1

2003 por Rafael Ausejo Prieto. Los logotipos de DAVINCI y de ITEM son usados con permiso. Esta versión es una modificación actualizada de la presentación original usada en Mundo Internet 2003

Arquitecturas Antivirus en la Pasarela de Internet v2.1

51 diapositivas

FIST Conference 2003 October Edition

rafael@ausejo.net

2

Índice

Antivirus

Virus / Virii

– ¿Qué?

– ¿Por qué?

– ¿Cuales?

– ¿ Cómo?

– Los Virus

– El futuro

– Las nuevas amenazas

3

¿Qué son los Antivirus?

AntivirusSistemas (software o hardware) que protegen la infraestructura (equipos, sistemas operativos, aplicaciones, datos, NEGOCIO) contra la propagación de los daños causados por la infección de código malicioso o defectuoso, con capacidades de replicación.

Ataques– Confidencialidad (troyanos, backdoors)

– Integridad (virus de macro, virus con payload destructivo)

– Disponibilidad (gusanos, virus distribuidos, bloqueo del correo, spam)

4

¿Por qué son necesarios?

5

Decisión Financiera

*Source ICSA 7th Annual Computer Virus Prevalence Survey 2001

Incidents per 1000 PC's per month

0

20

40

60

80

100

120

1996 1997 1998 1999 2000 2001

Justificación

2001: las pérdidas causadas este año por la acción de los virus informáticos ascienden a 14.544 millones de euros. (Fuente: Computer Economics)

El año de Nimda, CodeRed y Sircam

6

Decisión Financiera

Justificación– Análisis del Riesgo (¿qué pierdo? ¿con qué probabilidad?

¿cuánto me cuesta? -> Impacto)

– Retorno de la Inversión (¿en cuánto tiempo habré recuperado lo invertido?)

– Coste de Oportunidad (¿es el momento?)

– Time to Market (Servicios Gestionados)

7

Mercado Antivirus: IDC

8

SCM vendor performance- Symantec led the SCM market $570 million

- SurfControl led the Web Filtering market with $44 million and 22% share

- Clearswift (w/ Baltimore) led Email Scanning market with $32.6 million and 23% share

Anti virus vendor performance- Symantec led the anti virus market with $541 million and 32%

share

- NAI ranked 2nd in the anti virus market with $441 million

- Trend ranked 3rd in the anti virus market with $240 million

2006 growth- Anti virus software will grow at 15% CAGR, reaching $3.4 billion

- Web filtering software will grow at 29% CAGR, reaching $730 million

- Email scanning will grow at 37% CAGR, reaching $662 million

Worldwide Antivirus Software Forecast and Analysis, 2003-2007: Return of the Consumer Doc #30254

"Viruses and malicious code remain constant, but blended threats such as Nimda and Code Red are now the most significant threat to companies and consumers," said Brian Burke, research manager for IDC's Security Products program

Mercado Antivirus: IDC

9

Fuente: http://www.antivirus.com/en/about/profile/marketshare/overview.htm

Mercado Antivirus: IDC

10

Mercado Antivirus: Gartner

Source: Gartner Inc. & Goldman SachsIT Spending & Demand SurveySymposium/ITxpo 2002

16.0%

28.7%

13.7%

74.1%

83.5%

58.3%

77.2%

56.6%

26.7%

31.4%

7.1%

13.0%

13.9%

21.1%

21.7%

30.7%

39.2%

0.9%

3.5%

24.1%

17.9%

0% 20% 40% 60% 80% 100%

VPN

Firewalls

Intrusion Detection Software

Anti-virus

Access Management

Public Key Infrastructure

Managed Security Services

Yes, first time Yes, expand No N/A

Will Your Co. Purchase/ Expand the Following Security Prods. in 2002?

Copyright © 2002

11

Antivirus and Intrusion Detection Systems

VisionariesNiche Players

Challengers Leaders

As of April 2002

NetworkAssociates

SymantecTrend Micro

ComputerAssociates

Sophos

F-Secure

Completeness of Vision

Abilityto

Execute

Source: Enterprise Antivirus 2Q02 MQ: Room for Improvement, July 2002

Niche Players Visionaries

Abilityto

ExecuteNFR

Entercept

Symantec

Cisco Systems

Enterasys

Internet Security Systems

Completeness of Vision

Intrusion

As of June 2002

LeadersChallengers

Tripwire

Recourse

Source: Intrusion Detection Systems Magic Quadrant : 2H02, August 2002

Antivirus Intrusion Detection

Copyright © 2002

Mercado Antivirus: Gartner

12

Focos de infección

Internet

PC PC PC

UsuarioRemoto

Web, FTP

DNSInterno

Relay deCorreo

DNS externo

Segmento deRed Interna

SegmentoDMZ

Router deacceso

Segmentoexterno

Servidorde Correo

Servidor deficheros

Bases deDatos

Cortafuegos

Diagrama de Red

13

Focos de infección

Internet

PC PC PC

UsuarioRemoto

Web, FTP

DNSInterno

Relay deCorreo

DNS externo

Segmento deRed Interna

SegmentoDMZ

Router deacceso

Segmentoexterno

Servidorde Correo

Servidor deficheros

Bases deDatos

Cortafuegos

Diagrama de Red

Propagación:Web

Correo smtp y pop3

Webmail

Sincronización de servidores

Replicación de Bases de Datos

Peligro potencial: usuarios con discos USB, CDs, disquetes, capetas compartidas

14

Protección contra infecciones

Tipos de Protección

Antivirus de Pasarela (+ Filtrado de Contenidos)

Antivirus de Correo (+ Filtrado SPAM)

Antivirus de Servidor (+ Control de Integridad)

Antivirus de escritorio (+ Firewall personal)

Consola centralizada

15

Protección en la pasarela Internet

Diseño de arquitecturas de red

– Modo Proxy / Relay

– Redirección CVP

– Redirección CIS

– Appliance Bridge transparente

– Appliance router en línea

– Modo ICAP

16

Protección en la pasarela Internet

Comprobación de tráfico

– http

– ftp

– smtp

Internet

PC PC PC

UsuarioRemoto

Web, FTP

DNSInterno

Anti VirusCVP

Relay deCorreo

DNS externo

Segmento deRed Interna

SegmentoDMZ

Red deSeguridad

Router deacceso

Segmentoexterno

Servidorde Correo

Servidor deficheros

Bases deDatos

Cortafuegos

Diagrama de Red

17

Protección en la pasarela Internet

18

Modo Proxy / Relay

Redirección

– Necesidad de configurar los usuarios clientes

19

Modo Proxy / Relay

Cobertura de la intervención

INTERNET(Red IRIS)

Red interna (Correo)

Red externa (Correo)

Router Cisco 7200(en HA con Cisco 7400)

Trend Micro InterScanMessaging Security SuiteSun Fire 280 R Solaris 8

SunOne Messaging ServerSun Enterprise 4500 Solaris 8

Empresa ACMEPropuesta de implantación

20

Content Vectoring Protocol

CVP

Content Vectoring Protocol forma parte del conjunto de APIs abiertas de Seguridad OPSEC y pemite a los cortafuegos comprobar el tráfico, redirigiéndolo a un servidor externo, analizador de contenidos.

• Análisis y modificación o bloqueo del contenido de mensajes de correo

• Comprobación y limpieza Antivirus de ficheros adjuntos al correo y transferencia de ficheros

• Comprobación o bloqueo de ejecutables y código malicioso de tipo Java y ActiveX.

21

Content Vectoring Protocol

Akonix L7 by Akonix Systems, Inc.

Anti-Virus for Firewalls by F-Secure

eSafe Protect Gateway by Aladdin

InterScan AppletTrap by Trend Micro

InterScan Messaging Security Suite by Trend Micro

InterScan VirusWall by Trend Micro

MAILsweeper by Clearswift

N2H2 Filtering for FireWall-1 by N2H2

Panda Antivirus for Firewalls by Panda Software

PestPatrol Corporate by PestPatrol Inc.

PrivaWall by Aliroo

PureSight for FireWall-1 by iCognito Technologies Ltd.

SmartFilter by Secure Computing

SQL-Guard by Log-On Software

StormWatch by Okena

SurfControl Web Filter for FireWall-1 by SurfControl

SurfinGate by Finjan Software

Symantec Web Security by Symantec

Websense for FireWall-1 by Websense

WebWasher EE by WebWasher

X-Stop for FireWall-1 by 8e6 Technologies

Productos compatibles con CVP

22

Content Vectoring Protocol

23

Content Vectoring Protocol

Programación– Compilación en Windows (MS Visual

Studio), Solaris (CC forte) y Linux (gcc)

– Tamaño del buffer de 256 KBytes

– Basado en llamadas a funciones C++ y gestión de eventos:

CVP_REQUEST,

CVP_SERVER_CHUNK,

CVP_CTS_SIGNAL,

CVP_CLEAR_TO_SEND

24

Content Inspection Server (CIS)

25

Bridge Transparente

Bridge Transparente

– Redundancia por Spanning Tree

26

Appliances hardware

• Aladdin e-Safe Appliance

• Nokia Message Protector

• Network Associates WebShield

• Panda Antivirus GateDefender

• Symantec Gateway Security

27

Appliances hardware

Funcionamiento

Internet

Internet

Cortafuegos

Servidor de Correo

DNSDNS MX Pointer

Solicitudes DNS

Tráfico SMTP

Appliances Hardware

28

ICAP

Internet Content Adaptation Protocol

• Es un protocolo abierto y público, originado en 1999 para la redirección de contenidos con fines de filtrado y conversión. Estandarizado en Abril 2003 como

RFC 3507 - Internet Content Adaptation Protocol (ICAP)

• Está basado en comandos estándares RFC 822 sobre HTTP, por lo que usa el puerto 80/TCP

• Mejora el software y hardware existente de caché y posibilita el acceso de dispositivos PDA

29

ICAP

Funcionamiento

30

ICAP

Usos

• Antivirus

• Filtrado y Gestión de contenidos

• Conversión a PDAs (XHTML, XML, WAP)

• Traducción dinámica de páginas

• Inserción de anuncios

• Compresión de HTML

• Firma de páginas

31

Protección en el servidor de correo

VS API Virus Scanning API 2.0 es un interfaz de llamadas a

librerías de comprobación de contenido para inspeccionar los ficheros adjuntos. Diseñada para MS Exchange.

Antivirus de Correo Otra opción es instalar el antivirus en el propio servidor

de correo, integrándose con la aplicación (normalmente Microsoft Exchange o Lotus Notes) para inspecionar los los ficheros adjuntos (attachments)

32

Protección en el servidor de correo

Exchange Information Store ServiceExchange Information Store Service

Vendor Virus Vendor Virus Scanning DLLScanning DLLVendor Virus Vendor Virus Scanning DLLScanning DLL

Virus Virus Scanning Scanning

API 2.0API 2.0

Virus Virus Scanning Scanning

API 2.0API 2.0

InboundInbound

OutboundOutbound

MessageMessageSave/UpdateSave/Update

MessageMessageAccessAccess

GlobalGlobalScanningScanning

QueueQueue

GlobalGlobalScanningScanning

QueueQueue

Information Information StoreStore

Messages Messages and and

AttachmentsAttachments

Background Background Scanning ThreadScanning Thread

Background Background Scanning ThreadScanning Thread

Stream Stream FileFile

MIME MIME ContentContent

Online Scanning Online Scanning Thread PoolThread Pool

Online Scanning Online Scanning Thread PoolThread Pool

NotificationsNotificationsNotificationsNotifications

ClientsClients

VS API

33

Protección en el servidor de correo

Vulnerabilidades

CAN-2002-1121 El ataque "Message Fragmentation and Reassembly" (RFC2046, sección 5.2.2.1) logra saltarse el filtrado de contenidos, mediante la división del mensaje en varios bloques, simplemente con un botón. (http://www.securiteam.com/securitynews/5YP0A0K8CM.html)

Ejemplo:

MIME-Version: 1.0

Content-type: message/partial; id="ABC@host.com"; number=1; total=2

Content-type: application/binary

Content-transfer-encoding: base64

CÓDIGO

MIME-Version: 1.0

Content-type: message/partial; id="ABC@host.com"; number=2; total=2

MALIGNO

MIME-Version: 1.0

Content-type: application/binary

Content-transfer-encoding: base64

CÓDIGO

MALIGNO

34

Protección en servidores de ficheros

35

Protección en puesto de usuario

UsuariosHay una multitud de fabricantes para antivirus de usuario

• AVP (Kaspersky Labs) es el elegido por los VXcoders

• PANDA presta uno de los mejores soportes (24x7)

• Network Associates – MacAfee es el más vendido

• Symantec – Norton Antivirus es el más intuitivo

• Trend Micro PC-cillin es el que yo uso ;-)

Comparativa Hispasec• http://www.hispasec.com/directorio/laboratorio/articulos/

Comparativa2001/productosanalizados/10.html

36

Protección en puesto de usuario

Antivirus CorporativosNecesidad de aplicación y despliegue distribuidos con

una gestión y actualización de forma centralizada.

La Consola Centralizada

• Actualización de versiones

• Actualización de patrones

• Prevención de epidemias

• Adecuación a la Política

37

La consola centralizada

JapanHeadquarters

Taiwan BU

Australia BU

USA BU

Scandinavia BU

Italy BUGermany BUFrance BU

Argentina BU

China BU

Korea BU

Hong Kong BU

Brazil BU

Business UnitHeadquarters

Philippine Virus Research and Development CenterR&D

Virus R&D Center

UK BU

Spain BU

Mexico BU

Actualización antes de la infecciónActualización antes de la infección• Antivirus a varios niveles con capacidad Gigabit

• Actualizaciones permanentes y centralizadas• Antivirus a varios niveles con capacidad Gigabit

• Actualizaciones permanentes y centralizadas

38

La Política Corporativa de Antivirus

Política Antivirus

• Ejecutar siempre el antivirus corporativo y mantener actualizados tanto el engine como los patrones de virus.

• Nunca abrir ficheros o macros de remitente desconocido, no confiable sospechoso. Borrarlos y vaciarlos de la papelera.

• Eliminar el spam, cadenas de correo y correo basura similar, sin reenviar; de acuerdo con la Política Corporativa de Uso Aceptable de e-mail

• Nunca descargar ficheros de fuentes sospechosas. En la media de lo posible, ejecutar solamente los programas descargados de la URL original o de la intranet corporativa.

• Evitar las carpetas compartidas salvo que sea requisito indispensable para el negocio.

39

La Política Corporativa de Antivirus

Política Antivirus

• Pasar SIEMPRE el antivirus a los disquetes y discos USB o Iomega ZIP

• Hacer copia de seguridad regular de los datos críticos y de las configuraciones, y almacenarlos en lugar seguro.

• En caso de conflicto de pruebas de apliaciones con el antivirus, pasar primero el antivirus pasa asegurar la máquina antes de deshabilitarlo. Pasar posteriormente la prueba e inmediatamente volver a activar el antivirus.

• Comprobar esta política frecuentemente, debido a que prácticamente a diario se descubren nuevas formas de infección que podrían requerir un cambio en el procedimiento.

40

Recursos

http://www.alerta-antivirus.es/

http://www.seguridadenlared.org/

41

La VX Scene

“29A Labs”

“International Knowledge eXchange”

42

Los Virus

Virus clásicos– Virus: código ejecutable replicable

– Normalmente destructivo

– Se propaga normalmente infectando ejecutables binarios

Gusanos (worms)– Código autoreplicable

– No siempre destructivo

– Se aprovecha de vulnerabilidades de las aplicaciones

43

Los Virus

Troyanos (trojan horses)– Código camuflado en programas válidos

– El usuario es incitado a ejecutarlos

– Suelen incluir rutinas de control remoto

Ejemplos: NetBus o BackOrifice

Software Vandálico (malware)– Virus autoejecutables, escrito ActiveX, Applets

Java, plug-ins autoejecutables o código DHTML.

– Usualmente aprovechan bugs del cliente de correo o del cliente de navegación

44

El futuro

•Microsoft Authenticode* Digital ID

– In conjunction with Microsoft's Authenticode technology, this enables you to digitally sign 32-bit .exe (PE files), .cab, .dll and .ocx, files.

• Netscape Object Signing* Digital ID

– In conjunction with Netscape's signing tools, this enables you to digitally sign applets and other Java code, JavaScript scripts, plug-ins or any JAR format file.

• Microsoft Office 2000 and VBA Signing Digital ID

– Allows software publishers to digitally sign Macros and VBA objects.

• Macromedia Shockwave Digital ID

– Allows software publishers to digitally sign the content created with Macromedia Director 8 Shockwave Studio or Macromedia Flash.

• Marimba Channel Signing Digital ID

– Allows software publishers to digitally sign the content which they distribute on the Castanet Channel.

• Sun Java Signing Digital ID

– Allows software publishers to digitally sign the content created with Java SDK.

Certificados digitales de código

45

El futuro

Componentes de software distribuido, verificables mediante certificados X.509 por el propio Sistema Operativo, previo a cada ejecución

– Se asegura que el software proviene del proveedor de software

– Protege la aplicación de modificaciones o infecciones

– Consigue una verificación antes de ejecutarse, incluso en el propio sistema operativo

– Actualmente existe para drivers hardware (Windows XP) y para Software Publishing Certificates (SPCs)

46

El futuro

Bucarest, 10 de junio de 2003

GeCAD Software anuncia el acuerdo definitivo con por el cual Microsoft Corp. adquiere su tecnología RAV Antivirus para integrarla en sus productos.

47

Las nuevas amenazas

1. Primera generaciónVirus: Viernes 13, Chernobyl, Melissa, I Love you, SirCam, Klez

2. Segunda generaciónGusanos: CodeRed, Nimda

3. Tercera generaciónNetworms: Slammer, Blaster, Welchia

4. Cuarta generaciónEl futuro: Warhol, Uberworm, Distributed Virus

48

Las nuevas amenazas

Propagación

“How to 0wn the Internet in Your Spare Time”

• Escaneo topológico

• Escaneo de permutación coordinada

49

Las nuevas amenazas

Perfiles de comportamiento

Captura de ataques lentos

Sistemas de Alerta Temprana

Protección por múltiples sensores

50

Conclusiones

Los virus son malos malísimos

Los antivirus son buenos buenísimos

La complejidad en la protección antivirus se encuentra en el diseño de la arquitectura y la integración en la infraestructura

51

DAVINCI Consulting Tecnológico, s.a.u.

Parque Empresarial Alvento.

Vía de los Poblados, 1 Edificio A 6ª planta

28033 Madrid

Tlf: 902 464 546 Fax: 91 561 3175

htttp://www.dvc.es

Gracias

Presentación disponible en www.ausejo.net

Preguntas y respuestas