per 1000 PC's per month
0
20
40
60
80
100
120
1996 1997 1998 1999 2000 2001
Justificación
2001: las pérdidas causadas este año por la acción de los virus informáticos ascienden a 14.544 millones de euros. (Fuente: Computer Economics)
El año de Nimda, CodeRed y Sircam
6
Decisión Financiera
Justificación– Análisis del Riesgo (¿qué pierdo? ¿con qué probabilidad?
¿cuánto me cuesta? -> Impacto)
– Retorno de la Inversión (¿en cuánto tiempo habré recuperado lo invertido?)
– Coste de Oportunidad (¿es el momento?)
– Time to Market (Servicios Gestionados)
7
Mercado Antivirus: IDC
8
SCM vendor performance- Symantec led the SCM market $570 million
- SurfControl led the Web Filtering market with $44 million and 22% share
- Clearswift (w/ Baltimore) led Email Scanning market with $32.6 million and 23% share
Anti virus vendor performance- Symantec led the anti virus market with $541 million and 32%
share
- NAI ranked 2nd in the anti virus market with $441 million
- Trend ranked 3rd in the anti virus market with $240 million
2006 growth- Anti virus software will grow at 15% CAGR, reaching $3.4 billion
- Web filtering software will grow at 29% CAGR, reaching $730 million
- Email scanning will grow at 37% CAGR, reaching $662 million
Worldwide Antivirus Software Forecast and Analysis, 2003-2007: Return of the Consumer Doc #30254
"Viruses and malicious code remain constant, but blended threats such as Nimda and Code Red are now the most significant threat to companies and consumers," said Brian Burke, research manager for IDC's Security Products program
Mercado Antivirus: IDC
9
Fuente: http://www.antivirus.com/en/about/profile/marketshare/overview.htm
Mercado Antivirus: IDC
10
Mercado Antivirus: Gartner
Source: Gartner Inc. & Goldman SachsIT Spending & Demand SurveySymposium/ITxpo 2002
16.0%
28.7%
13.7%
74.1%
83.5%
58.3%
77.2%
56.6%
26.7%
31.4%
7.1%
13.0%
13.9%
21.1%
21.7%
30.7%
39.2%
0.9%
3.5%
24.1%
17.9%
0% 20% 40% 60% 80% 100%
VPN
Firewalls
Intrusion Detection Software
Anti-virus
Access Management
Public Key Infrastructure
Managed Security Services
Yes, first time Yes, expand No N/A
Will Your Co. Purchase/ Expand the Following Security Prods. in 2002?
Copyright © 2002
11
Antivirus and Intrusion Detection Systems
VisionariesNiche Players
Challengers Leaders
As of April 2002
NetworkAssociates
SymantecTrend Micro
ComputerAssociates
Sophos
F-Secure
Completeness of Vision
Abilityto
Execute
Source: Enterprise Antivirus 2Q02 MQ: Room for Improvement, July 2002
Niche Players Visionaries
Abilityto
ExecuteNFR
Entercept
Symantec
Cisco Systems
Enterasys
Internet Security Systems
Completeness of Vision
Intrusion
As of June 2002
LeadersChallengers
Tripwire
Recourse
Source: Intrusion Detection Systems Magic Quadrant : 2H02, August 2002
Antivirus Intrusion Detection
Copyright © 2002
Mercado Antivirus: Gartner
12
Focos de infección
Internet
PC PC PC
UsuarioRemoto
Web, FTP
DNSInterno
Relay deCorreo
DNS externo
Segmento deRed Interna
SegmentoDMZ
Router deacceso
Segmentoexterno
Servidorde Correo
Servidor deficheros
Bases deDatos
Cortafuegos
Diagrama de Red
13
Focos de infección
Internet
PC PC PC
UsuarioRemoto
Web, FTP
DNSInterno
Relay deCorreo
DNS externo
Segmento deRed Interna
SegmentoDMZ
Router deacceso
Segmentoexterno
Servidorde Correo
Servidor deficheros
Bases deDatos
Cortafuegos
Diagrama de Red
Propagación:Web
Correo smtp y pop3
Webmail
Sincronización de servidores
Replicación de Bases de Datos
Peligro potencial: usuarios con discos USB, CDs, disquetes, capetas compartidas
14
Protección contra infecciones
Tipos de Protección
Antivirus de Pasarela (+ Filtrado de Contenidos)
Antivirus de Correo (+ Filtrado SPAM)
Antivirus de Servidor (+ Control de Integridad)
Antivirus de escritorio (+ Firewall personal)
Consola centralizada
15
Protección en la pasarela Internet
Diseño de arquitecturas de red
– Modo Proxy / Relay
– Redirección CVP
– Redirección CIS
– Appliance Bridge transparente
– Appliance router en línea
– Modo ICAP
16
Protección en la pasarela Internet
Comprobación de tráfico
– http
– ftp
– smtp
Internet
PC PC PC
UsuarioRemoto
Web, FTP
DNSInterno
Anti VirusCVP
Relay deCorreo
DNS externo
Segmento deRed Interna
SegmentoDMZ
Red deSeguridad
Router deacceso
Segmentoexterno
Servidorde Correo
Servidor deficheros
Bases deDatos
Cortafuegos
Diagrama de Red
17
Protección en la pasarela Internet
18
Modo Proxy / Relay
Redirección
– Necesidad de configurar los usuarios clientes
19
Modo Proxy / Relay
Cobertura de la intervención
INTERNET(Red IRIS)
Red interna (Correo)
Red externa (Correo)
Router Cisco 7200(en HA con Cisco 7400)
Trend Micro InterScanMessaging Security SuiteSun Fire 280 R Solaris 8
SunOne Messaging ServerSun Enterprise 4500 Solaris 8
Empresa ACMEPropuesta de implantación
20
Content Vectoring Protocol
CVP
Content Vectoring Protocol forma parte del conjunto de APIs abiertas de Seguridad OPSEC y pemite a los cortafuegos comprobar el tráfico, redirigiéndolo a un servidor externo, analizador de contenidos.
• Análisis y modificación o bloqueo del contenido de mensajes de correo
• Comprobación y limpieza Antivirus de ficheros adjuntos al correo y transferencia de ficheros
• Comprobación o bloqueo de ejecutables y código malicioso de tipo Java y ActiveX.
21
Content Vectoring Protocol
Akonix L7 by Akonix Systems, Inc.
Anti-Virus for Firewalls by F-Secure
eSafe Protect Gateway by Aladdin
InterScan AppletTrap by Trend Micro
InterScan Messaging Security Suite by Trend Micro
InterScan VirusWall by Trend Micro
MAILsweeper by Clearswift
N2H2 Filtering for FireWall-1 by N2H2
Panda Antivirus for Firewalls by Panda Software
PestPatrol Corporate by PestPatrol Inc.
PrivaWall by Aliroo
PureSight for FireWall-1 by iCognito Technologies Ltd.
SmartFilter by Secure Computing
SQL-Guard by Log-On Software
StormWatch by Okena
SurfControl Web Filter for FireWall-1 by SurfControl
SurfinGate by Finjan Software
Symantec Web Security by Symantec
Websense for FireWall-1 by Websense
WebWasher EE by WebWasher
X-Stop for FireWall-1 by 8e6 Technologies
Productos compatibles con CVP
22
Content Vectoring Protocol
23
Content Vectoring Protocol
Programación– Compilación en Windows (MS Visual
Studio), Solaris (CC forte) y Linux (gcc)
– Tamaño del buffer de 256 KBytes
– Basado en llamadas a funciones C++ y gestión de eventos:
CVP_REQUEST,
CVP_SERVER_CHUNK,
CVP_CTS_SIGNAL,
CVP_CLEAR_TO_SEND
24
Content Inspection Server (CIS)
25
Bridge Transparente
Bridge Transparente
– Redundancia por Spanning Tree
26
Appliances hardware
• Aladdin e-Safe Appliance
• Nokia Message Protector
• Network Associates WebShield
• Panda Antivirus GateDefender
• Symantec Gateway Security
27
Appliances hardware
Funcionamiento
Internet
Internet
Cortafuegos
Servidor de Correo
DNSDNS MX Pointer
Solicitudes DNS
Tráfico SMTP
Appliances Hardware
28
ICAP
Internet Content Adaptation Protocol
• Es un protocolo abierto y público, originado en 1999 para la redirección de contenidos con fines de filtrado y conversión. Estandarizado en Abril 2003 como
RFC 3507 - Internet Content Adaptation Protocol (ICAP)
• Está basado en comandos estándares RFC 822 sobre HTTP, por lo que usa el puerto 80/TCP
• Mejora el software y hardware existente de caché y posibilita el acceso de dispositivos PDA
29
ICAP
Funcionamiento
30
ICAP
Usos
• Antivirus
• Filtrado y Gestión de contenidos
• Conversión a PDAs (XHTML, XML, WAP)
• Traducción dinámica de páginas
• Inserción de anuncios
• Compresión de HTML
• Firma de páginas
31
Protección en el servidor de correo
VS API Virus Scanning API 2.0 es un interfaz de llamadas a
librerías de comprobación de contenido para inspeccionar los ficheros adjuntos. Diseñada para MS Exchange.
Antivirus de Correo Otra opción es instalar el antivirus en el propio servidor
de correo, integrándose con la aplicación (normalmente Microsoft Exchange o Lotus Notes) para inspecionar los los ficheros adjuntos (attachments)
32
Protección en el servidor de correo
Exchange Information Store ServiceExchange Information Store Service
Vendor Virus Vendor Virus Scanning DLLScanning DLLVendor Virus Vendor Virus Scanning DLLScanning DLL
Virus Virus Scanning Scanning
API 2.0API 2.0
Virus Virus Scanning Scanning
API 2.0API 2.0
InboundInbound
OutboundOutbound
MessageMessageSave/UpdateSave/Update
MessageMessageAccessAccess
GlobalGlobalScanningScanning
QueueQueue
GlobalGlobalScanningScanning
QueueQueue
Information Information StoreStore
Messages Messages and and
AttachmentsAttachments
Background Background Scanning ThreadScanning Thread
Background Background Scanning ThreadScanning Thread
Stream Stream FileFile
MIME MIME ContentContent
Online Scanning Online Scanning Thread PoolThread Pool
Online Scanning Online Scanning Thread PoolThread Pool
NotificationsNotificationsNotificationsNotifications
ClientsClients
VS API
33
Protección en el servidor de correo
Vulnerabilidades
CAN-2002-1121 El ataque "Message Fragmentation and Reassembly" (RFC2046, sección 5.2.2.1) logra saltarse el filtrado de contenidos, mediante la división del mensaje en varios bloques, simplemente con un botón. (http://www.securiteam.com/securitynews/5YP0A0K8CM.html)
Ejemplo:
MIME-Version: 1.0
Content-type: message/partial; id="[email protected]"; number=1; total=2
Content-type: application/binary
Content-transfer-encoding: base64
CÓDIGO
MIME-Version: 1.0
Content-type: message/partial; id="[email protected]"; number=2; total=2
MALIGNO
MIME-Version: 1.0
Content-type: application/binary
Content-transfer-encoding: base64
CÓDIGO
MALIGNO
34
Protección en servidores de ficheros
35
Protección en puesto de usuario
UsuariosHay una multitud de fabricantes para antivirus de usuario
• AVP (Kaspersky Labs) es el elegido por los VXcoders
• PANDA presta uno de los mejores soportes (24x7)
• Network Associates – MacAfee es el más vendido
• Symantec – Norton Antivirus es el más intuitivo
• Trend Micro PC-cillin es el que yo uso ;-)
Comparativa Hispasec• http://www.hispasec.com/directorio/laboratorio/articulos/
Comparativa2001/productosanalizados/10.html
36
Protección en puesto de usuario
Antivirus CorporativosNecesidad de aplicación y despliegue distribuidos con
una gestión y actualización de forma centralizada.
La Consola Centralizada
• Actualización de versiones
• Actualización de patrones
• Prevención de epidemias
• Adecuación a la Política
37
La consola centralizada
JapanHeadquarters
Taiwan BU
Australia BU
USA BU
Scandinavia BU
Italy BUGermany BUFrance BU
Argentina BU
China BU
Korea BU
Hong Kong BU
Brazil BU
Business UnitHeadquarters
Philippine Virus Research and Development CenterR&D
Virus R&D Center
UK BU
Spain BU
Mexico BU
Actualización antes de la infecciónActualización antes de la infección• Antivirus a varios niveles con capacidad Gigabit
• Actualizaciones permanentes y centralizadas• Antivirus a varios niveles con capacidad Gigabit
• Actualizaciones permanentes y centralizadas
38
La Política Corporativa de Antivirus
Política Antivirus
• Ejecutar siempre el antivirus corporativo y mantener actualizados tanto el engine como los patrones de virus.
• Nunca abrir ficheros o macros de remitente desconocido, no confiable sospechoso. Borrarlos y vaciarlos de la papelera.
• Eliminar el spam, cadenas de correo y correo basura similar, sin reenviar; de acuerdo con la Política Corporativa de Uso Aceptable de e-mail
• Nunca descargar ficheros de fuentes sospechosas. En la media de lo posible, ejecutar solamente los programas descargados de la URL original o de la intranet corporativa.
• Evitar las carpetas compartidas salvo que sea requisito indispensable para el negocio.
39
La Política Corporativa de Antivirus
Política Antivirus
• Pasar SIEMPRE el antivirus a los disquetes y discos USB o Iomega ZIP
• Hacer copia de seguridad regular de los datos críticos y de las configuraciones, y almacenarlos en lugar seguro.
• En caso de conflicto de pruebas de apliaciones con el antivirus, pasar primero el antivirus pasa asegurar la máquina antes de deshabilitarlo. Pasar posteriormente la prueba e inmediatamente volver a activar el antivirus.
• Comprobar esta política frecuentemente, debido a que prácticamente a diario se descubren nuevas formas de infección que podrían requerir un cambio en el procedimiento.
40
Recursos
http://www.alerta-antivirus.es/
http://www.seguridadenlared.org/
41
La VX Scene
“29A Labs”
“International Knowledge eXchange”
42
Los Virus
Virus clásicos– Virus: código ejecutable replicable
– Normalmente destructivo
– Se propaga normalmente infectando ejecutables binarios
Gusanos (worms)– Código autoreplicable
– No siempre destructivo
– Se aprovecha de vulnerabilidades de las aplicaciones
43
Los Virus
Troyanos (trojan horses)– Código camuflado en programas válidos
– El usuario es incitado a ejecutarlos
– Suelen incluir rutinas de control remoto
Ejemplos: NetBus o BackOrifice
Software Vandálico (malware)– Virus autoejecutables, escrito ActiveX, Applets
Java, plug-ins autoejecutables o código DHTML.
– Usualmente aprovechan bugs del cliente de correo o del cliente de navegación
44
El futuro
•Microsoft Authenticode* Digital ID
– In conjunction with Microsoft's Authenticode technology, this enables you to digitally sign 32-bit .exe (PE files), .cab, .dll and .ocx, files.
• Netscape Object Signing* Digital ID
– In conjunction with Netscape's signing tools, this enables you to digitally sign applets and other Java code, JavaScript scripts, plug-ins or any JAR format file.
• Microsoft Office 2000 and VBA Signing Digital ID
– Allows software publishers to digitally sign Macros and VBA objects.
• Macromedia Shockwave Digital ID
– Allows software publishers to digitally sign the content created with Macromedia Director 8 Shockwave Studio or Macromedia Flash.
• Marimba Channel Signing Digital ID
– Allows software publishers to digitally sign the content which they distribute on the Castanet Channel.
• Sun Java Signing Digital ID
– Allows software publishers to digitally sign the content created with Java SDK.
Certificados digitales de código
45
El futuro
Componentes de software distribuido, verificables mediante certificados X.509 por el propio Sistema Operativo, previo a cada ejecución
– Se asegura que el software proviene del proveedor de software
– Protege la aplicación de modificaciones o infecciones
– Consigue una verificación antes de ejecutarse, incluso en el propio sistema operativo
– Actualmente existe para drivers hardware (Windows XP) y para Software Publishing Certificates (SPCs)
46
El futuro
Bucarest, 10 de junio de 2003
GeCAD Software anuncia el acuerdo definitivo con por el cual Microsoft Corp. adquiere su tecnología RAV Antivirus para integrarla en sus productos.
47
Las nuevas amenazas
1. Primera generaciónVirus: Viernes 13, Chernobyl, Melissa, I Love you, SirCam, Klez
2. Segunda generaciónGusanos: CodeRed, Nimda
3. Tercera generaciónNetworms: Slammer, Blaster, Welchia
4. Cuarta generaciónEl futuro: Warhol, Uberworm, Distributed Virus
48
Las nuevas amenazas
Propagación
“How to 0wn the Internet in Your Spare Time”
• Escaneo topológico
• Escaneo de permutación coordinada
49
Las nuevas amenazas
Perfiles de comportamiento
Captura de ataques lentos
Sistemas de Alerta Temprana
Protección por múltiples sensores
50
Conclusiones
Los virus son malos malísimos
Los antivirus son buenos buenísimos
La complejidad en la protección antivirus se encuentra en el diseño de la arquitectura y la integración en la infraestructura
51
DAVINCI Consulting Tecnológico, s.a.u.
Parque Empresarial Alvento.
Vía de los Poblados, 1 Edificio A 6ª planta
28033 Madrid
Tlf: 902 464 546 Fax: 91 561 3175
htttp://www.dvc.es
Gracias
Presentación disponible en www.ausejo.net
Preguntas y respuestas