Trabajo Final de Seguridad
Content
UNIVERSIDAD NACIONAL AGRARIA DE LA SELVA
FACULTAD DE INGENIERIA EN INFORMATICA Y SISTEMAS
CURSO DE ACTUALIZACIÓN PROFESIONAL: SEGURIDAD EN
REDES INFORMÁTICAS
Teoría e
Implementación de
Gateway Anti - Spam.
-
Alvia Gavidia Soto.
Angel Huaripata Sanchez.
Marco Sauñe Montalvo.
Miguel Angel Timoteo del Águila.
2
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
TABLA DE CONTENIDOS
¿Qué ES EL SPAM?5
¿Por qué ES MALO EL SPAM?6
Usa recursos de otros.6
. Hacen perder tiempo.7
Roban recursos.7
Se engaña al cliente.8
Suele ser ilegal.8
ESTADISTICA DEL PROBLEMA DE LOS SPAMS8
MARCO LEGAL PERUANO SOBRE LOS ATAQUES SPAM11
ART. 5º.- Correo electrónico comercial no solicitado. Todo correo
electrónico comercial, promocional o publicitario no solicitado, originado
en el país, debe contener:o11
ART. 8º.- Derecho a compensación pecuniaria. El receptor de correo
electrónico ilegal podrá accionar por la vía del proceso sumarísimo
contra la persona que lo haya enviado, a fin de obtener una
compensación pecuniaria, la cual será equivalente al uno por ciento
(1%) de la Unidad Impositiva Tributaria por cada uno de los mensajes
de correo electrónico transmitidos en contravención de la presente
ley, con un máximo de dos (2) Unidades Impositivas Tributarias.11
TECNICAS DE SPAM12
¿Qué ES UN aNTISPAM?14
Definición14
Soluciones Antispam15
Soluciones Basados en Reglas15
Ventajas15
Desventajas15
Ejemplo Despliegue en Pasarela16
16
Ventajas17
Desventajas17
Ejemplo de despliegue en pasarela17
Implementar Gestión de Ancho de Banda18
Ventajas18
Desventajas18
19
Detección de Spam19
3
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Técnicas de usuarios finales20
Dirección munging20
Evitar responder al Spam21
Formularios electrónicos de contacto22
Desactivar HTML en correo electrónico22
Tener disponibles varias direcciones de correo electrónico23
Contraseñas buenas23
Denunciar el Spam23
¿Qué ES UN GATEWAY-ANTISPAM?
Definición
Ventajas
Gateway Antispam Propietarios
IronPort Series C
IronPort SenderBase
Identifica Amenazas
Tener una Visión Completa
Solicitar la Más Alta Calidad de Datos
IronPort Image Analysis
Características:
Phishing - El gran Problema
Prevención de Pérdida de Información / Data Loss Prevention
-DLP Defensa Antispam
Defensa ANTI-VIRUS
Virus OutBreak Filters
Tecnología de Encriptación PXE
Tratamiento del Contenido
Principales Funcionalidades
Gestión, Supervisión y Reporting
Administración Centralizada
IronPort Versus Otros Productos del Mercado
Implementación de IronPort Serie C AntiSpam
Sysmantec Brightmail Gateway
Definición
Características de Symantec Brightmail AntiSpam
Detecta más Spam
Con precisión
Con bajo nivel de administración
Protección de múltiples niveles contra el Spam
Administración flexible y potente
Otras funciones
Implementación de Symantec Brightmail Gateway
4
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Comparando IronPort Anti-Spam y Symantec Brightmail Anti-Spam
Resultados de Tasa de Captura
Resultados de Tasa de Falsos Positivos
Resultados del Desempeño
Sinopsis
Conclusiones
Referencias bibliograficas
INTRODUCCIÓN
La llegada de Internet a nuestras vidas ha significado una serie de
beneficios de los que mucho se ha hablado y se habla. Pero este enorme
crecimiento de la red también ha acarreado una serie de problemas para
sus usuarios, de los que poco se sabe. Para ellos, se está transformando en
moneda corriente verse obligado a recibir en su correo electrónico un
verdadero bombardeo de ofertas de todo tipo.
Esta clase de Correo Electrónico Comercial No Solicitado es conocido en
Internet como "Spam" y se está transformando en un problema serio para
quienes se comunican a través de la red y para quienes brindan servicios
de acceso a Internet.
5
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
1. ¿QUÉ ES EL SPAM?
"Spam" es la denominación usada en Internet para el Correo Electrónico
Comercial No Solicitado que está inundando la red. La modalidad que
utilizan estos comerciantes virtuales es enviar un mismo correo electrónico
a grandes listados de usuarios en forma simultánea. El "Spam" cuesta muy
poco dinero a quien lo envía, porque la mayoría de los costos son pagados
por los proveedores del sistema de Internet y los propios receptores del
mensaje. La mayoría del "Spam" es publicidad comercial, generalmente de
productos o servicios de calidad dudosa, esquemas para hacerse rico
rápido, o para promocionar entradas a sitios de poca relevancia
(generalmente promocionando pornografía u otras propuestas ilegales).
Los Spam son mensajes no solicitados, habitualmente de tipo publicitario,
enviados en cantidades masivas. Aunque se puede hacer por distintas vías,
la más utilizada entre el público en general es la basada en el correo
electrónico
Otras tecnologías de internet que han sido objeto de Spam incluyen grupos
de noticias usenet, motores de búsqueda (spamdexing, para crear la ilusión
de popularidad en ciertas páginas Web), wikis y blogs (blog falso).
El Spam también puede tener como objetivo los juegos en línea, teléfonos
móviles a través de mensajes de texto (Spam sms), los sistemas de
mensajería instantánea (Spam) y ahora la telefonía IP (Spit).
Un mensaje electrónico es “Spam” si:
6
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
La identidad personal del destinatario y el contexto son irrelevantes por
que el mensaje es aplicable por igual a muchos otros destinatarios; y
El destinatario no ha dado permiso de forma demostrable, deliberada,
explícita y sin revocatoria para que se le envíe –el mensaje; y
La transmisión y recepción del mensaje aparenta para el destinatario
que provee un beneficio desproporcionado para el remitente.
Figura 1: ¿Cómo es un Spam?
Fuente: Conferencias FIST.Titulo: Técnicas Anti-Spam.Pagina Nº 17.
Autor: Germinus
2. ¿POR QUÉ ES MALO EL SPAM?
2.1 Usa recursos de otros.
"Spam" es una forma única de vender publicidad no deseada, que
obliga al receptor a pagar por recibirla, mucho más de lo que le cuesta al
remitente enviarla. Para recibir un "Spam", el usuario tiene que pagar por
un servicio de Internet y además por el uso de la línea telefónica para
realizar su conexión. Por otra parte, el tráfico de centenares de miles de
correos que se ejecuta de una sola vez y casi sin costo para el
remitente, congestiona el uso de los procesadores de las computadoras
7
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Seguridad en
Redes
Informáticas
Asunto: Filtrado de Anti-Spam
que prestan los servicios de Internet. Si continuara aumentando
indefinidamente el tráfico del "Spam", los proveedores de servicios de
Internet
tendrían
que
enfrentar
inversiones
que
encarecerían
ampliamente los costos del servicio.
2.2 . Hacen perder tiempo.
Muchos mensajes tienen instrucciones que piden que el receptor
envíe un mensaje para remover su nombre de la lista de "Spam". Sin
considerar el absurdo de que alguien tenga que hacer algo para salir de
una lista de la que nunca quiso formar parte, este pedido es
completamente imposible si el volumen aumenta. A menos que los títulos
sean tan obvios como: "Haga dinero rápido", el usuario siempre debe
perder tiempo en abrir el correo y leer una parte para darse cuenta que
es un "Spam", sin contar el que también habría que perder para que den
de baja su nombre de la lista. Si solamente el 1% de los usuarios de
Internet realizara un "Spam" al día al resto de los usuarios, estaríamos
recibiendo más de 1000 "Spams" por día. En ese caso, el tiempo perdido
sería enorme.
2.3 Roban recursos.
Es habitual que la dirección de correo de donde proviene el "Spam"
no sea la misma a la que hay que escribir para comprar sus productos.
Esto es así porque la mayoría de las empresas que envían "Spam", lo
hacen violando sistemas inocentes de terceros. Para evitar costos y los
bloqueos contra "Spam", usan una técnica de "pegar y correr" y lanzan
su correo desde diferentes sitios. Esto ocurre porque es relativamente
fácil violar un sitio para usar su canal de salida y utilizarlo con este
propósito. Los sitios utilizados para este propósito tienen luego todo tipo
de problemas, ya que son rechazados por gran parte de la Internet por
ser fuente de "Spam".
8
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
2.4 Se engaña al cliente.
El costo de anunciar de este modo es tan bajo, que cualquier oferta
justifica el esfuerzo. Por lo tanto, en Internet se acentúan todos los
problemas de abuso al consumidor con ofertas engañosas o
directamente falsas, de productos o servicios que suelen ser ficticios
("hágase rico rápido", "obtenga un celular gratis", "Bill Gates le regalará
dinero", etcétera). Se apunta a la búsqueda de personas que, por no
estar correctamente informadas de este tipo de prácticas, pueden caer
en los trucos que se les presentan. Como regla general, el tipo de
producto que se ofrece exclusivamente por "Spam" es lo suficientemente
malo como para que no justifique la inversión de una campaña comercial
normal para lanzarlo.
2.5 Suele ser ilegal.
El "Spam" juega con la disparidad de los diferentes marcos legales
de protección al consumidor que existen en los países y la dificultad para
ubicar a quien los envía, convirtiéndose así es la mejor vía para
promocionar productos o servicios ilegales o rechazables, como cadenas
de dinero, acceso a pornografía, difusión de pornografía infantil y otros.
Por otra parte, las prácticas habituales de recolección y tráfico de
direcciones se basan en el engaño a los clientes y en falsas
promociones para conseguir direcciones de usuarios. La existencia de
un mercado de direcciones de usuarios para el "Spam" ha abaratado
enormemente la posibilidad de diseminar virus de todo tipo.
3. ESTADISTICA DEL PROBLEMA DE LOS SPAMS
Figura 2: Distribución de servidores por MTA
9
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente: Red Cientifica Peruana.Titulo: Implicacias del
Spam.Pagina Nº 12 Autor: Jack Daniel Caceres Meza
Figura 3: Host que envían Vs. Hosts reportados como Spam
Fuente: Red Cientifica Peruana.Titulo: Implicacias del
Spam.Pagina Nº 13 Autor: Jack Daniel Caceres Meza
Figura 4: E-Mail enviado Vs. E-Mail reportado como spam
10
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
DAY
Fuente: Red Cientifica Peruana.Titulo: Implicacias del
Spam.Pagina Nº 14 Autor: Jack Daniel Caceres Meza
Figura 5: Spam por Países
Fuente: Conferencias FIST.Titulo: Tecnicas Anti-Spam.Pagina Nº
10. Autor: Germinus
Figura 6: Spammers por Países
11
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente: Conferencias FIST.Titulo: Técnicas Anti-Spam.Pagina
Nº 11. Autor: Germinus
4. MARCO LEGAL PERUANO SOBRE LOS ATAQUES SPAM
4.1. ART. 5º.- Correo electrónico comercial no solicitado. Todo correo
electrónico comercial, promocional o publicitario no solicitado,
originado en el país, debe contener:
La palabra "publicidad", en el campo del "asunto" (o subject) del
mensaje.
Nombre o denominación social, domicilio completo y dirección
de correo electrónico de la persona natural o jurídica que emite
el mensaje.
La inclusión de una dirección de correo electrónico válido y
activo de respuesta para que el receptor pueda enviar un
mensaje para notificar su voluntad de no recibir más correos no
solicitados o la inclusión de otros mecanismos basados en
internet que permita al receptor manifestar su voluntad de no
recibir mensajes adicionales.
4.2. ART. 8º.- Derecho a compensación pecuniaria. El receptor de
correo electrónico ilegal podrá accionar por la vía del proceso
12
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
sumarísimo contra la persona que lo haya enviado, a fin de obtener
una compensación pecuniaria, la cual será equivalente al uno por
ciento (1%) de la Unidad Impositiva Tributaria por cada uno de los
mensajes de correo electrónico transmitidos en contravención de la
presente ley, con un máximo de dos (2) Unidades Impositivas
Tributarias.
5. TECNICAS DE SPAM
Algunas de las técnicas de propagación de Spam por la Internet:
Envío de correo - verificación de la recepción.
Open relay, open proxies.
Troyanos y computadoras zombis.
Suplantación (spoofing), camuflaje (munging).
Ataques del tipo DDoS (distributed denial-of-service) contra servicios
DNSBL y otras fuentes anti-spam.
Emplear configuraciones deficientes de servicios DNS.
Emplear dominios caducados.
NDR falso (notificación de entrega fallida -Non-Delivery Report).
Mensajes con sólo un archivo con extensión ‘.jpg’ o ‘.gif’.
Envío alfabético (mensajes enviados a grupos en orden alfabético).
Envío horizontal (muchos mensajes enviados a muchos grupos).
Envío vertical (muchos mensajes enviados a un grupo).
Crosspost (un mismo mensaje se envía una vez a varios grupos).
Multi-Post (un mismo mensaje se envía varias veces a varios
grupos).
Hash Buster (contenido válido mezclado con contenido errático).
Payload (la parte del Spam que realmente se difunde).
División de la línea de Asunto del mensaje mediante falsos saltos de
línea
Subject: =?utf-8?q?Drogas Idénti –cas con p?=
=?utf-8?q?equeño valor monetar?=
=?utf-8?q?io!?=
Uso de caracteres nulos (codificación de tipo Quoted-Printable)
<=00H=00T=00M=00L=00>=00<=00H=00E=00A=00D=00>=00=0D=00=
0A=00<=00M=00E=00=
13
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Permutar letras en las palabras usadas. El mensaje sigue siendo
legible para el receptor, pero los filtros no reconocen las palabras
usadas
Fnilament lorgé predre peso y me aelgro basatnte
Invertir el texto, utilizando la anulación derecha-a-izquierda ( righttoleft override ) de Unicode, expresada como entidades HTML
(‮ y ‬)
Your B‮na‬k C‮dra‬
Link‮ni‬g
Encapsular una etiqueta <map> con una de tipo HREF, de tal forma
que en lugar de una URL maliciosa aparezca otra legítima:
<A HREF="<URL_LEGÍTIMA>">
Uso de caracteres ASCII para “dibujar” el contenido del mensaje.
Figura 7: Spam ASCII
Fuente: IronPort System. Titulo: El E-Mail Seguro Subiendo
el Nivel. Página Nº 7. Autor: Mario Velarde
Uso de etiquetas HTML incorrectas.
Codificación de URLs.
Empleo de entidades HTML para ocultar determinadas letras
Uso de tinta invisibles.
Incluir el mensaje de spam como archivo adjunto en otro mensaje
válido.
Uso de CSS (Cascading Style Sheets) en los mensajes de Spam
para ocultar determinadas palabras o partes del mensaje
Spam con imagen 2.0.
14
Teória e Implementación de Gateway AntiSpam
Curso de
Actualización
Profesional
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Figura 8: Spam con imagen 2.0
Fuente: IronPort System. Titulo: El E-Mail Seguro Subiendo el
Nivel. Página Nº 7. Autor: Mario Velarde
6. ¿QUÉ ES UN ANTISPAM?
6.1.
Definición
El Antispam es lo que se conoce como método para prevenir el
"correo basura" (Spam = correo electrónico basura).
Tanto los usuarios finales como los administradores de sistemas de
correo electrónico utilizan diversas técnicas contra ello. Algunas de
estas técnicas han sido incorporadas en productos, servicios y
software
para aliviar la carga que cae
sobre usuarios y
administradores. No existe la fórmula perfecta para solucionar el
problema del Spam por lo que entre las múltiples existentes unas
funcionan mejor que otras, rechazando así, en algunos casos, el
correo deseado para eliminar completamente el Spam, con los
costes que conlleva de tiempo y esfuerzo.
Las técnicas antispam se pueden diferenciar en cuatro categorías:
las que requieren acciones por parte humana; las que de manera
automática son los mismos correos electrónicos los administradores;
las que se automatizan por parte de los remitentes de correos
electrónicos; las empleadas por los investigadores y funcionarios
encargados de hacer cumplir las leyes.
15
Curso de
Actualización
Profesional
6.2.
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Soluciones Antispam
Para combatir el problema en una organización se pueden
plantear distintas alternativas en función de los requisitos de ésta:
Filtrar (se puede hacer en múltiples puntos)
Desplegar una solución de anti-Spam basada en reglas
(heurísticos)
Desplegar una solución de anti-Spam basada en aprendizaje
estadístico.
Controlar (debe hacerse en la entrada y salida)
Implementar gestión y control de su ancho de banda. Revisión
periódica.
Estas alternativas pueden utilizarse de forma conjunta o
separada para reducir el problema derivado del Spam.
6.2.1. Soluciones Basados en Reglas
Una de las implementaciones iniciales de control de Spam es
la introducción de sistemas basados en reglas que determinan qué es
Spam y qué no lo es. Habitualmente las reglas están basadas en
Análisis del origen del Spam (direcciones IP o direcciones)
para determinar si es lícito:
- Listas negras: Real-Time Block Lists (RBLS), DNS
-
Block Lists (DNSBLS) y XBLs (Xploit bot lists)
Origen del correo (validar el dominio: SPF, Yahoo!
Domain Keys)
Análisis del contenido:
- De las cabeceras (permite rechazar antes de encolar)
- En el cuerpo del mensaje (una vez encolado)
Básicamente, si cumple un número suficiente de las reglas se califica
como Spam.
6.2.1.1. Ventajas
- La tasa de falsos positivos es relativamente baja
-
(aunque no cero)
Pueden adaptarse manualmente al Spam recibido.
6.2.1.2. Desventajas
16
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
-
Seguridad en
Redes
Informáticas
Las reglas deben actualizarse de forma periódica.
Los Spammers siempre intentarán saltárselas.
Los bloqueos con RBLS pueden bloquear sistemas
legítimos (pero mal configurados) ¿quién los gestiona?
(SPEWS).
6.2.1.3. Ejemplo Despliegue en Pasarela
- Básicamente una solución basada en reglas es un
motor de inspección adicional previo a la entrada de
-
-
correo (relay adicional)
Habitualmente requiere “hablar” con Internet para:
Acceder a RBLS o DNSBL
Descargar bases de datos de reglas.
Además si es el primer punto puede rechazar sin
encolar (ej: greylisting).
Figura 9: Ejemplo de Despliegue en Pasarela
Fuente: Conferencias FIST.Titulo: Técnicas Anti-Spam.Página Nº 22.
Autor: Germinus
6.2.2. Solución Basada en Análisis Estadístico
Para solventar algunas de las desventajas de los sistemas
basados en reglas fijas se han diseñado sistemas basados en
aprendizaje estadístico:
Habitualmente basados en filtros bayesianos.
Generan reglas basadas en mensajes
clasificados como Spam.
previamente
17
Teória e Implementación de Gateway AntiSpam
Curso de
Actualización
Profesional
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Aplican probabilidades para determinar si un mensaje es o no
Spam.
Son muy fáciles de implementar en los MUAs y se están
incluyendo de “serie” en muchos clientes de correo (Mozilla
Thunderbird, Outlook, etc.)
6.2.2.1. Ventajas
- Permite una adaptabilidad mayor al Spam que recibe la
-
organización.
Puede detectar características “no evidentes” en el
-
Spam.
Puede detectar Spam para el que no exista una regla
-
definida.
La adaptación de los filtros puede hacerse de forma
automática y sin intervención.
6.2.2.2. Desventajas
- Se deben alimentar con una “buena” fuente de Spam.
- Habitualmente tienen sólo en cuenta el contenido de
-
los mensajes.
Puede ser difícil generar reglas para mensajes
basados
-
en
contenido
no
analizable
(imágenes
embebidas, Java Script)
También es posible contaminarlas.
6.2.2.3. Ejemplo de despliegue en pasarela
Es necesario “alimentar” a la herramienta para generar las
reglas:
-
Separar mensajes con Spam manualmente.
Establecer buzones para direcciones de correo falsas
que los Spammers intentan utilizar.
Figura 10: Ejemplo de Despliegue en Pasarela
18
Teória e Implementación de Gateway AntiSpam
Curso de
Actualización
Profesional
Seguridad en
Redes
Informáticas
Asunto: Filtrado de Anti-Spam
Fuente: Conferencias FIST.Titulo: Técnicas Anti-Spam.Página Nº
25. Autor: Germinus
6.2.3. Implementar Gestión de Ancho de Banda
En último término el Spam es un problema que consume
recursos (spool de disco, comunicaciones, etc.) y, aunque se corte en
la
pasarela
un
Spammers
puede
colapsar
la
organización
consumiendo todos sus recursos. La única solución en este
escenario es introducir sistemas de gestión de ancho de banda:
Priorizar las comunicaciones de los servidores de correo de la
organización con otros “habituales”.
Controlar el tráfico de correo y detectar fácilmente un
consumo excesivo de recursos.
Dos posibilidades: sistema genérico de gestión o throttling de
correo.
6.2.3.1. Ventajas
- Permite controlar en tiempo real el consumo de
-
recursos y actuar en consecuencia.
(Si es genérico) Puede utilizarse para gestionar otros
-
servicios.
Permite identificar rápidamente los servidores con los
que la organización se comunica habitualmente
-
(proveedores de servicio)
Puede ralentizar los ataques y evitar así el consumo de
recursos
6.2.3.2. Desventajas
19
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
-
La revisión del consumo debe ser permanente, aunque
-
se pueden definir políticas.
(Si es genérico) Se trata de un recurso más orientado a
la gestión de comunicaciones que a la gestión del
servicio (distintas personas).
Un sistema de gestión de ancho de banda para controlar el correo
estaría conectado entre el router de salida y los sistemas de
cortafuegos de la organización. Se configuraría para priorizar
servidores de correo en la entrada y salida.
Figura 11: Despliegue de la Gestión de Ancho de Banda
Fuente: Conferencias FIST.Titulo: Técnicas Anti-Spam.Página Nº
27. Autor: Germinus
6.3. Como Evitar el Antispam
6.3.1. Detección de Spam
El usuario suele tender a ignorar los Spam sin poner ningún
tipo de medio para evitarlo, por la sencilla razón de que desea que le
lleguen todos los correos electrónicos, ya sean "buenos" o "malos",
de esa manera tiene la seguridad de que no pierde (no se le bloquea)
ningún correo de los que se suelen considerar "buenos". Este hecho
de saber diferenciar entre los correos buenos de los malos es el
fundamento de los programas o sistemas Antispam. Mientras algunos
sistemas permiten a los usuarios finales tener cierto control sobre
este equilibrio, la mayoría de las técnicas suelen tener errores por
donde termina entrando la basura, por ejemplo, existen Antispam
cuya técnica consiste en hacer perder gran cantidad de correos
20
Teória e Implementación de Gateway AntiSpam
Curso de
Actualización
Profesional
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
electrónicos basura con la finalidad de reducir el número de correos
legítimos.
La detección de Spam basado en el contenido del mensaje de correo
electrónico, ya sea mediante la detección de palabras clave como
"viagra" o por medios estadísticos, es muy popular. Estos métodos
pueden ser muy precisos cuando se sintoniza correctamente a los
tipos de correo legítimo que una persona recibe, pero también
pueden cometer errores tales como la detección de la palabra clave
"cialis" en la palabra "especialista". El contenido tampoco determina
si el Spam estaba destinado a una dirección particular o bien de
distribución masiva, las dos principales características de Spam. Un
ejemplo podría ser: si un amigo le envía una broma que menciona
"viagra", los filtros de contenido pueden marcarlo como Spam a pesar
de que no ha sido enviado con ningún tipo de maldad.
Las agrupaciones más populares son las conocidas como listas
negras, que son listas de direcciones IP de Spammers conocidos,
que abren enlaces, etc, en resumen, zombis de Spam.
También existen los spamtraps, que son direcciones de correo
electrónico inválidas o que no se utilizaron durante mucho tiempo y
que se utilizan para recoger correo basura.
6.3.2.
Técnicas de usuarios finales
Existen técnicas que los usuarios finales pueden utilizar
para restringir la disponibilidad de sus direcciones de correo
electrónico, la reducción o la prevención de su atractivo para el
Spam.
6.3.3.
Dirección munging
Direccionamiento anónimo, o con un nombre y dirección
falsa, es una manera de evitar la dirección de correo electrónico
recolectora, aunque los usuarios deben asegurarse de que la
dirección falsa no es válida. Los usuarios que quieren recibir correo
21
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
legítimo podrán alterar sus preferencias en sus cuentas de manera
que los usuarios puedan entenderlo, pero los Spammers no pueden.
Por
ejemplo:
podría
joe
@
[email protected].
example.net
La
dirección
renombrado
munging,
a
sin
embargo, puede provocar respuestas legítimas a ser perdido. Si la
dirección del usuario es inválida, debería aparentar estar activa, o ser
de otra persona o algún servidor. Otras formas para evitar este
munging es permitiendo a los usuarios ver la dirección real, pero
ocultarlo al correo electrónico recolector con métodos tales como la
visualización de la totalidad o parte de la dirección de correo
electrónica en páginas webs como una imagen, un logotipo de texto
reducido a su tamaño normal usando CSS en línea, o como texto
mezclada con el orden de los caracteres restaurado usando CSS.
6.3.4.
Evitar responder al Spam
Los Spammers solicitan a menudo respuestas respecto al
contenido de sus mensajes, -incluso admiten las respuestas como
"No me spamees"- como la confirmación de que una dirección de
correo electrónico es válida. Del mismo modo, muchos mensajes de
Spam contienen enlaces o direcciones que el usuario se dirige a
seguir para ser removido de la lista de correo de Spammers. En
casos extremos, los spams-combatientes han puesto a prueba esos
vínculos, confirmando con ello que no conducen a la dirección del
destinatario, la redirección, en todo caso, conducen a más Spam.
Las direcciones de los remitentes son a menudo falsificadas en
mensajes de Spam, incluyendo el uso del destinatario la propia
dirección como la dirección del remitente falsificado, con el fin de
responder al Spam que pueda resultar en entregas o no podrá llegar
a inocentes usuarios de correo electrónico cuya dirección han sido
objeto de abusos.
En Usenet, es ampliamente considerado aún más importante para
evitar responder al Spam. Muchos proveedores de software tienen
22
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
que buscar y destruir los mensajes duplicados. Alguien puede ver un
Spam y responder a el antes de que sea cancelado por su servidor,
eso puede tener un efecto de reposting para ellos; al no ser un
duplicado, la copia reposted durará más tiempo.
6.3.5. Formularios electrónicos de contacto
Los formularios electrónicos de contacto permiten a los
usuarios mediante el envío de mensajes remitir su correo electrónico,
rellenando los formularios en un navegador web. Al solicitar el
servidor web una serie de datos, también se puede facilitar con ello la
transmisión de una dirección de correo electrónico. El usuario nunca
ve la dirección de correo electrónico. Los formularios de contacto
tienen el inconveniente de que requieren de un sitio web que apoya a
los scripts del lado del servidor. También son incómodas al remitente
del mensaje ya que no son capaces de utilizar sus clientes preferidos
de correo electrónico. Por último, si el software utilizado para ejecutar
los formularios de contacto que está mal diseñado puede convertirse
en herramientas de Spam en su propio derecho. Además, muchos
Spammers han adoptado para sí el uso de formularios de contacto
para enviar Spam a los destinatarios.
6.3.6. Desactivar HTML en correo electrónico
Muchos programas de correo modernos incorporan la
funcionalidad del explorador de Web, tales como la visualización de
HTML, URL, y las imágenes. Esto puede exponer al usuario al ataque
incluso con las imágenes Spam. Además, el Spam escrito en HTML
pueden contener fallos web que permite a los Spammers verificar que
la dirección de correo electrónico es válida y que el mensaje no ha
sido atrapado en los filtros de Spam. Los programas compilados en
JavaScript se pueden utilizar para dirigir el navegador Web del
usuario a una página de publicidad, o para hacer el mensaje de
Spam difícil de cerrar o eliminar. Los mensajes de Spam evitan los
ataques contra las vulnerabilidades de seguridad en el renderizador
23
Teória e Implementación de Gateway AntiSpam
Curso de
Actualización
Profesional
Seguridad en
Redes
Informáticas
Asunto: Filtrado de Anti-Spam
de HTML, el uso de estos agujeros para instalar el software espía.
(Algunos de los virus son sufragados por los mismos mecanismos).
Los
clientes
de
correo
electrónico
que
no
se
descarga
automáticamente y muestran HTML, imágenes o archivos adjuntos,
tienen menos riesgos de ser spameados, al igual que los clientes que
se han configurado para no mostrar estos por defecto.
6.3.7. Tener disponibles varias direcciones de correo electrónico
Muchos usuarios de correo electrónico tienen a veces la
necesidad de dar su dirección a un sitio sin tener la garantía absoluta
de que el sitio no enviará Spam. Una forma de mitigar este riesgo
está en proporcionar una dirección de correo electrónico temporal
que remite los correos a la dirección de su cuenta real, que el usuario
puede desactivar o abandonar. Las direcciones se pueden manipular
manualmente, haciendo que se deshabiliten después de un tiempo o
también deshabilitándola después de un cierto número de mensajes
transmitidos. Los sitios que no actúan adecuadamente este tipo de
direcciones se encuentran en estado de ilegalidad.
6.3.8. Contraseñas buenas
Algunos sistemas solicitan contraseñas reales de remitentes
para así infundirles la confianza de que no se trata de un sitio que
utilizará
su
cuenta
para
realizar envíos de
correo
basura.
Normalmente la dirección de correo electrónico y su contraseña se
solicitan en una página web, la contraseña irá incluida en el "asunto"
del envío de correo electrónico. Estas contraseñas a menudo se
combinan con sistemas de filtrado, para contrarrestar el riesgo de que
un sistema de filtrado accidentalmente identifique una contraseña
como Spam de un mensaje.
6.3.9. Denunciar el Spam
La búsqueda de un Spammers del ISP y la falta de
información puede conducir al servidor spamer liquidado. Por
desgracia, suele ser difícil localizar al Spammers, y si bien existen
algunas herramientas en línea que ayudan, no siempre son las más
24
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
correctas. Ocasionalmente, los Spammers emplean sus propios
netblocks. En este caso, el abuso de contacto para el netblock el
Spammers puede ser sí mismo y puede confirmar su dirección.
Una herramienta útil y gratuita que puede utilizarse en la
presentación de informes de Spam está también disponible
(Complainterator). El
Complainterator
enviará
automáticamente
generados por una denuncia al secretario del Spam y el registrador
de dominio de sus servidores de nombres.
7. ¿QUÉ ES UN GATEWAY-ANTISPAM?
7.1.
Definición
Los Gateway Antispam permiten:
La gestión de cuentas de correo electrónico masivo no
solicitado para la frase crucial y las palabras claves dentro de
los contenidos.
Envíe correo electrónico masivamente gestión de palabras
para detectar el texto del correo electrónico masivo no
solicitado y filtra opción del texto para las mismas palabras.
Facultar y desactivar correo electrónico masivo no solicitado
inspecciona el id específico del remitente.
El bloqueo y filtro de mensajes de correo electrónico
masivamente el cual se bloquea en el portal de acceso.
7.2.
Ventajas
El proceso de analizar los correos en busca de Spam es
puesto fuera de nuestro servidor de correo, por lo que no
afecta el rendimiento de nuestro servidor de correo.
Se puede reemplazar fácilmente en caso de que se necesite
más potencia, sin tocar la configuración de nuestro servidor
de correo.
Se puede poner todo un pool, de servidores que se repartan
la carga del filtrado en caso de que nos enfrentemos a un alto
25
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
tráfico, sin que sea necesario cambiar la configuración de
nuestro server de correo.
Puede actuar con cualquier servidores de correo electrónico,
cómo sendmail, exim, postfix, qmail, Microsoft Exchange, etc.,
pues el filtrado se produce durante la sesión SMTP, no al
momento de hacer la entrega del correo al buzón.
7.3.
Soluciones de Gateway AntiSpam
7.3.1. Gateway Antispam Propietarios
7.3.1.1.
IronPort Series C
Creada por pioneros en la mensajería de Internet
procedentes de Hotmail, eGroups, Listbot y Yahoo, IRONPORT
SYSTEMS es hoy en día el primer proveedor de productos y
servicios de infraestructura y seguridad de correo electrónico.
IronPort ha desarrollado una familia de productos basados
en Appliances para Gateway de correo con alto desempeño y
sencillez de uso sin precedentes en el mercado, con un costo total
de propiedad (CTO) muy bajo y se constituyen por si en equipos
Mail Transfer Appliance (MTA) de alta Seguridad de GateWay.
Figura 12: Arquitectura Tecnológica de IronPort Serie C
26
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente: www.cisco.com Titulo:IronPort Modelos Serie C.Pagina
Nº 27. Autor: Company IronPort
Figura 13: La Visión del IronPort Serie C
Fuente: IronPort System. Titulo: El E-Mail Seguro Subiendo el
Nivel. Página Nº 09. Autor: Mario Velarde
Figura 14: IronPort Serie C Soluciones
27
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente: IronPort System. Titulo: El E-Mail Seguro Subiendo el
Nivel. Página Nº 11. Autor: Mario Velarde
7.3.1.1.1. IronPort SenderBase
La red SenderBase de IronPort provee una visión
sin precedentes de las amenazas a la seguridad en todo el
mundo, en tiempo real. SenderBase puede ser utilizado como
un "servicio de reporte de crédito" para correo electrónico,
ofreciendo información comprensiva que los proveedores de
Internet (ISPs) y las compañías pueden utilizar para diferenciar
remitentes legítimos de spammers y otros atacantes y le
permite a los administradores de correo electrónico tener una
clara visión sobre quién les envía correo.
7.3.1.1.1.1.
Identifica Amenazas
SenderBase recolecta información de 10
veces más redes que los sistemas de monitoreo de la
competencia, lo que se traduce en más del 25% del tráfico
web y de correo electrónico del mundo. Este volumen
provee una muestra de tamaño significativo, resultando en
la inmediata y precisa detección hasta de remitentes de
bajo volumen. Un altamente diverso grupo de más de
100,000 organizaciones, incluyendo las más grandes redes
del mundo, contribuyen a SenderBase dando información a
una increíble tasa de 5,000 millones de mensajes por día.
La red SenderBase ofrece a los administradores una
visibilidad de las amenazas de seguridad alrededor del
mundo en tiempo real sin precedentes.
7.3.1.1.1.2.
Tener una Visión Completa
28
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
La amplitud de la información es clave al
momento de determinar con certeza una amenaza de
seguridad. Si se observa un conjunto estrecho de datos se
pueden determinar falsos positivos. Por ejemplo, el
volumen es un parámetro muy interesante. Los altos
niveles de correo se correlacionan con el spam, sin
embargo hay instancias legítimas de alto volumen, como
los remitentes que envían alertas de noticias importantes.
Si el volumen fuera la única métrica, muchos correos
legítimos serían bloqueados. No obstante, si se examina el
volumen además de otros parámetros como las quejas de
los usuarios finales, las características zombis y el país de
origen, es posible obtener conclusiones más acertadas.
SenderBase examina el más amplio rango de datos en la
industria, con más de 90 parámetros acerca del tráfico de
correo electrónico y 20 parámetros acerca del tráfico Web.
Los parámetros que se rastrean incluyen volumen global de
envío, niveles de quejas, cuentas "spamtrap", si el DNS del
remitente resuelve adecuadamente y acepta correo de
regreso, país de origen, información de listas negras,
probabilidad de que los URLs aparezcan como parte de un
ataque de spam o virus, estatus de Proxy abierto, uso de
espacio IP no propio, recipientes válidos e inválidos, y otros
parámetros. Nunca había sido tan fácil distinguir a los
"buenos" de los "malos" con una sola aplicación.
7.3.1.1.1.3.
Solicitar la Más Alta Calidad de Datos
IronPort cuenta con más de tres años de
experiencia en el manejo de calidad de datos e integridad.
Desarrollamos el Data Quality Engine para evaluar la
calidad de un conjunto de datos al correlacionar en forma
cruzada diversas fuentes de datos con referencias o
benchmarks conocidas. Este sistema le permite a
SenderBase acceder a fuentes de datos "sucias" y aún así
derivar algún valor al balancear adecuadamente los datos
de acuerdo a la calidad. Además, se realizan calibraciones
periódicas de datos y chequeos manuales.
Figura 15: SenderBase IronPort Serie C
29
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente: www.cisco.com Titulo:IronPort Modelos Serie C. Autor:
Company IronPort
Más de 100,000 organizaciones participan en la red IronPort
SenderBase Network, constituyendo así el sistema de
monitoreo de tráfico Email y Web más grande del mundo.
Figura 16: SenderBase IronPort Serie C
Fuente: www.cisco.com Titulo:IronPort Modelos Serie C. Autor:
Company IronPort
7.3.1.1.2. IronPort Image Analysis
El crecimiento en la disponibilidad de dispositivos
para captura de imágenes agregado a la velocidad de
conexión en Internet y en redes ha permitido a los usuarios
corporativos crear, cargar y compartir imágenes ilícitas en
forma global en cuestión de segundos.
30
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Simplemente, las compañias se encuentran bajo los siguientes
riesgo por no atajar el tme ade contenido inapropiado en el
lugar de trabajo:
-
Responsabilidad
legal
impuesta
por
-
regulaciones
Pérdida de reputación e imagen corporativa
Disminución en la productividad del usuario
Abuso de las redes corporativas
leyes
y
Para poder lidiar con el problema de la pornografía y muchos
otros temas, las compañias típicamente implementan un
reglamento llamado Política de Uso Aceptable -Acceptable Use
Policy (AUP)-. El sistema de análisis de imágenes de IronPort
ayuda a las compañias en el cumplimiento de PUA
identificando imágenes ilícitas en la red de correo corporativa.
Los beneficios de esta solución incluyen:
-
Identificar los transgresores de la Política
Educar a lo sospechosos sobre las reglas de la
-
compañía y leyes locales
Evitar la responsabilidad legal publicando los mejores
-
esfuerzos para prevenir y corregir el acoso
Preservar la imágen de la compañia
Figura 17: Análisis de Imágenes
31
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Seguridad en
Redes
Informáticas
Asunto: Filtrado de Anti-Spam
Fuente: www.cisco.com Titulo: IronPort Modelos Serie C. Autor:
Company IronPort
7.3.1.1.2.1. Características:
Detección Multi-Capa se activa durante el proceso
de escaneo. IronPort Image Analysis utiliza 11
métodos diferentes de detección en los archivos
adjuntos para generar un veredicto. Los métodos de
detección incluyen avanzadas técnicas, separación
de partes del cuerpo y muchas más
Veredicto Configurable. Las reglas de filtrado de
análisis
de
imágen
permite
al
administrador
determinar que acciones tomar basado en los
veredictos Clean, Suspect e Inappropriate y
representan un valor numérico asignado por el
algoritmo
para
determinar
la
probabilidad
de
contenido ilícito. Se recomiendan los siguientes
valores, los cuales pueden ser ajustados acorde a
cada empresa:
- Clean: 0 a 49
- Suspect: 50 a 74
- Inappropriate: 75 a 100
Escaneo de imágenes embebidas que permite la
inspección de los siguientes tipos de archivos
32
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
embebidos y adjuntos: JPEG, BMP, PNG, TIFF, GIF,
TGA, ICO and PCX.
Integración de Políticas la cual provee a los
usuarios la capacidad de tomar acciones basadas en
políticas determinadas.
7.3.1.1.3. Phishing - El gran Problema
Phishing es el intento criminal y fraudulento de
adquirir información sensible como nombre de usuario,
passwords detalles de tarjetas de credito, creando una
máscara que simula la entidad verdadera en una comunicación
electrónica que típicamente es enviada por correo electrónico.
Figura 18: Crecimiento Evolutivo de Ataques Phishing
Fuente: www.cisco.com Titulo:IronPort Modelos Serie C. Autor:
Company IronPort
Como miembro de Anti-Phishing Working Group (APWG),
IronPort Systems esta dedicado y comprometido en solucionar
la amenaza de Phishing. Los appliances de seguridad de
gateway proveen una primera línea de defensa en una
aproximación de seguridad para combatir ese problema en
forma efectiva y total.
33
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
7.3.1.1.4. Prevención de Pérdida de Información / Data
Loss Prevention -DLPLa Pérdida de Información es un muy serio
problema para las compañias dado que el número de
incidentes
continúa
creciendo.
Sin
importar
si
es
malintencionado o un error involuntario, la pérdida de
información puede disminuir el valor de la marca, reducir el
valor de la acción y dañar el buen nombre y reputación de la
misma.
Puede ser correo electrónico, mensajería instantánea, correo
web, una forma de sitio web ó una transferencia de archivos,
las comunicaciones electrónicas que salen de la entidad aún
se mantienen sin control en gran medida y no son
monitoreadas en su camino o en el destino generando el
potencial problema que información confidencial caiga en
manos equivocadas.
Figura 19: Prevención de Perdida de Información
34
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente: www.cisco.com Titulo: IronPort Modelos Serie C. Autor:
Company IronPort
IronPort soluciona el problema de Pérdida de Información
utilizando filtros predefinidos para regulaciones HIPAA, GLB,
SOX y varios más; encriptación de correo, escaneo de
contenido multi-protocolo de alto desempeño, protección web y
de mensajería instantánea y herramientas de administración
corporativa.
Los MTA de IronPort cuentan con un esquema de servicios
aplicables basados en módulos por subscripción por periodos
de uno o tres años. Cada uno de ellos, cumple funciones
específicas dentro del MTA pero a la vez interactúan de forma
tal que cuando se implementan todos los módulos (situación
ideal) se obtiene la máxima protección en todo el sistema de
correo electrónico corporativo.
7.3.1.1.5. Defensa Antispam
35
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Los filtros de reputación de e-mail (E-mail
Reputation Filters) de IronPort crean una primera barrera de
defensa crítica, que bloquea el 80% del spam que entra en la
conexión TCP. En cambio, para el 20% de los mensajes
“dudosos” es esencial limitar la velocidad y analizar el
contenido de cada uno. Este es el cometido del segundo nivel
de defensa, IronPort Antispam, que se basa en la tecnología
exclusiva CASE (Context Adaptive Scanning Engine) de
IronPort, que examina el contexto completo de cada mensaje.
La combinación de la puntuación atribuida por CASE, de la
nota de reputación del remitente y de la nota de reputación
obtenida por el sitio Web al que el e-mail remite al lector,
obtiene resultados más fiables que las técnicas convencionales
de filtrado de spam de un solo nivel. La tasa de captura de
IronPort Antispam es superior al 98%, con una tasa de falsos
positivos inferior a 1 sobre un millón. Para las organizaciones
que desean que sus usuarios gestionen su spam, IronPort
propone la Spam Quarantine. Se trata de una cuarentena de
spam que da acceso libre a los usuarios, permitiéndoles
verificar por sí mismos sus mensajes y la eventual presencia
de falsos positivos. Es accesible a través de un navegador web
o un cliente e-mail y se integra con los sistemas de mensajería
y de directorios existentes en su empresa.
En el marco de la lucha contra los virus en la pasarela de
mensajería, los filtros de ataques de virus (Virus Outbreak
Filters) también en este caso permiten un primer nivel de
defensa contra las alertas de virus. Sin embargo, es
igualmente importante desplegar en la pasarela un antivirus
basado en firmas, que permitirá verificar el 20% de los
mensajes que son aceptados por los filtros de reputación.
36
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Con este objeto, IronPort también ha incorporado las firmas
antivirus de Sophos, que se benefician de una administración y
un reporting unificados. El motor antivirus de Sophos está
estrechamente acoplado a IronPort Virus Outbreak Filters, lo
cual permite analizar los mensajes en modo prueba antes de
liberarlos de la cuarentena. IronPort y Sophos colaboran para
identificar y bloquear los ataques de virus, teniendo como
objetivo la protección óptima de sus clientes comunes. Para un
máximo de eficacia, el motor de Sophos opera sobre los
mensajes en memoria. Un mensaje se pone en cola de espera
una sola vez en disco, después, se examina en múltiples
ocasiones en memoria. Las reglas de Sophos están totalmente
integradas en los filtros de mensajes de IronPort.
7.3.1.1.6. Defensa ANTI-VIRUS
Los modelos de la Serie C incorporan como
segundo módulo, protección AV, la cual se efectúa en forma
interna en el MTA utilizando motores específicos para tal fin de
dos proveedores altamente reconocidos en el mercado como
son MaCafee y Sophos. De esta forma se puede garantizar en
el procentaje más alto del mercado que los correos que
finalmente llegarán al servidor de correo y al cliente final se
encuentran libres de problemas.
7.3.1.1.7. Virus OutBreak Filters
Como parte del cuarto módulo, IronPort Virus
Outbreak Filters, integrados en los appliances Serie C, realizan
una evaluación de las amenazas en los mensajes entrantes y
salientes y ponen en cuarentena los mensajes sospechosos.
Los mensajes se liberan automáticamente una vez que las
firmas de los proveedores de anti-virus tradicionales se han
desplegado.
37
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
El motor de exploración antivirus de Sophos, líder del mercado,
está integrado en los appliances IronPort Serie C para ofrecer
la protección contra virus en el gateway más efectiva hoy en
día. El objetivo de Sophos es ofrecer la solución antivirus más
avanzada para clientes corporativos; su motor utiliza diversas
técnicas para detectar y limpiar las principales formas de virus.
De esta forma la exposición al Día_Cero se ha reducido en la
gran mayoría de los casos a solo minutos, ya que las alarmas
se desplegan en forma automática a todos los MTA's alrededor
del mundo una vez se detecta alguna amenaza de esta
naturaleza.
7.3.1.1.8. Tecnología de Encriptación PXE
El sistema de encriptación de IronPort -PostX- esta
incorporado dentro del cuarto módulo aplicable a todos los
modelos. Se constituye en un servicio de la más alta calidad y
seguridad en procesos de encriptación de correo electrónico,
con grandes ventajas y características. Una de ellas es el
hecho de no tener que utilizar o instalar cliente alguno en el
equipo final que recibe el correo encriptado. El proceso es muy
sencillo, una vez se genera un correo encriptado, el
destinatario recibe un correo con instrucciones para registrarse
en CRES -Cisco Registration Service-, procedimiento que una
vez efectuado le permitirá al destinatario abrir el correo original
el cual encontrará como un archivo adjunto. CRES únicamente
mantiene el registro de usuario y password de destinatarios,
nunca el correo encriptado o rastro alguno del mismo.
38
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Figura 20: Funcionamiento de la Tecnología PXE
Fuente: www.cisco.com Titulo: IronPort Modelos Serie C. Autor:
Company IronPort
IronPort ofrece la posibilidad a aquellas entidades que
requieren mantener la base de datos de destinatarios de
correo
encriptado
y
sus
correspondientes
passwords
localmente en sus instalaciones, de implementar en forma
adicional el sistema IronPort Encription Appliance -IEA- el cual
puede integrarse en forma transparente con cualquiera de los
modelos Serie C.
7.3.1.1.9. Tratamiento del Contenido
Los appliances IronPort Serie C ofrecen
capacidades de filtrado rápido, flexible y preciso de los
mensajes, basados en la dirección IP de origen o de destino, el
dominio o la dirección, el encabezamiento, las palabras clave
en el cuerpo del mensaje, archivos adjuntos, reputación del
remitente, etc.
39
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Con un MTA de IronPort cualquier entidad podrá reducir en
forma dramática la cantidad de appliances instalados de otras
marcas y dedicados a funciones específicas cada uno, como
se ha demostrado en todos los ISP's usuarios hoy en día de la
tecnología IronPort.
Figura 21: Tratamiento de Contenidos con IronPort Series C
Fuente: www.cisco.com Titulo: IronPort Modelos Serie C. Autor:
Company IronPort
7.3.1.1.9.1.
Principales Funcionalidades
-
Tecnología MTA avanzada para gestión de
-
mensajería electrónica.
Defensa Anti-Spam con filtros de reputación
y IronPort Anti-Spam: índice récord en captura
-
del spam con imágenes (> 97%).
Defensa Anti-Virus con Virus Outbreak
-
Filtres y Sophos Anti-Virus.
Análisis de contenido: filtrado y encriptación
de los mensajes.
40
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
7.3.1.1.10. Gestión, Supervisión y Reporting
IronPort ofrece herramientas muy elaboradas de
gestión, supervisión y reporting que responden a las
necesidades de las grandes multinacionales y de los ISP
(Proveedores de Servicios de Internet) que constituyen su
clientela. Cada appliance está dotado de un sistema exclusivo
de reporting o generación de informes en tiempo real, Mail
Flow Monitor TM, que vigila las conexiones entrantes o
salientes. A través de IronPort Mail Flow Monitor y su interfaz
Web, los administradores del sistema pueden visualizar
fácilmente las actividades de sus colas. Los principales
dominios cuyos mensajes se ponen en cola de espera se
presentan con estadísticas. En una misma página, el
administrador puede ver el número de mensajes en una cola,
el número de conexiones abiertas, los mensajes enrutados con
éxito y los mensajes de error.
Es posible ampliar detalladamente cada dominio. La pantalla
indica las direcciones IP de todos los registros MX asociados a
ese dominio, el estado (localizable o no) del dominio, el último
intento de conexión y la fecha del mensaje más antiguo en
cola para este dominio, así como los detalles sobre los
mensajes de error o códigos de error recibidos de este último.
Esta completa herramienta permite a los administradores
identificar y resolver rápidamente los problemas. Además, el
sistema autoriza la “depuración por dominio” que, al registrar
cada intercambio SMTP para un dominio especificado, permite
al administrador detectar los problemas sin tener que
comprobar un voluminoso archivo log. Para que resulte más
fácil, se pueden redirigir algunos mensajes hacia un anfitrión
(host) o servidor remoto, incluso, pura y simplemente,
eliminarlos.
41
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Para el correo electrónico entrante, Mail Flow Monitor indica
los principales remitentes durante un tiempo determinado,
puntuándolos en materia de reputación, de spam y de virus, y
poniendo de manifiesto las anomalías de volumen. A partir de
esta vista resumida, el administrador puede inspeccionar
detalladamente a cualquier remitente sospechoso y obtener su
histórico completo, incluyendo algunos datos de reputación
procedentes de la red de
IronPort SenderBase. También puede saber si el sistema limita
la velocidad y, en caso afirmativo, cuántos mensajes han sido
frenados (lo que representa una posibilidad única, ya que la
mayoría de los métodos de limitación de velocidad solamente
ralentizan una conexión, de modo que no es posible conocer el
volumen de correo electrónico realmente frenado). Si el
administrador
desea
modificar
la
regla
aplicada
automáticamente a un remitente determinado, puede hacerlo
con algunos clics a través del interfaz de Mail Flow Monitor.
Además de las funciones de reporting y de gestión en tiempo
real de Mail Flow Monitor, IronPort ofrece una herramienta
centralizada de reporting histórico a través de Mail Flow
CentralTM (MFC), el cual extrae los datos de registros (logs)
de múltiples sistemas y los carga en una base SQL para
obtener potentes análisis de tendencias sobre las prestaciones
de filtrado de spam, de virus y de contenido. MFC también
dispone de una potente herramienta de seguimiento de
mensajes, capaz de buscar el correo electrónico destinado o
procedente de un interlocutor determinado, en función del
asunto, del tipo de documento adjunto, etc. Esto aporta una
considerable ganancia de eficacia al administrador, quien
hasta ahora tenía que comprobar los logs de tres o cuatro
sistemas distintos para diagnosticar un mensaje. El software
42
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Mail Flow Central se adapta a las necesidades de la empresa
en términos de capacidad. Está destinado a funcionar en un
puesto de trabajo o un servidor que se encuentre fuera de la
DMZ (zona desmilitarizada), de forma que el reporting histórico
y el seguimiento no perturben nunca a una máquina DMZ de
producción. Además, IronPort publica el esquema básico de
datos de Mail Flow Central para facilitar la creación de
peticiones personalizadas.
IronPort se encarga de la vigilancia e-mail y SNMP para las
funciones críticas del sistema. Los eventos relativos al estado
del sistema y la seguridad de las aplicaciones se comunican a
través de traps SNMP y de alertas e-mail configurables. Todos
los datos del sistema en tiempo real de Mail Flow Monitor
también son accesibles a través de un “estado” XML en el
sistema. Los ingenieros de IronPort han desarrollado varios
scripts que pueden servir para extraer informaciones de estado
en tiempo real y transmitirlas a una red de vigilancia más
extensa.
7.3.1.1.11.
Administración Centralizada
Gracias a la administración centralizada,
cualquier modificación realizada en uno de los sistemas puede
ser repercutida por el administrador a otra máquina, a un grupo
de máquinas o al parque entero. Este sistema “multi maestro”, muy potente y evolucionado, ha sido creado para
responder a las necesidades de las operadoras y grandes
empresas cuyos centros están dispersados geográficamente.
El sistema está dispuesto según una red entramada “peertopeer”, en la que la configuración de cada máquina se
almacena en sus homólogas. Esto ofrece una máxima
flexibilidad, ya que basta con realizar los cambios en
cualquiera de las máquinas para desplegarlos después en todo
43
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Seguridad en
Redes
Informáticas
Asunto: Filtrado de Anti-Spam
el parque. En caso de fallo de una máquina, se atribuye una
dirección
IP
a
una
nueva
y
se
pone
en
contacto
automáticamente con sus homólogas para reconfigurarse.
Todas las informaciones de configuración del sistema también
están disponibles en forma de un archivo XMI que sirve de
copia de seguridad permanente. Todas las modificaciones
están consignadas por el administrador y existen tres niveles
de acceso: sólo lectura, administrador y super usuario.
7.3.1.1.12. IronPort Versus Otros Productos del Mercado
Figura 22: IronPort Series C Vs Soluciones de Competencias
Fuente: IronPort System. Titulo: El E-Mail Seguro Subiendo el
Nivel. Página Nº 14. Autor: Mario Velarde
-
Ratio mas bajo de falsos positivos (1 en 1 millón)
Cero administración
Figura 23: IronPort Series C Vs Otros Productos
44
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente: IronPort System. Titulo: Cisco and Today’s Email and
Web Threat Landscape. Página Nº 17. Autor: Company
IronPort
7.3.1.1.13. Implementación de IronPort Serie C AntiSpam
Figura Nº 24: Interfaz de Bienvenida de IronPort C150
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.00 a.m
Figura Nº 25: Autentificación Username: admin, password: masongarson
45
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.05 a.m
46
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Figura Nº 26 : Interfaz Principal del IronPort C150
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.06 a.m
47
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Figura Nº 27: Menu Securety Services (Anti-Spam)
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.07 a.m
48
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Figura Nº 28: Menu Item Anti-Spam ---> IronPort Anti-Spam
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.08 a.m
Figura Nº 29: Subinterfaz IronPort Anti-Spam
49
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.09 a.m
Figura Nº 30: Activar el Botón Enable
50
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.10 a.m
51
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Figura Nº 31: Subinterfaz IronPort Commit Changes
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.11 a.m
52
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Figura Nº 32: Activar el Boton Commit Changes
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.12 a.m
53
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Figura Nº 33: Subinterfaz Uncommitted Changes
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.13 a.m
Figura Nº 34: Ir a Menú Mail Policies
54
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.14 a.m
Figura Nº 35: Ir a Menú Mail Policies
55
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.15 a.m
Figura Nº 36: Activar el Submenu Incoming Mail Policies
56
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.16 a.m
Figura Nº 37: Subinterfaz Incoming Mail Policies
57
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.17 a.m
Figura Nº 38: Activar el Link Anti-Spam ---> Disable
58
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.18 a.m
59
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Figura Nº 39: Subinterfaz Mail Policies: Anti-Spam
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.19 a.m
Figura Nº 40: Activar el Ckeck: Use selected Anti-Spam service (s)
60
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.20 a.m
Figura Nº 41: Activar el Ckeck: Use selected Anti-Spam service (s)
61
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.21 a.m
Figura Nº 42: Activar el Ckeck: Use selected Anti-Spam service (s) ,
verificar el Add Text to Subject.
62
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.22 a.m
Figura Nº 43: Activar el combobox y seleccionar los Items.
63
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.23 a.m
Figura Nº 44: Activar el combobox y seleccionar el Item Drop.
64
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.24 a.m
Figura Nº 45: Verificar las activaciones de los Checks.
65
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.25 a.m
Figura Nº 46: Verificar las activaciones de los Checks.
66
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente:https://ironportantispam.gmu.edu/login?referrer=https
%3A%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco
and Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.26 a.m.
Figura Nº 47: Verificar la activación del Link: IronPort Anti-Spam,
Positive: Drop, Suspected.
67
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.27 a.m.
Figura Nº 48: Activar el Bottom Commit Changes
68
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.28 a.m.
Figura Nº 49 : Subinterfaz Uncommited Changes
69
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.29 a.m.
Figura Nº 50: Subinterfaz Uncommited Changes
70
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.29 a.m.
7.3.1.2.
Sysmantec Brightmail Gateway
71
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
7.3.1.2.1. Definición
Symantec Brightmail Gateway ofrece seguridad para
la mensajería entrante y saliente con protección antivirus y
Antispam efectiva y precisa, filtrado de contenidos avanzado,
prevención contra la pérdida de datos y cifrado del correo
electrónico.
Atrapa más del 99% del Spam con menos de un falso positivo
por millón, utilizando actualizaciones automáticas y en tiempo
real, análisis de la reputación de IP locales y globales, y la
elaboración de informes completos a fin de ofrecer protección
rentable contra las nuevas amenazas para la mensajería.
Symantec
Brightmail
Gateway
ofrece
una
seguridad
galardonada de los sistemas de mensajería que protege los
mensajes entrantes y controla los mensajes salientes con las
siguientes características:
Figura Nº 51: Caracteristicas de Symantec Brightmail
Figura Nº 51: Caracteristicas de Symantec Brightmail
72
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
7.3.1.2.2. Características
de
Seguridad en
Redes
Informáticas
Symantec
Brightmail
AntiSpam
Se implementa en el gateway de Internet. Por ello, el
correo electrónico es más seguro y productivo, y ofrece a las
empresas defensa contra amenazas y spam de tipo avanzado.
7.3.1.2.2.1.
Detecta más Spam
Esta premiada solución aprovecha una serie
de eficaces tecnologías, sus centros de operaciones
distribuidos por todo el mundo, una red patentada de
detección de spam o correo no deseado y un mecanismo
de entrega de filtros en tiempo real.
7.3.1.2.2.2.
Con precisión
73
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
La identificación errónea de mensajes
legítimos como si fueran Spam ocasiona la pérdida de
oportunidades de negocios y de productividad del usuario
final. Gracias a que Symantec Brightmail AntiSpam ofrece
el índice de precisión más alto del mercado, los usuarios no
pasan por alto los mensajes importantes de correo
electrónico. Las protecciones incluyen el control diario de la
precisión de Symantec y la revisión automática de todos los
posibles falsos positivos.
7.3.1.2.2.3.
Con bajo nivel de administración
Muchas soluciones antispam aumentan aún
más la carga de los administradores. Sin embargo,
Symantec Brightmail AntiSpam se actualiza de forma
constante y automática con la protección más reciente, sin
necesidad de que los administradores ajusten o regulen los
filtros.
Figura Nº 52: ¿Cómo Funciona?
74
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
7.3.1.2.2.4.
Seguridad en
Redes
Informáticas
Protección de múltiples niveles contra el
Spam
o Más de 17 tecnologías de filtrado diferentes,
incluidas las firmas de propietario y heurística
o Umbral de spam ajustable para personalizar
los niveles de eficacia y precisión
o Filtros basados en idiomas para bloquear
spam que no sea en español
o Filtros antifraude para proteger
contra
mensajes falsos que buscan datos personales
(phishing) y fraude por correo electrónico
7.3.1.2.2.5.
Administración flexible y potente
75
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Seguridad en
Redes
Informáticas
Asunto: Filtrado de Anti-Spam
o Centro de control basado en Web que ofrece
administración
centralizada
de
varios
servidores, administración con base en roles y
alertas del sistema
o Políticas
de
correo
personalizadas
compatibles con acciones flexibles, como
marcado o cuarentena de mensajes, para
distintos grupos de usuarios
o Diversas cuarentenas: cuarentena basada en
Web
para
usuarios
o
administradores,
cuarentena
o Exchange para usuarios de Microsoft Outlook,
cuarentena Domino para usuarios de Lotus
Notes
o Compatible con LDAP
7.3.1.2.2.6. Otras funciones
o Informes: las estadísticas
de
filtrado
consolidadas en todos los servidores ofrecen
una visión del rendimiento y tendencias de
filtrado de spam
o Protección integral
contra
amenazas:
la
protección antivirus opcional analiza y limpia
los mensajes infectados con virus y gusanos
de propagación masiva
o Control de spam según
usuario:
los
complementos y las herramientas mejoran los
clientes de correo electrónico como Microsoft
Outlook y Lotus Notes con funciones que
combaten el spam
o Filtrado de contenido: las listas de remitentes
bloqueados/permitidos
personalizados
y
permiten
los
que
filtros
los
76
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
administradores adapten el filtrado a las
necesidades de la organización
7.3.1.2.3. Implementación de Symantec Brightmail Gateway
Figura Nº 52: Interfaz de Validación de Usuario
Fuente: Symantec Brightmail AntiSpam. Autor: Company
symantec. Fecha: 20/06/2010.Hora: 4:25 p.m.
Figura Nº 53: Ingresar User Name: Admin, Password:123456
Fuente: Symantec Brightmail AntiSpam. Autor: Company
symantec. Fecha: 20/06/2010.Hora: 4:28 p.m.
Figura Nº 54: Interfaz Principal, seleccionar la lista del combobox la opción:
Inbound Email Message Sumary
77
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010.Hora: 4:30 p.m.
Figura Nº 55: Interfaz Principal, seleccionar la lista del combobox la opción:
Past 7 days
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010.Hora: 4:31 p.m.
Figura Nº 56: Subinterfaz de Status
78
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010.Hora: 4:32 p.m.
Figura Nº 57: Subinterfaz de Reports
79
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010.Hora: 4:33 p.m
Figura Nº 58: Subinterfaz de Protocols
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010.Hora:4:35 p.m.
Figura Nº 59: Subinterfaz de Reputation
80
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010.Hora:4:37 p.m.
Figura Nº 60: Subinterfaz de Spam
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010.Hora:4:39 p.m.
Figura Nº 61: Subinterfaz de Virus
81
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010.Hora:4:40 p.m.
Figura Nº 62: Subinterfaz de Compliance
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010.Hora:4:41 p.m.
Figura Nº 63: Seleccionar la Subinterfaz de Reputation para configurar los links
82
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010.Hora:4:42 p.m.
Figura Nº 64: Seleccionar el Link Symantec Global Bad Sender
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010.Hora:4:45 p.m.
Figura Nº 65: Subinterfaz Symantec Global Bad Sender , activar el check
Enable Symantec Bad Sender detection
83
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010.Hora:4:46 p.m.
Figura Nº 66: Subinterfaz Symantec Global Bad Sender, activar la actions del
Check Reject SMTP connection y seleccionar el link Connections Classification
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010.Hora:4:48 p.m.
Figura Nº 67: Subinterfaz Connection Classification, activar el Enable
Connection Classification
84
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010.Hora:4:49 p.m.
Figura Nº 68: Subinterfaz Connection Classification, activar el Enable
Connection Classification
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010.Hora:4:50 p.m.
Figura Nº 69: Activar el Check del Link Fastpass
85
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010.Hora:4:51 p.m.
Figura Nº 70: Seleccionar el Bottom Edit
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010.Hora:4:52 p.m.
86
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Figura Nº 71: Activar el Check Enable Fastpass y seleccionar el Bottom Show
Advanced
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010.Hora:4:53 p.m.
Figura Nº 72: Seleccionar la Subinterfaz Spam
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010.Hora:4:56 p.m.
87
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Figura Nº 73: Seleccionar el Link Spam or Suspected Spam Delete Message
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010.Hora:4:59 p.m.
Figura Nº 74: Subinterfaz Email Spam Policy
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010. Hora: 5: 02 p.m.
88
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Figura Nº 75: Subinterfaz de Spam Message Quarantine
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010. Hora: 5: 08 p.m.
Figura Nº 76: Activar el Bottom Release
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010. Hora: 5: 10 p.m.
89
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Figura Nº 77: Subinterfaz Spam Policies, activar el Check del Link Failed
Source attack validatiom reject message y Activar el Bottom Edit
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010. Hora: 5: 12 p.m.
Figura Nº 78: Subinterfaz Email Spam Policy Activar el Check de Actions y
Reject messages faling bounce attack validation
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010. Hora: 5: 14 p.m.
90
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Figura Nº 79: Seleccionar el Link Instant Messaging
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010. Hora: 5: 17 p.m.
Figura Nº 80: Subinterfaz Instant Messaging Spim Policies, Activar el link
Incoming Spim
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010. Hora: 5: 19 p.m.
91
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Figura Nº 81: Subinterfaz Instant Messaging Spim Policies, Activar el Check
Actions y Delete The Message
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010. Hora: 5: 21 p.m.
Figura Nº 82: Subinterfaz Reports, seleccionar del combobox la opcion Spam
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010. Hora: 5: 23 p.m.
92
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Figura Nº 83: Subinterfaz Reports, activar los Checks Graph y Table
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010. Hora: 5: 24 p.m
Figura Nº 83: Subinterfaz Reports
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010. Hora: 5: 24 p.m
93
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
7.3.2. Comparando IronPort Anti-Spam y Symantec Brightmail
Anti-Spam
7.3.2.1. Resultados de Tasa de Captura
La tasa de captura de Spam se mide como el número de
mensajes de Spam bloqueados, divididos entre el número total de
mensajes recibidos. Durante un periodo de un mes finalizado el 19 de
Octubre, IronPort Anti-Spam capturó un promedio de 97.1% del spam,
comparado con 93.7% de Symantec Brightmail. Esto significa que el
usuario final promedio que utiliza Brightmail recibió aproximadamente el
doble de Spam (6.7%) comparado con los usuarios de IronPort AntiSpam (2.9%).
IronPort AntiSpam catch
rate
Symantec Brightmail Anti
Spam catch rate
97.1 %
93.7 %
Estas estadísticas se calcularon con base a una muestra aleatoria de
mensajes de Spam recibidos por cuentas de correo “spamtrap”, o
Atrapa-Spam, administradas por IronPort. La tasa de captura de
Symantec Brightmail también fue correlacionada estrechamente con la
cantidad de Spam por imágenes recibida. Como muestra la figura 1, la
94
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Seguridad en
Redes
Informáticas
Asunto: Filtrado de Anti-Spam
tasa de captura de Symantec Brightmail (en rojo) se desplomó
significativamente a principios de Octubre, cuando incrementó el
porcentaje de Spam con imágenes insertadas (en amarillo).
7.3.2.2. Resultados de Tasa de Falsos Positivos
Producto
Tasa de Falsos
Positivos
IronPort AntiSpam
catch rate
Symantec Brightmail
Anti Spam catch rate
Postini
CipherTrust
Barracuda
0.0003
% Relativo de
IronPort AntiSpam
N/D
0.0017
630 %
0.0034
0.0041
0.0110
1241%
1511%
4085%
La tasa de falsos positivos se mide como el número de correos
legítimos clasificados erróneamente como Spam, dividido por el
número total de correos legítimos recibidos.
Mantener una baja tasa de falsos positivos es frecuentemente el
factor más importante al seleccionar la solución Anti-Spam,
debido a la naturaleza de misión crítica del correo electrónico.
Basándonos en las pruebas (hecha por una tercera persona, una
firma independiente) de 10,000 mensajes, IronPort Anti-Spam
tiene la más baja tasa de falsos positivos entre las cinco marcas
examinadas - 1/6 de los falsos positivos que muestra Symantec
Brightmail.
95
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
7.3.2.3. Resultados del Desempeño
El desempeño (o rendimiento) es importante para la mayoría de
los clientes ya que determina el número de sistemas que deben
utilizarse para manejar el volumen de correo electrónico de una
organización. Entre mayor sea el desempeño del motor de
búsqueda de anti-spam, menor el número de sistemas
requeridos para manejar el volumen de correo electrónico actual
y sus incrementos futuros. El escaneo anti-spam es uno de los
procesos más intensivos en cuanto a consumo de recursos en la
seguridad de correo electrónico debido a la necesidad de
analizar numerosos atributos en un mensaje. Esto significa que
cualquier incremento en el rendimiento del motor de búsqueda
anti-spam se traducirá en un incremento en el rendimiento
general del sistema. El desempeño del anti-spam se mide por el
número de mensajes escaneados en un período establecido de
tiempo – sólo con la función anti-spam habitada en el appliance
de IronPort. La figura 2 muestra el número de mensajes
escaneados por hora con el equipo IronPort C60 en diferentes
lapsos de tiempo durante los últimos dos años. Con el
lanzamiento del IronPort AsyncOS 4.7.0, IronPort escaneó
48,720 mensajes por hora contra los 25,260 de Symantec
Brightmail una diferencia de 93%.
96
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Los resultados fueron calculados escaneando un conjunto
idéntico de mensajes aleatorios (del cuerpo de correos
electrónicos de IronPort) con una distribución de 50% de spam,
45% de correos legítimos y 5% de mensajes infectados por virus.
Tome en cuenta que las pruebas 4.7.0 fueron comparadas con el
motor Symantec Brightmail 6.0.3. Los resultados preliminares
contra la versión IronPort AsyncOS 5.0 y el motor Symantec
Brightmail 6.0.4 muestran un incremento en el rendimiento de
aproximadamente 17%.
7.3.2.4. Sinopsis
Las pruebas de Messaging Media Labs indicant que IronPort
Anti-Spam deja pasar 57% menos Spam que Symantec
Brightmail, tiene una menor tasa de falsos positivos y
aproximadamente el doble de rendimiento.
Los resultados reales pueden variar, dependiendo del perfil
específico de correo electrónico del cliente, no obstante, estos
resultados son consistentes con la mayoría de los clientes que
han evaluado ambas soluciones durante los últimos tres meses.
97
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
8. CONCLUSIONES
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
98
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
9. REFERENCIAS BIBLIOGRAFICAS
Fuente: IronPort System. Título: El E-mail Seguro Subiendo el Nivel.
Autor: Mario Velarde. Fecha de visita: 07/06/2010. [EN LÍNEA].
Fuente: IronPort Company.Título: Presentación del appliance de
seguridad e-mail IronPort. Autor: IronPort Serie C. Fecha de Visita:
10/06/2010. [EN LÍNEA].
Fuente: Red Científica Peruana. Título: Implicancias del Spam.
Autor: Jack Daniel Cáceres Meza. Fecha de Visita: 12/06/2010. [EN
LÍNEA].
Fuente: http://www.messagingnews.com. Titulo: Comparando
IronPort Anti-Spam y Symantec Brightmail Anti-Spam. Autor:
Messaging Media. Fecha de Visita: 15/04/2010. [EN LÍNEA].
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear /. Titulo: Configuración
de IronPort C150. Autor: ironPort.theacademy.ca. Fecha de Visita:
18/04/2010. [EN LÍNEA].
Fuente:
http://www.youtube.com/watch?v=aTttbrZpCYA.
Titulo:
Tecnologías de Symantec Brightmail AntiSpam. Fecha de Visita:
20/06/2010. [EN LÍNEA].
Fuente: http://www.symantec.com/la/empresas/. Titulo: Symantec
Brightmail AntiSpam. Fecha de Visita: 20/06/2010. [EN LÍNEA].
Fuente: http://www.xentic.com.pe. Titulo: Symantec
AntiSpam. Fecha de Visita: 21/06/2010. [EN LÍNEA].
Brightmail
Fuente: http://www.symantec.com/la/ventas_empresariales/ Titulo
Soluciones Symantec Brightmail AntiSpam. Fecha de Visita:
20/06/2010. [EN LÍNEA].
Fuente: http:// www.cisco.com / Titulo IronPort Modelos Serie.
Autor: Company IronPort. Fecha de Visita: 22/06/2010. [EN
LÍNEA].
Fuente: Conferencias FIST Titulo Conferencias FIST.Titulo: Técnicas
Anti-Spam. Autor Germinus. Fecha de Visita: 22/06/2010. [EN
LÍNEA].
FACULTAD DE INGENIERIA EN INFORMATICA Y SISTEMAS
CURSO DE ACTUALIZACIÓN PROFESIONAL: SEGURIDAD EN
REDES INFORMÁTICAS
Teoría e
Implementación de
Gateway Anti - Spam.
-
Alvia Gavidia Soto.
Angel Huaripata Sanchez.
Marco Sauñe Montalvo.
Miguel Angel Timoteo del Águila.
2
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
TABLA DE CONTENIDOS
¿Qué ES EL SPAM?5
¿Por qué ES MALO EL SPAM?6
Usa recursos de otros.6
. Hacen perder tiempo.7
Roban recursos.7
Se engaña al cliente.8
Suele ser ilegal.8
ESTADISTICA DEL PROBLEMA DE LOS SPAMS8
MARCO LEGAL PERUANO SOBRE LOS ATAQUES SPAM11
ART. 5º.- Correo electrónico comercial no solicitado. Todo correo
electrónico comercial, promocional o publicitario no solicitado, originado
en el país, debe contener:o11
ART. 8º.- Derecho a compensación pecuniaria. El receptor de correo
electrónico ilegal podrá accionar por la vía del proceso sumarísimo
contra la persona que lo haya enviado, a fin de obtener una
compensación pecuniaria, la cual será equivalente al uno por ciento
(1%) de la Unidad Impositiva Tributaria por cada uno de los mensajes
de correo electrónico transmitidos en contravención de la presente
ley, con un máximo de dos (2) Unidades Impositivas Tributarias.11
TECNICAS DE SPAM12
¿Qué ES UN aNTISPAM?14
Definición14
Soluciones Antispam15
Soluciones Basados en Reglas15
Ventajas15
Desventajas15
Ejemplo Despliegue en Pasarela16
16
Ventajas17
Desventajas17
Ejemplo de despliegue en pasarela17
Implementar Gestión de Ancho de Banda18
Ventajas18
Desventajas18
19
Detección de Spam19
3
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Técnicas de usuarios finales20
Dirección munging20
Evitar responder al Spam21
Formularios electrónicos de contacto22
Desactivar HTML en correo electrónico22
Tener disponibles varias direcciones de correo electrónico23
Contraseñas buenas23
Denunciar el Spam23
¿Qué ES UN GATEWAY-ANTISPAM?
Definición
Ventajas
Gateway Antispam Propietarios
IronPort Series C
IronPort SenderBase
Identifica Amenazas
Tener una Visión Completa
Solicitar la Más Alta Calidad de Datos
IronPort Image Analysis
Características:
Phishing - El gran Problema
Prevención de Pérdida de Información / Data Loss Prevention
-DLP Defensa Antispam
Defensa ANTI-VIRUS
Virus OutBreak Filters
Tecnología de Encriptación PXE
Tratamiento del Contenido
Principales Funcionalidades
Gestión, Supervisión y Reporting
Administración Centralizada
IronPort Versus Otros Productos del Mercado
Implementación de IronPort Serie C AntiSpam
Sysmantec Brightmail Gateway
Definición
Características de Symantec Brightmail AntiSpam
Detecta más Spam
Con precisión
Con bajo nivel de administración
Protección de múltiples niveles contra el Spam
Administración flexible y potente
Otras funciones
Implementación de Symantec Brightmail Gateway
4
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Comparando IronPort Anti-Spam y Symantec Brightmail Anti-Spam
Resultados de Tasa de Captura
Resultados de Tasa de Falsos Positivos
Resultados del Desempeño
Sinopsis
Conclusiones
Referencias bibliograficas
INTRODUCCIÓN
La llegada de Internet a nuestras vidas ha significado una serie de
beneficios de los que mucho se ha hablado y se habla. Pero este enorme
crecimiento de la red también ha acarreado una serie de problemas para
sus usuarios, de los que poco se sabe. Para ellos, se está transformando en
moneda corriente verse obligado a recibir en su correo electrónico un
verdadero bombardeo de ofertas de todo tipo.
Esta clase de Correo Electrónico Comercial No Solicitado es conocido en
Internet como "Spam" y se está transformando en un problema serio para
quienes se comunican a través de la red y para quienes brindan servicios
de acceso a Internet.
5
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
1. ¿QUÉ ES EL SPAM?
"Spam" es la denominación usada en Internet para el Correo Electrónico
Comercial No Solicitado que está inundando la red. La modalidad que
utilizan estos comerciantes virtuales es enviar un mismo correo electrónico
a grandes listados de usuarios en forma simultánea. El "Spam" cuesta muy
poco dinero a quien lo envía, porque la mayoría de los costos son pagados
por los proveedores del sistema de Internet y los propios receptores del
mensaje. La mayoría del "Spam" es publicidad comercial, generalmente de
productos o servicios de calidad dudosa, esquemas para hacerse rico
rápido, o para promocionar entradas a sitios de poca relevancia
(generalmente promocionando pornografía u otras propuestas ilegales).
Los Spam son mensajes no solicitados, habitualmente de tipo publicitario,
enviados en cantidades masivas. Aunque se puede hacer por distintas vías,
la más utilizada entre el público en general es la basada en el correo
electrónico
Otras tecnologías de internet que han sido objeto de Spam incluyen grupos
de noticias usenet, motores de búsqueda (spamdexing, para crear la ilusión
de popularidad en ciertas páginas Web), wikis y blogs (blog falso).
El Spam también puede tener como objetivo los juegos en línea, teléfonos
móviles a través de mensajes de texto (Spam sms), los sistemas de
mensajería instantánea (Spam) y ahora la telefonía IP (Spit).
Un mensaje electrónico es “Spam” si:
6
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
La identidad personal del destinatario y el contexto son irrelevantes por
que el mensaje es aplicable por igual a muchos otros destinatarios; y
El destinatario no ha dado permiso de forma demostrable, deliberada,
explícita y sin revocatoria para que se le envíe –el mensaje; y
La transmisión y recepción del mensaje aparenta para el destinatario
que provee un beneficio desproporcionado para el remitente.
Figura 1: ¿Cómo es un Spam?
Fuente: Conferencias FIST.Titulo: Técnicas Anti-Spam.Pagina Nº 17.
Autor: Germinus
2. ¿POR QUÉ ES MALO EL SPAM?
2.1 Usa recursos de otros.
"Spam" es una forma única de vender publicidad no deseada, que
obliga al receptor a pagar por recibirla, mucho más de lo que le cuesta al
remitente enviarla. Para recibir un "Spam", el usuario tiene que pagar por
un servicio de Internet y además por el uso de la línea telefónica para
realizar su conexión. Por otra parte, el tráfico de centenares de miles de
correos que se ejecuta de una sola vez y casi sin costo para el
remitente, congestiona el uso de los procesadores de las computadoras
7
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Seguridad en
Redes
Informáticas
Asunto: Filtrado de Anti-Spam
que prestan los servicios de Internet. Si continuara aumentando
indefinidamente el tráfico del "Spam", los proveedores de servicios de
Internet
tendrían
que
enfrentar
inversiones
que
encarecerían
ampliamente los costos del servicio.
2.2 . Hacen perder tiempo.
Muchos mensajes tienen instrucciones que piden que el receptor
envíe un mensaje para remover su nombre de la lista de "Spam". Sin
considerar el absurdo de que alguien tenga que hacer algo para salir de
una lista de la que nunca quiso formar parte, este pedido es
completamente imposible si el volumen aumenta. A menos que los títulos
sean tan obvios como: "Haga dinero rápido", el usuario siempre debe
perder tiempo en abrir el correo y leer una parte para darse cuenta que
es un "Spam", sin contar el que también habría que perder para que den
de baja su nombre de la lista. Si solamente el 1% de los usuarios de
Internet realizara un "Spam" al día al resto de los usuarios, estaríamos
recibiendo más de 1000 "Spams" por día. En ese caso, el tiempo perdido
sería enorme.
2.3 Roban recursos.
Es habitual que la dirección de correo de donde proviene el "Spam"
no sea la misma a la que hay que escribir para comprar sus productos.
Esto es así porque la mayoría de las empresas que envían "Spam", lo
hacen violando sistemas inocentes de terceros. Para evitar costos y los
bloqueos contra "Spam", usan una técnica de "pegar y correr" y lanzan
su correo desde diferentes sitios. Esto ocurre porque es relativamente
fácil violar un sitio para usar su canal de salida y utilizarlo con este
propósito. Los sitios utilizados para este propósito tienen luego todo tipo
de problemas, ya que son rechazados por gran parte de la Internet por
ser fuente de "Spam".
8
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
2.4 Se engaña al cliente.
El costo de anunciar de este modo es tan bajo, que cualquier oferta
justifica el esfuerzo. Por lo tanto, en Internet se acentúan todos los
problemas de abuso al consumidor con ofertas engañosas o
directamente falsas, de productos o servicios que suelen ser ficticios
("hágase rico rápido", "obtenga un celular gratis", "Bill Gates le regalará
dinero", etcétera). Se apunta a la búsqueda de personas que, por no
estar correctamente informadas de este tipo de prácticas, pueden caer
en los trucos que se les presentan. Como regla general, el tipo de
producto que se ofrece exclusivamente por "Spam" es lo suficientemente
malo como para que no justifique la inversión de una campaña comercial
normal para lanzarlo.
2.5 Suele ser ilegal.
El "Spam" juega con la disparidad de los diferentes marcos legales
de protección al consumidor que existen en los países y la dificultad para
ubicar a quien los envía, convirtiéndose así es la mejor vía para
promocionar productos o servicios ilegales o rechazables, como cadenas
de dinero, acceso a pornografía, difusión de pornografía infantil y otros.
Por otra parte, las prácticas habituales de recolección y tráfico de
direcciones se basan en el engaño a los clientes y en falsas
promociones para conseguir direcciones de usuarios. La existencia de
un mercado de direcciones de usuarios para el "Spam" ha abaratado
enormemente la posibilidad de diseminar virus de todo tipo.
3. ESTADISTICA DEL PROBLEMA DE LOS SPAMS
Figura 2: Distribución de servidores por MTA
9
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente: Red Cientifica Peruana.Titulo: Implicacias del
Spam.Pagina Nº 12 Autor: Jack Daniel Caceres Meza
Figura 3: Host que envían Vs. Hosts reportados como Spam
Fuente: Red Cientifica Peruana.Titulo: Implicacias del
Spam.Pagina Nº 13 Autor: Jack Daniel Caceres Meza
Figura 4: E-Mail enviado Vs. E-Mail reportado como spam
10
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
DAY
Fuente: Red Cientifica Peruana.Titulo: Implicacias del
Spam.Pagina Nº 14 Autor: Jack Daniel Caceres Meza
Figura 5: Spam por Países
Fuente: Conferencias FIST.Titulo: Tecnicas Anti-Spam.Pagina Nº
10. Autor: Germinus
Figura 6: Spammers por Países
11
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente: Conferencias FIST.Titulo: Técnicas Anti-Spam.Pagina
Nº 11. Autor: Germinus
4. MARCO LEGAL PERUANO SOBRE LOS ATAQUES SPAM
4.1. ART. 5º.- Correo electrónico comercial no solicitado. Todo correo
electrónico comercial, promocional o publicitario no solicitado,
originado en el país, debe contener:
La palabra "publicidad", en el campo del "asunto" (o subject) del
mensaje.
Nombre o denominación social, domicilio completo y dirección
de correo electrónico de la persona natural o jurídica que emite
el mensaje.
La inclusión de una dirección de correo electrónico válido y
activo de respuesta para que el receptor pueda enviar un
mensaje para notificar su voluntad de no recibir más correos no
solicitados o la inclusión de otros mecanismos basados en
internet que permita al receptor manifestar su voluntad de no
recibir mensajes adicionales.
4.2. ART. 8º.- Derecho a compensación pecuniaria. El receptor de
correo electrónico ilegal podrá accionar por la vía del proceso
12
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
sumarísimo contra la persona que lo haya enviado, a fin de obtener
una compensación pecuniaria, la cual será equivalente al uno por
ciento (1%) de la Unidad Impositiva Tributaria por cada uno de los
mensajes de correo electrónico transmitidos en contravención de la
presente ley, con un máximo de dos (2) Unidades Impositivas
Tributarias.
5. TECNICAS DE SPAM
Algunas de las técnicas de propagación de Spam por la Internet:
Envío de correo - verificación de la recepción.
Open relay, open proxies.
Troyanos y computadoras zombis.
Suplantación (spoofing), camuflaje (munging).
Ataques del tipo DDoS (distributed denial-of-service) contra servicios
DNSBL y otras fuentes anti-spam.
Emplear configuraciones deficientes de servicios DNS.
Emplear dominios caducados.
NDR falso (notificación de entrega fallida -Non-Delivery Report).
Mensajes con sólo un archivo con extensión ‘.jpg’ o ‘.gif’.
Envío alfabético (mensajes enviados a grupos en orden alfabético).
Envío horizontal (muchos mensajes enviados a muchos grupos).
Envío vertical (muchos mensajes enviados a un grupo).
Crosspost (un mismo mensaje se envía una vez a varios grupos).
Multi-Post (un mismo mensaje se envía varias veces a varios
grupos).
Hash Buster (contenido válido mezclado con contenido errático).
Payload (la parte del Spam que realmente se difunde).
División de la línea de Asunto del mensaje mediante falsos saltos de
línea
Subject: =?utf-8?q?Drogas Idénti –cas con p?=
=?utf-8?q?equeño valor monetar?=
=?utf-8?q?io!?=
Uso de caracteres nulos (codificación de tipo Quoted-Printable)
<=00H=00T=00M=00L=00>=00<=00H=00E=00A=00D=00>=00=0D=00=
0A=00<=00M=00E=00=
13
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Permutar letras en las palabras usadas. El mensaje sigue siendo
legible para el receptor, pero los filtros no reconocen las palabras
usadas
Fnilament lorgé predre peso y me aelgro basatnte
Invertir el texto, utilizando la anulación derecha-a-izquierda ( righttoleft override ) de Unicode, expresada como entidades HTML
(‮ y ‬)
Your B‮na‬k C‮dra‬
Link‮ni‬g
Encapsular una etiqueta <map> con una de tipo HREF, de tal forma
que en lugar de una URL maliciosa aparezca otra legítima:
<A HREF="<URL_LEGÍTIMA>">
Uso de caracteres ASCII para “dibujar” el contenido del mensaje.
Figura 7: Spam ASCII
Fuente: IronPort System. Titulo: El E-Mail Seguro Subiendo
el Nivel. Página Nº 7. Autor: Mario Velarde
Uso de etiquetas HTML incorrectas.
Codificación de URLs.
Empleo de entidades HTML para ocultar determinadas letras
Uso de tinta invisibles.
Incluir el mensaje de spam como archivo adjunto en otro mensaje
válido.
Uso de CSS (Cascading Style Sheets) en los mensajes de Spam
para ocultar determinadas palabras o partes del mensaje
Spam con imagen 2.0.
14
Teória e Implementación de Gateway AntiSpam
Curso de
Actualización
Profesional
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Figura 8: Spam con imagen 2.0
Fuente: IronPort System. Titulo: El E-Mail Seguro Subiendo el
Nivel. Página Nº 7. Autor: Mario Velarde
6. ¿QUÉ ES UN ANTISPAM?
6.1.
Definición
El Antispam es lo que se conoce como método para prevenir el
"correo basura" (Spam = correo electrónico basura).
Tanto los usuarios finales como los administradores de sistemas de
correo electrónico utilizan diversas técnicas contra ello. Algunas de
estas técnicas han sido incorporadas en productos, servicios y
software
para aliviar la carga que cae
sobre usuarios y
administradores. No existe la fórmula perfecta para solucionar el
problema del Spam por lo que entre las múltiples existentes unas
funcionan mejor que otras, rechazando así, en algunos casos, el
correo deseado para eliminar completamente el Spam, con los
costes que conlleva de tiempo y esfuerzo.
Las técnicas antispam se pueden diferenciar en cuatro categorías:
las que requieren acciones por parte humana; las que de manera
automática son los mismos correos electrónicos los administradores;
las que se automatizan por parte de los remitentes de correos
electrónicos; las empleadas por los investigadores y funcionarios
encargados de hacer cumplir las leyes.
15
Curso de
Actualización
Profesional
6.2.
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Soluciones Antispam
Para combatir el problema en una organización se pueden
plantear distintas alternativas en función de los requisitos de ésta:
Filtrar (se puede hacer en múltiples puntos)
Desplegar una solución de anti-Spam basada en reglas
(heurísticos)
Desplegar una solución de anti-Spam basada en aprendizaje
estadístico.
Controlar (debe hacerse en la entrada y salida)
Implementar gestión y control de su ancho de banda. Revisión
periódica.
Estas alternativas pueden utilizarse de forma conjunta o
separada para reducir el problema derivado del Spam.
6.2.1. Soluciones Basados en Reglas
Una de las implementaciones iniciales de control de Spam es
la introducción de sistemas basados en reglas que determinan qué es
Spam y qué no lo es. Habitualmente las reglas están basadas en
Análisis del origen del Spam (direcciones IP o direcciones)
para determinar si es lícito:
- Listas negras: Real-Time Block Lists (RBLS), DNS
-
Block Lists (DNSBLS) y XBLs (Xploit bot lists)
Origen del correo (validar el dominio: SPF, Yahoo!
Domain Keys)
Análisis del contenido:
- De las cabeceras (permite rechazar antes de encolar)
- En el cuerpo del mensaje (una vez encolado)
Básicamente, si cumple un número suficiente de las reglas se califica
como Spam.
6.2.1.1. Ventajas
- La tasa de falsos positivos es relativamente baja
-
(aunque no cero)
Pueden adaptarse manualmente al Spam recibido.
6.2.1.2. Desventajas
16
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
-
Seguridad en
Redes
Informáticas
Las reglas deben actualizarse de forma periódica.
Los Spammers siempre intentarán saltárselas.
Los bloqueos con RBLS pueden bloquear sistemas
legítimos (pero mal configurados) ¿quién los gestiona?
(SPEWS).
6.2.1.3. Ejemplo Despliegue en Pasarela
- Básicamente una solución basada en reglas es un
motor de inspección adicional previo a la entrada de
-
-
correo (relay adicional)
Habitualmente requiere “hablar” con Internet para:
Acceder a RBLS o DNSBL
Descargar bases de datos de reglas.
Además si es el primer punto puede rechazar sin
encolar (ej: greylisting).
Figura 9: Ejemplo de Despliegue en Pasarela
Fuente: Conferencias FIST.Titulo: Técnicas Anti-Spam.Página Nº 22.
Autor: Germinus
6.2.2. Solución Basada en Análisis Estadístico
Para solventar algunas de las desventajas de los sistemas
basados en reglas fijas se han diseñado sistemas basados en
aprendizaje estadístico:
Habitualmente basados en filtros bayesianos.
Generan reglas basadas en mensajes
clasificados como Spam.
previamente
17
Teória e Implementación de Gateway AntiSpam
Curso de
Actualización
Profesional
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Aplican probabilidades para determinar si un mensaje es o no
Spam.
Son muy fáciles de implementar en los MUAs y se están
incluyendo de “serie” en muchos clientes de correo (Mozilla
Thunderbird, Outlook, etc.)
6.2.2.1. Ventajas
- Permite una adaptabilidad mayor al Spam que recibe la
-
organización.
Puede detectar características “no evidentes” en el
-
Spam.
Puede detectar Spam para el que no exista una regla
-
definida.
La adaptación de los filtros puede hacerse de forma
automática y sin intervención.
6.2.2.2. Desventajas
- Se deben alimentar con una “buena” fuente de Spam.
- Habitualmente tienen sólo en cuenta el contenido de
-
los mensajes.
Puede ser difícil generar reglas para mensajes
basados
-
en
contenido
no
analizable
(imágenes
embebidas, Java Script)
También es posible contaminarlas.
6.2.2.3. Ejemplo de despliegue en pasarela
Es necesario “alimentar” a la herramienta para generar las
reglas:
-
Separar mensajes con Spam manualmente.
Establecer buzones para direcciones de correo falsas
que los Spammers intentan utilizar.
Figura 10: Ejemplo de Despliegue en Pasarela
18
Teória e Implementación de Gateway AntiSpam
Curso de
Actualización
Profesional
Seguridad en
Redes
Informáticas
Asunto: Filtrado de Anti-Spam
Fuente: Conferencias FIST.Titulo: Técnicas Anti-Spam.Página Nº
25. Autor: Germinus
6.2.3. Implementar Gestión de Ancho de Banda
En último término el Spam es un problema que consume
recursos (spool de disco, comunicaciones, etc.) y, aunque se corte en
la
pasarela
un
Spammers
puede
colapsar
la
organización
consumiendo todos sus recursos. La única solución en este
escenario es introducir sistemas de gestión de ancho de banda:
Priorizar las comunicaciones de los servidores de correo de la
organización con otros “habituales”.
Controlar el tráfico de correo y detectar fácilmente un
consumo excesivo de recursos.
Dos posibilidades: sistema genérico de gestión o throttling de
correo.
6.2.3.1. Ventajas
- Permite controlar en tiempo real el consumo de
-
recursos y actuar en consecuencia.
(Si es genérico) Puede utilizarse para gestionar otros
-
servicios.
Permite identificar rápidamente los servidores con los
que la organización se comunica habitualmente
-
(proveedores de servicio)
Puede ralentizar los ataques y evitar así el consumo de
recursos
6.2.3.2. Desventajas
19
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
-
La revisión del consumo debe ser permanente, aunque
-
se pueden definir políticas.
(Si es genérico) Se trata de un recurso más orientado a
la gestión de comunicaciones que a la gestión del
servicio (distintas personas).
Un sistema de gestión de ancho de banda para controlar el correo
estaría conectado entre el router de salida y los sistemas de
cortafuegos de la organización. Se configuraría para priorizar
servidores de correo en la entrada y salida.
Figura 11: Despliegue de la Gestión de Ancho de Banda
Fuente: Conferencias FIST.Titulo: Técnicas Anti-Spam.Página Nº
27. Autor: Germinus
6.3. Como Evitar el Antispam
6.3.1. Detección de Spam
El usuario suele tender a ignorar los Spam sin poner ningún
tipo de medio para evitarlo, por la sencilla razón de que desea que le
lleguen todos los correos electrónicos, ya sean "buenos" o "malos",
de esa manera tiene la seguridad de que no pierde (no se le bloquea)
ningún correo de los que se suelen considerar "buenos". Este hecho
de saber diferenciar entre los correos buenos de los malos es el
fundamento de los programas o sistemas Antispam. Mientras algunos
sistemas permiten a los usuarios finales tener cierto control sobre
este equilibrio, la mayoría de las técnicas suelen tener errores por
donde termina entrando la basura, por ejemplo, existen Antispam
cuya técnica consiste en hacer perder gran cantidad de correos
20
Teória e Implementación de Gateway AntiSpam
Curso de
Actualización
Profesional
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
electrónicos basura con la finalidad de reducir el número de correos
legítimos.
La detección de Spam basado en el contenido del mensaje de correo
electrónico, ya sea mediante la detección de palabras clave como
"viagra" o por medios estadísticos, es muy popular. Estos métodos
pueden ser muy precisos cuando se sintoniza correctamente a los
tipos de correo legítimo que una persona recibe, pero también
pueden cometer errores tales como la detección de la palabra clave
"cialis" en la palabra "especialista". El contenido tampoco determina
si el Spam estaba destinado a una dirección particular o bien de
distribución masiva, las dos principales características de Spam. Un
ejemplo podría ser: si un amigo le envía una broma que menciona
"viagra", los filtros de contenido pueden marcarlo como Spam a pesar
de que no ha sido enviado con ningún tipo de maldad.
Las agrupaciones más populares son las conocidas como listas
negras, que son listas de direcciones IP de Spammers conocidos,
que abren enlaces, etc, en resumen, zombis de Spam.
También existen los spamtraps, que son direcciones de correo
electrónico inválidas o que no se utilizaron durante mucho tiempo y
que se utilizan para recoger correo basura.
6.3.2.
Técnicas de usuarios finales
Existen técnicas que los usuarios finales pueden utilizar
para restringir la disponibilidad de sus direcciones de correo
electrónico, la reducción o la prevención de su atractivo para el
Spam.
6.3.3.
Dirección munging
Direccionamiento anónimo, o con un nombre y dirección
falsa, es una manera de evitar la dirección de correo electrónico
recolectora, aunque los usuarios deben asegurarse de que la
dirección falsa no es válida. Los usuarios que quieren recibir correo
21
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
legítimo podrán alterar sus preferencias en sus cuentas de manera
que los usuarios puedan entenderlo, pero los Spammers no pueden.
Por
ejemplo:
podría
joe
@
[email protected].
example.net
La
dirección
renombrado
munging,
a
sin
embargo, puede provocar respuestas legítimas a ser perdido. Si la
dirección del usuario es inválida, debería aparentar estar activa, o ser
de otra persona o algún servidor. Otras formas para evitar este
munging es permitiendo a los usuarios ver la dirección real, pero
ocultarlo al correo electrónico recolector con métodos tales como la
visualización de la totalidad o parte de la dirección de correo
electrónica en páginas webs como una imagen, un logotipo de texto
reducido a su tamaño normal usando CSS en línea, o como texto
mezclada con el orden de los caracteres restaurado usando CSS.
6.3.4.
Evitar responder al Spam
Los Spammers solicitan a menudo respuestas respecto al
contenido de sus mensajes, -incluso admiten las respuestas como
"No me spamees"- como la confirmación de que una dirección de
correo electrónico es válida. Del mismo modo, muchos mensajes de
Spam contienen enlaces o direcciones que el usuario se dirige a
seguir para ser removido de la lista de correo de Spammers. En
casos extremos, los spams-combatientes han puesto a prueba esos
vínculos, confirmando con ello que no conducen a la dirección del
destinatario, la redirección, en todo caso, conducen a más Spam.
Las direcciones de los remitentes son a menudo falsificadas en
mensajes de Spam, incluyendo el uso del destinatario la propia
dirección como la dirección del remitente falsificado, con el fin de
responder al Spam que pueda resultar en entregas o no podrá llegar
a inocentes usuarios de correo electrónico cuya dirección han sido
objeto de abusos.
En Usenet, es ampliamente considerado aún más importante para
evitar responder al Spam. Muchos proveedores de software tienen
22
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
que buscar y destruir los mensajes duplicados. Alguien puede ver un
Spam y responder a el antes de que sea cancelado por su servidor,
eso puede tener un efecto de reposting para ellos; al no ser un
duplicado, la copia reposted durará más tiempo.
6.3.5. Formularios electrónicos de contacto
Los formularios electrónicos de contacto permiten a los
usuarios mediante el envío de mensajes remitir su correo electrónico,
rellenando los formularios en un navegador web. Al solicitar el
servidor web una serie de datos, también se puede facilitar con ello la
transmisión de una dirección de correo electrónico. El usuario nunca
ve la dirección de correo electrónico. Los formularios de contacto
tienen el inconveniente de que requieren de un sitio web que apoya a
los scripts del lado del servidor. También son incómodas al remitente
del mensaje ya que no son capaces de utilizar sus clientes preferidos
de correo electrónico. Por último, si el software utilizado para ejecutar
los formularios de contacto que está mal diseñado puede convertirse
en herramientas de Spam en su propio derecho. Además, muchos
Spammers han adoptado para sí el uso de formularios de contacto
para enviar Spam a los destinatarios.
6.3.6. Desactivar HTML en correo electrónico
Muchos programas de correo modernos incorporan la
funcionalidad del explorador de Web, tales como la visualización de
HTML, URL, y las imágenes. Esto puede exponer al usuario al ataque
incluso con las imágenes Spam. Además, el Spam escrito en HTML
pueden contener fallos web que permite a los Spammers verificar que
la dirección de correo electrónico es válida y que el mensaje no ha
sido atrapado en los filtros de Spam. Los programas compilados en
JavaScript se pueden utilizar para dirigir el navegador Web del
usuario a una página de publicidad, o para hacer el mensaje de
Spam difícil de cerrar o eliminar. Los mensajes de Spam evitan los
ataques contra las vulnerabilidades de seguridad en el renderizador
23
Teória e Implementación de Gateway AntiSpam
Curso de
Actualización
Profesional
Seguridad en
Redes
Informáticas
Asunto: Filtrado de Anti-Spam
de HTML, el uso de estos agujeros para instalar el software espía.
(Algunos de los virus son sufragados por los mismos mecanismos).
Los
clientes
de
correo
electrónico
que
no
se
descarga
automáticamente y muestran HTML, imágenes o archivos adjuntos,
tienen menos riesgos de ser spameados, al igual que los clientes que
se han configurado para no mostrar estos por defecto.
6.3.7. Tener disponibles varias direcciones de correo electrónico
Muchos usuarios de correo electrónico tienen a veces la
necesidad de dar su dirección a un sitio sin tener la garantía absoluta
de que el sitio no enviará Spam. Una forma de mitigar este riesgo
está en proporcionar una dirección de correo electrónico temporal
que remite los correos a la dirección de su cuenta real, que el usuario
puede desactivar o abandonar. Las direcciones se pueden manipular
manualmente, haciendo que se deshabiliten después de un tiempo o
también deshabilitándola después de un cierto número de mensajes
transmitidos. Los sitios que no actúan adecuadamente este tipo de
direcciones se encuentran en estado de ilegalidad.
6.3.8. Contraseñas buenas
Algunos sistemas solicitan contraseñas reales de remitentes
para así infundirles la confianza de que no se trata de un sitio que
utilizará
su
cuenta
para
realizar envíos de
correo
basura.
Normalmente la dirección de correo electrónico y su contraseña se
solicitan en una página web, la contraseña irá incluida en el "asunto"
del envío de correo electrónico. Estas contraseñas a menudo se
combinan con sistemas de filtrado, para contrarrestar el riesgo de que
un sistema de filtrado accidentalmente identifique una contraseña
como Spam de un mensaje.
6.3.9. Denunciar el Spam
La búsqueda de un Spammers del ISP y la falta de
información puede conducir al servidor spamer liquidado. Por
desgracia, suele ser difícil localizar al Spammers, y si bien existen
algunas herramientas en línea que ayudan, no siempre son las más
24
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
correctas. Ocasionalmente, los Spammers emplean sus propios
netblocks. En este caso, el abuso de contacto para el netblock el
Spammers puede ser sí mismo y puede confirmar su dirección.
Una herramienta útil y gratuita que puede utilizarse en la
presentación de informes de Spam está también disponible
(Complainterator). El
Complainterator
enviará
automáticamente
generados por una denuncia al secretario del Spam y el registrador
de dominio de sus servidores de nombres.
7. ¿QUÉ ES UN GATEWAY-ANTISPAM?
7.1.
Definición
Los Gateway Antispam permiten:
La gestión de cuentas de correo electrónico masivo no
solicitado para la frase crucial y las palabras claves dentro de
los contenidos.
Envíe correo electrónico masivamente gestión de palabras
para detectar el texto del correo electrónico masivo no
solicitado y filtra opción del texto para las mismas palabras.
Facultar y desactivar correo electrónico masivo no solicitado
inspecciona el id específico del remitente.
El bloqueo y filtro de mensajes de correo electrónico
masivamente el cual se bloquea en el portal de acceso.
7.2.
Ventajas
El proceso de analizar los correos en busca de Spam es
puesto fuera de nuestro servidor de correo, por lo que no
afecta el rendimiento de nuestro servidor de correo.
Se puede reemplazar fácilmente en caso de que se necesite
más potencia, sin tocar la configuración de nuestro servidor
de correo.
Se puede poner todo un pool, de servidores que se repartan
la carga del filtrado en caso de que nos enfrentemos a un alto
25
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
tráfico, sin que sea necesario cambiar la configuración de
nuestro server de correo.
Puede actuar con cualquier servidores de correo electrónico,
cómo sendmail, exim, postfix, qmail, Microsoft Exchange, etc.,
pues el filtrado se produce durante la sesión SMTP, no al
momento de hacer la entrega del correo al buzón.
7.3.
Soluciones de Gateway AntiSpam
7.3.1. Gateway Antispam Propietarios
7.3.1.1.
IronPort Series C
Creada por pioneros en la mensajería de Internet
procedentes de Hotmail, eGroups, Listbot y Yahoo, IRONPORT
SYSTEMS es hoy en día el primer proveedor de productos y
servicios de infraestructura y seguridad de correo electrónico.
IronPort ha desarrollado una familia de productos basados
en Appliances para Gateway de correo con alto desempeño y
sencillez de uso sin precedentes en el mercado, con un costo total
de propiedad (CTO) muy bajo y se constituyen por si en equipos
Mail Transfer Appliance (MTA) de alta Seguridad de GateWay.
Figura 12: Arquitectura Tecnológica de IronPort Serie C
26
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente: www.cisco.com Titulo:IronPort Modelos Serie C.Pagina
Nº 27. Autor: Company IronPort
Figura 13: La Visión del IronPort Serie C
Fuente: IronPort System. Titulo: El E-Mail Seguro Subiendo el
Nivel. Página Nº 09. Autor: Mario Velarde
Figura 14: IronPort Serie C Soluciones
27
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente: IronPort System. Titulo: El E-Mail Seguro Subiendo el
Nivel. Página Nº 11. Autor: Mario Velarde
7.3.1.1.1. IronPort SenderBase
La red SenderBase de IronPort provee una visión
sin precedentes de las amenazas a la seguridad en todo el
mundo, en tiempo real. SenderBase puede ser utilizado como
un "servicio de reporte de crédito" para correo electrónico,
ofreciendo información comprensiva que los proveedores de
Internet (ISPs) y las compañías pueden utilizar para diferenciar
remitentes legítimos de spammers y otros atacantes y le
permite a los administradores de correo electrónico tener una
clara visión sobre quién les envía correo.
7.3.1.1.1.1.
Identifica Amenazas
SenderBase recolecta información de 10
veces más redes que los sistemas de monitoreo de la
competencia, lo que se traduce en más del 25% del tráfico
web y de correo electrónico del mundo. Este volumen
provee una muestra de tamaño significativo, resultando en
la inmediata y precisa detección hasta de remitentes de
bajo volumen. Un altamente diverso grupo de más de
100,000 organizaciones, incluyendo las más grandes redes
del mundo, contribuyen a SenderBase dando información a
una increíble tasa de 5,000 millones de mensajes por día.
La red SenderBase ofrece a los administradores una
visibilidad de las amenazas de seguridad alrededor del
mundo en tiempo real sin precedentes.
7.3.1.1.1.2.
Tener una Visión Completa
28
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
La amplitud de la información es clave al
momento de determinar con certeza una amenaza de
seguridad. Si se observa un conjunto estrecho de datos se
pueden determinar falsos positivos. Por ejemplo, el
volumen es un parámetro muy interesante. Los altos
niveles de correo se correlacionan con el spam, sin
embargo hay instancias legítimas de alto volumen, como
los remitentes que envían alertas de noticias importantes.
Si el volumen fuera la única métrica, muchos correos
legítimos serían bloqueados. No obstante, si se examina el
volumen además de otros parámetros como las quejas de
los usuarios finales, las características zombis y el país de
origen, es posible obtener conclusiones más acertadas.
SenderBase examina el más amplio rango de datos en la
industria, con más de 90 parámetros acerca del tráfico de
correo electrónico y 20 parámetros acerca del tráfico Web.
Los parámetros que se rastrean incluyen volumen global de
envío, niveles de quejas, cuentas "spamtrap", si el DNS del
remitente resuelve adecuadamente y acepta correo de
regreso, país de origen, información de listas negras,
probabilidad de que los URLs aparezcan como parte de un
ataque de spam o virus, estatus de Proxy abierto, uso de
espacio IP no propio, recipientes válidos e inválidos, y otros
parámetros. Nunca había sido tan fácil distinguir a los
"buenos" de los "malos" con una sola aplicación.
7.3.1.1.1.3.
Solicitar la Más Alta Calidad de Datos
IronPort cuenta con más de tres años de
experiencia en el manejo de calidad de datos e integridad.
Desarrollamos el Data Quality Engine para evaluar la
calidad de un conjunto de datos al correlacionar en forma
cruzada diversas fuentes de datos con referencias o
benchmarks conocidas. Este sistema le permite a
SenderBase acceder a fuentes de datos "sucias" y aún así
derivar algún valor al balancear adecuadamente los datos
de acuerdo a la calidad. Además, se realizan calibraciones
periódicas de datos y chequeos manuales.
Figura 15: SenderBase IronPort Serie C
29
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente: www.cisco.com Titulo:IronPort Modelos Serie C. Autor:
Company IronPort
Más de 100,000 organizaciones participan en la red IronPort
SenderBase Network, constituyendo así el sistema de
monitoreo de tráfico Email y Web más grande del mundo.
Figura 16: SenderBase IronPort Serie C
Fuente: www.cisco.com Titulo:IronPort Modelos Serie C. Autor:
Company IronPort
7.3.1.1.2. IronPort Image Analysis
El crecimiento en la disponibilidad de dispositivos
para captura de imágenes agregado a la velocidad de
conexión en Internet y en redes ha permitido a los usuarios
corporativos crear, cargar y compartir imágenes ilícitas en
forma global en cuestión de segundos.
30
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Simplemente, las compañias se encuentran bajo los siguientes
riesgo por no atajar el tme ade contenido inapropiado en el
lugar de trabajo:
-
Responsabilidad
legal
impuesta
por
-
regulaciones
Pérdida de reputación e imagen corporativa
Disminución en la productividad del usuario
Abuso de las redes corporativas
leyes
y
Para poder lidiar con el problema de la pornografía y muchos
otros temas, las compañias típicamente implementan un
reglamento llamado Política de Uso Aceptable -Acceptable Use
Policy (AUP)-. El sistema de análisis de imágenes de IronPort
ayuda a las compañias en el cumplimiento de PUA
identificando imágenes ilícitas en la red de correo corporativa.
Los beneficios de esta solución incluyen:
-
Identificar los transgresores de la Política
Educar a lo sospechosos sobre las reglas de la
-
compañía y leyes locales
Evitar la responsabilidad legal publicando los mejores
-
esfuerzos para prevenir y corregir el acoso
Preservar la imágen de la compañia
Figura 17: Análisis de Imágenes
31
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Seguridad en
Redes
Informáticas
Asunto: Filtrado de Anti-Spam
Fuente: www.cisco.com Titulo: IronPort Modelos Serie C. Autor:
Company IronPort
7.3.1.1.2.1. Características:
Detección Multi-Capa se activa durante el proceso
de escaneo. IronPort Image Analysis utiliza 11
métodos diferentes de detección en los archivos
adjuntos para generar un veredicto. Los métodos de
detección incluyen avanzadas técnicas, separación
de partes del cuerpo y muchas más
Veredicto Configurable. Las reglas de filtrado de
análisis
de
imágen
permite
al
administrador
determinar que acciones tomar basado en los
veredictos Clean, Suspect e Inappropriate y
representan un valor numérico asignado por el
algoritmo
para
determinar
la
probabilidad
de
contenido ilícito. Se recomiendan los siguientes
valores, los cuales pueden ser ajustados acorde a
cada empresa:
- Clean: 0 a 49
- Suspect: 50 a 74
- Inappropriate: 75 a 100
Escaneo de imágenes embebidas que permite la
inspección de los siguientes tipos de archivos
32
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
embebidos y adjuntos: JPEG, BMP, PNG, TIFF, GIF,
TGA, ICO and PCX.
Integración de Políticas la cual provee a los
usuarios la capacidad de tomar acciones basadas en
políticas determinadas.
7.3.1.1.3. Phishing - El gran Problema
Phishing es el intento criminal y fraudulento de
adquirir información sensible como nombre de usuario,
passwords detalles de tarjetas de credito, creando una
máscara que simula la entidad verdadera en una comunicación
electrónica que típicamente es enviada por correo electrónico.
Figura 18: Crecimiento Evolutivo de Ataques Phishing
Fuente: www.cisco.com Titulo:IronPort Modelos Serie C. Autor:
Company IronPort
Como miembro de Anti-Phishing Working Group (APWG),
IronPort Systems esta dedicado y comprometido en solucionar
la amenaza de Phishing. Los appliances de seguridad de
gateway proveen una primera línea de defensa en una
aproximación de seguridad para combatir ese problema en
forma efectiva y total.
33
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
7.3.1.1.4. Prevención de Pérdida de Información / Data
Loss Prevention -DLPLa Pérdida de Información es un muy serio
problema para las compañias dado que el número de
incidentes
continúa
creciendo.
Sin
importar
si
es
malintencionado o un error involuntario, la pérdida de
información puede disminuir el valor de la marca, reducir el
valor de la acción y dañar el buen nombre y reputación de la
misma.
Puede ser correo electrónico, mensajería instantánea, correo
web, una forma de sitio web ó una transferencia de archivos,
las comunicaciones electrónicas que salen de la entidad aún
se mantienen sin control en gran medida y no son
monitoreadas en su camino o en el destino generando el
potencial problema que información confidencial caiga en
manos equivocadas.
Figura 19: Prevención de Perdida de Información
34
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente: www.cisco.com Titulo: IronPort Modelos Serie C. Autor:
Company IronPort
IronPort soluciona el problema de Pérdida de Información
utilizando filtros predefinidos para regulaciones HIPAA, GLB,
SOX y varios más; encriptación de correo, escaneo de
contenido multi-protocolo de alto desempeño, protección web y
de mensajería instantánea y herramientas de administración
corporativa.
Los MTA de IronPort cuentan con un esquema de servicios
aplicables basados en módulos por subscripción por periodos
de uno o tres años. Cada uno de ellos, cumple funciones
específicas dentro del MTA pero a la vez interactúan de forma
tal que cuando se implementan todos los módulos (situación
ideal) se obtiene la máxima protección en todo el sistema de
correo electrónico corporativo.
7.3.1.1.5. Defensa Antispam
35
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Los filtros de reputación de e-mail (E-mail
Reputation Filters) de IronPort crean una primera barrera de
defensa crítica, que bloquea el 80% del spam que entra en la
conexión TCP. En cambio, para el 20% de los mensajes
“dudosos” es esencial limitar la velocidad y analizar el
contenido de cada uno. Este es el cometido del segundo nivel
de defensa, IronPort Antispam, que se basa en la tecnología
exclusiva CASE (Context Adaptive Scanning Engine) de
IronPort, que examina el contexto completo de cada mensaje.
La combinación de la puntuación atribuida por CASE, de la
nota de reputación del remitente y de la nota de reputación
obtenida por el sitio Web al que el e-mail remite al lector,
obtiene resultados más fiables que las técnicas convencionales
de filtrado de spam de un solo nivel. La tasa de captura de
IronPort Antispam es superior al 98%, con una tasa de falsos
positivos inferior a 1 sobre un millón. Para las organizaciones
que desean que sus usuarios gestionen su spam, IronPort
propone la Spam Quarantine. Se trata de una cuarentena de
spam que da acceso libre a los usuarios, permitiéndoles
verificar por sí mismos sus mensajes y la eventual presencia
de falsos positivos. Es accesible a través de un navegador web
o un cliente e-mail y se integra con los sistemas de mensajería
y de directorios existentes en su empresa.
En el marco de la lucha contra los virus en la pasarela de
mensajería, los filtros de ataques de virus (Virus Outbreak
Filters) también en este caso permiten un primer nivel de
defensa contra las alertas de virus. Sin embargo, es
igualmente importante desplegar en la pasarela un antivirus
basado en firmas, que permitirá verificar el 20% de los
mensajes que son aceptados por los filtros de reputación.
36
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Con este objeto, IronPort también ha incorporado las firmas
antivirus de Sophos, que se benefician de una administración y
un reporting unificados. El motor antivirus de Sophos está
estrechamente acoplado a IronPort Virus Outbreak Filters, lo
cual permite analizar los mensajes en modo prueba antes de
liberarlos de la cuarentena. IronPort y Sophos colaboran para
identificar y bloquear los ataques de virus, teniendo como
objetivo la protección óptima de sus clientes comunes. Para un
máximo de eficacia, el motor de Sophos opera sobre los
mensajes en memoria. Un mensaje se pone en cola de espera
una sola vez en disco, después, se examina en múltiples
ocasiones en memoria. Las reglas de Sophos están totalmente
integradas en los filtros de mensajes de IronPort.
7.3.1.1.6. Defensa ANTI-VIRUS
Los modelos de la Serie C incorporan como
segundo módulo, protección AV, la cual se efectúa en forma
interna en el MTA utilizando motores específicos para tal fin de
dos proveedores altamente reconocidos en el mercado como
son MaCafee y Sophos. De esta forma se puede garantizar en
el procentaje más alto del mercado que los correos que
finalmente llegarán al servidor de correo y al cliente final se
encuentran libres de problemas.
7.3.1.1.7. Virus OutBreak Filters
Como parte del cuarto módulo, IronPort Virus
Outbreak Filters, integrados en los appliances Serie C, realizan
una evaluación de las amenazas en los mensajes entrantes y
salientes y ponen en cuarentena los mensajes sospechosos.
Los mensajes se liberan automáticamente una vez que las
firmas de los proveedores de anti-virus tradicionales se han
desplegado.
37
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
El motor de exploración antivirus de Sophos, líder del mercado,
está integrado en los appliances IronPort Serie C para ofrecer
la protección contra virus en el gateway más efectiva hoy en
día. El objetivo de Sophos es ofrecer la solución antivirus más
avanzada para clientes corporativos; su motor utiliza diversas
técnicas para detectar y limpiar las principales formas de virus.
De esta forma la exposición al Día_Cero se ha reducido en la
gran mayoría de los casos a solo minutos, ya que las alarmas
se desplegan en forma automática a todos los MTA's alrededor
del mundo una vez se detecta alguna amenaza de esta
naturaleza.
7.3.1.1.8. Tecnología de Encriptación PXE
El sistema de encriptación de IronPort -PostX- esta
incorporado dentro del cuarto módulo aplicable a todos los
modelos. Se constituye en un servicio de la más alta calidad y
seguridad en procesos de encriptación de correo electrónico,
con grandes ventajas y características. Una de ellas es el
hecho de no tener que utilizar o instalar cliente alguno en el
equipo final que recibe el correo encriptado. El proceso es muy
sencillo, una vez se genera un correo encriptado, el
destinatario recibe un correo con instrucciones para registrarse
en CRES -Cisco Registration Service-, procedimiento que una
vez efectuado le permitirá al destinatario abrir el correo original
el cual encontrará como un archivo adjunto. CRES únicamente
mantiene el registro de usuario y password de destinatarios,
nunca el correo encriptado o rastro alguno del mismo.
38
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Figura 20: Funcionamiento de la Tecnología PXE
Fuente: www.cisco.com Titulo: IronPort Modelos Serie C. Autor:
Company IronPort
IronPort ofrece la posibilidad a aquellas entidades que
requieren mantener la base de datos de destinatarios de
correo
encriptado
y
sus
correspondientes
passwords
localmente en sus instalaciones, de implementar en forma
adicional el sistema IronPort Encription Appliance -IEA- el cual
puede integrarse en forma transparente con cualquiera de los
modelos Serie C.
7.3.1.1.9. Tratamiento del Contenido
Los appliances IronPort Serie C ofrecen
capacidades de filtrado rápido, flexible y preciso de los
mensajes, basados en la dirección IP de origen o de destino, el
dominio o la dirección, el encabezamiento, las palabras clave
en el cuerpo del mensaje, archivos adjuntos, reputación del
remitente, etc.
39
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Con un MTA de IronPort cualquier entidad podrá reducir en
forma dramática la cantidad de appliances instalados de otras
marcas y dedicados a funciones específicas cada uno, como
se ha demostrado en todos los ISP's usuarios hoy en día de la
tecnología IronPort.
Figura 21: Tratamiento de Contenidos con IronPort Series C
Fuente: www.cisco.com Titulo: IronPort Modelos Serie C. Autor:
Company IronPort
7.3.1.1.9.1.
Principales Funcionalidades
-
Tecnología MTA avanzada para gestión de
-
mensajería electrónica.
Defensa Anti-Spam con filtros de reputación
y IronPort Anti-Spam: índice récord en captura
-
del spam con imágenes (> 97%).
Defensa Anti-Virus con Virus Outbreak
-
Filtres y Sophos Anti-Virus.
Análisis de contenido: filtrado y encriptación
de los mensajes.
40
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
7.3.1.1.10. Gestión, Supervisión y Reporting
IronPort ofrece herramientas muy elaboradas de
gestión, supervisión y reporting que responden a las
necesidades de las grandes multinacionales y de los ISP
(Proveedores de Servicios de Internet) que constituyen su
clientela. Cada appliance está dotado de un sistema exclusivo
de reporting o generación de informes en tiempo real, Mail
Flow Monitor TM, que vigila las conexiones entrantes o
salientes. A través de IronPort Mail Flow Monitor y su interfaz
Web, los administradores del sistema pueden visualizar
fácilmente las actividades de sus colas. Los principales
dominios cuyos mensajes se ponen en cola de espera se
presentan con estadísticas. En una misma página, el
administrador puede ver el número de mensajes en una cola,
el número de conexiones abiertas, los mensajes enrutados con
éxito y los mensajes de error.
Es posible ampliar detalladamente cada dominio. La pantalla
indica las direcciones IP de todos los registros MX asociados a
ese dominio, el estado (localizable o no) del dominio, el último
intento de conexión y la fecha del mensaje más antiguo en
cola para este dominio, así como los detalles sobre los
mensajes de error o códigos de error recibidos de este último.
Esta completa herramienta permite a los administradores
identificar y resolver rápidamente los problemas. Además, el
sistema autoriza la “depuración por dominio” que, al registrar
cada intercambio SMTP para un dominio especificado, permite
al administrador detectar los problemas sin tener que
comprobar un voluminoso archivo log. Para que resulte más
fácil, se pueden redirigir algunos mensajes hacia un anfitrión
(host) o servidor remoto, incluso, pura y simplemente,
eliminarlos.
41
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Para el correo electrónico entrante, Mail Flow Monitor indica
los principales remitentes durante un tiempo determinado,
puntuándolos en materia de reputación, de spam y de virus, y
poniendo de manifiesto las anomalías de volumen. A partir de
esta vista resumida, el administrador puede inspeccionar
detalladamente a cualquier remitente sospechoso y obtener su
histórico completo, incluyendo algunos datos de reputación
procedentes de la red de
IronPort SenderBase. También puede saber si el sistema limita
la velocidad y, en caso afirmativo, cuántos mensajes han sido
frenados (lo que representa una posibilidad única, ya que la
mayoría de los métodos de limitación de velocidad solamente
ralentizan una conexión, de modo que no es posible conocer el
volumen de correo electrónico realmente frenado). Si el
administrador
desea
modificar
la
regla
aplicada
automáticamente a un remitente determinado, puede hacerlo
con algunos clics a través del interfaz de Mail Flow Monitor.
Además de las funciones de reporting y de gestión en tiempo
real de Mail Flow Monitor, IronPort ofrece una herramienta
centralizada de reporting histórico a través de Mail Flow
CentralTM (MFC), el cual extrae los datos de registros (logs)
de múltiples sistemas y los carga en una base SQL para
obtener potentes análisis de tendencias sobre las prestaciones
de filtrado de spam, de virus y de contenido. MFC también
dispone de una potente herramienta de seguimiento de
mensajes, capaz de buscar el correo electrónico destinado o
procedente de un interlocutor determinado, en función del
asunto, del tipo de documento adjunto, etc. Esto aporta una
considerable ganancia de eficacia al administrador, quien
hasta ahora tenía que comprobar los logs de tres o cuatro
sistemas distintos para diagnosticar un mensaje. El software
42
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Mail Flow Central se adapta a las necesidades de la empresa
en términos de capacidad. Está destinado a funcionar en un
puesto de trabajo o un servidor que se encuentre fuera de la
DMZ (zona desmilitarizada), de forma que el reporting histórico
y el seguimiento no perturben nunca a una máquina DMZ de
producción. Además, IronPort publica el esquema básico de
datos de Mail Flow Central para facilitar la creación de
peticiones personalizadas.
IronPort se encarga de la vigilancia e-mail y SNMP para las
funciones críticas del sistema. Los eventos relativos al estado
del sistema y la seguridad de las aplicaciones se comunican a
través de traps SNMP y de alertas e-mail configurables. Todos
los datos del sistema en tiempo real de Mail Flow Monitor
también son accesibles a través de un “estado” XML en el
sistema. Los ingenieros de IronPort han desarrollado varios
scripts que pueden servir para extraer informaciones de estado
en tiempo real y transmitirlas a una red de vigilancia más
extensa.
7.3.1.1.11.
Administración Centralizada
Gracias a la administración centralizada,
cualquier modificación realizada en uno de los sistemas puede
ser repercutida por el administrador a otra máquina, a un grupo
de máquinas o al parque entero. Este sistema “multi maestro”, muy potente y evolucionado, ha sido creado para
responder a las necesidades de las operadoras y grandes
empresas cuyos centros están dispersados geográficamente.
El sistema está dispuesto según una red entramada “peertopeer”, en la que la configuración de cada máquina se
almacena en sus homólogas. Esto ofrece una máxima
flexibilidad, ya que basta con realizar los cambios en
cualquiera de las máquinas para desplegarlos después en todo
43
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Seguridad en
Redes
Informáticas
Asunto: Filtrado de Anti-Spam
el parque. En caso de fallo de una máquina, se atribuye una
dirección
IP
a
una
nueva
y
se
pone
en
contacto
automáticamente con sus homólogas para reconfigurarse.
Todas las informaciones de configuración del sistema también
están disponibles en forma de un archivo XMI que sirve de
copia de seguridad permanente. Todas las modificaciones
están consignadas por el administrador y existen tres niveles
de acceso: sólo lectura, administrador y super usuario.
7.3.1.1.12. IronPort Versus Otros Productos del Mercado
Figura 22: IronPort Series C Vs Soluciones de Competencias
Fuente: IronPort System. Titulo: El E-Mail Seguro Subiendo el
Nivel. Página Nº 14. Autor: Mario Velarde
-
Ratio mas bajo de falsos positivos (1 en 1 millón)
Cero administración
Figura 23: IronPort Series C Vs Otros Productos
44
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente: IronPort System. Titulo: Cisco and Today’s Email and
Web Threat Landscape. Página Nº 17. Autor: Company
IronPort
7.3.1.1.13. Implementación de IronPort Serie C AntiSpam
Figura Nº 24: Interfaz de Bienvenida de IronPort C150
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.00 a.m
Figura Nº 25: Autentificación Username: admin, password: masongarson
45
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.05 a.m
46
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Figura Nº 26 : Interfaz Principal del IronPort C150
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.06 a.m
47
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Figura Nº 27: Menu Securety Services (Anti-Spam)
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.07 a.m
48
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Figura Nº 28: Menu Item Anti-Spam ---> IronPort Anti-Spam
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.08 a.m
Figura Nº 29: Subinterfaz IronPort Anti-Spam
49
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.09 a.m
Figura Nº 30: Activar el Botón Enable
50
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.10 a.m
51
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Figura Nº 31: Subinterfaz IronPort Commit Changes
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.11 a.m
52
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Figura Nº 32: Activar el Boton Commit Changes
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.12 a.m
53
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Figura Nº 33: Subinterfaz Uncommitted Changes
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.13 a.m
Figura Nº 34: Ir a Menú Mail Policies
54
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.14 a.m
Figura Nº 35: Ir a Menú Mail Policies
55
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.15 a.m
Figura Nº 36: Activar el Submenu Incoming Mail Policies
56
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.16 a.m
Figura Nº 37: Subinterfaz Incoming Mail Policies
57
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.17 a.m
Figura Nº 38: Activar el Link Anti-Spam ---> Disable
58
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.18 a.m
59
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Figura Nº 39: Subinterfaz Mail Policies: Anti-Spam
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.19 a.m
Figura Nº 40: Activar el Ckeck: Use selected Anti-Spam service (s)
60
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.20 a.m
Figura Nº 41: Activar el Ckeck: Use selected Anti-Spam service (s)
61
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.21 a.m
Figura Nº 42: Activar el Ckeck: Use selected Anti-Spam service (s) ,
verificar el Add Text to Subject.
62
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.22 a.m
Figura Nº 43: Activar el combobox y seleccionar los Items.
63
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.23 a.m
Figura Nº 44: Activar el combobox y seleccionar el Item Drop.
64
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.24 a.m
Figura Nº 45: Verificar las activaciones de los Checks.
65
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.25 a.m
Figura Nº 46: Verificar las activaciones de los Checks.
66
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente:https://ironportantispam.gmu.edu/login?referrer=https
%3A%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco
and Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.26 a.m.
Figura Nº 47: Verificar la activación del Link: IronPort Anti-Spam,
Positive: Drop, Suspected.
67
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.27 a.m.
Figura Nº 48: Activar el Bottom Commit Changes
68
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.28 a.m.
Figura Nº 49 : Subinterfaz Uncommited Changes
69
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.29 a.m.
Figura Nº 50: Subinterfaz Uncommited Changes
70
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Today’s Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.29 a.m.
7.3.1.2.
Sysmantec Brightmail Gateway
71
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
7.3.1.2.1. Definición
Symantec Brightmail Gateway ofrece seguridad para
la mensajería entrante y saliente con protección antivirus y
Antispam efectiva y precisa, filtrado de contenidos avanzado,
prevención contra la pérdida de datos y cifrado del correo
electrónico.
Atrapa más del 99% del Spam con menos de un falso positivo
por millón, utilizando actualizaciones automáticas y en tiempo
real, análisis de la reputación de IP locales y globales, y la
elaboración de informes completos a fin de ofrecer protección
rentable contra las nuevas amenazas para la mensajería.
Symantec
Brightmail
Gateway
ofrece
una
seguridad
galardonada de los sistemas de mensajería que protege los
mensajes entrantes y controla los mensajes salientes con las
siguientes características:
Figura Nº 51: Caracteristicas de Symantec Brightmail
Figura Nº 51: Caracteristicas de Symantec Brightmail
72
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
7.3.1.2.2. Características
de
Seguridad en
Redes
Informáticas
Symantec
Brightmail
AntiSpam
Se implementa en el gateway de Internet. Por ello, el
correo electrónico es más seguro y productivo, y ofrece a las
empresas defensa contra amenazas y spam de tipo avanzado.
7.3.1.2.2.1.
Detecta más Spam
Esta premiada solución aprovecha una serie
de eficaces tecnologías, sus centros de operaciones
distribuidos por todo el mundo, una red patentada de
detección de spam o correo no deseado y un mecanismo
de entrega de filtros en tiempo real.
7.3.1.2.2.2.
Con precisión
73
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
La identificación errónea de mensajes
legítimos como si fueran Spam ocasiona la pérdida de
oportunidades de negocios y de productividad del usuario
final. Gracias a que Symantec Brightmail AntiSpam ofrece
el índice de precisión más alto del mercado, los usuarios no
pasan por alto los mensajes importantes de correo
electrónico. Las protecciones incluyen el control diario de la
precisión de Symantec y la revisión automática de todos los
posibles falsos positivos.
7.3.1.2.2.3.
Con bajo nivel de administración
Muchas soluciones antispam aumentan aún
más la carga de los administradores. Sin embargo,
Symantec Brightmail AntiSpam se actualiza de forma
constante y automática con la protección más reciente, sin
necesidad de que los administradores ajusten o regulen los
filtros.
Figura Nº 52: ¿Cómo Funciona?
74
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
7.3.1.2.2.4.
Seguridad en
Redes
Informáticas
Protección de múltiples niveles contra el
Spam
o Más de 17 tecnologías de filtrado diferentes,
incluidas las firmas de propietario y heurística
o Umbral de spam ajustable para personalizar
los niveles de eficacia y precisión
o Filtros basados en idiomas para bloquear
spam que no sea en español
o Filtros antifraude para proteger
contra
mensajes falsos que buscan datos personales
(phishing) y fraude por correo electrónico
7.3.1.2.2.5.
Administración flexible y potente
75
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Seguridad en
Redes
Informáticas
Asunto: Filtrado de Anti-Spam
o Centro de control basado en Web que ofrece
administración
centralizada
de
varios
servidores, administración con base en roles y
alertas del sistema
o Políticas
de
correo
personalizadas
compatibles con acciones flexibles, como
marcado o cuarentena de mensajes, para
distintos grupos de usuarios
o Diversas cuarentenas: cuarentena basada en
Web
para
usuarios
o
administradores,
cuarentena
o Exchange para usuarios de Microsoft Outlook,
cuarentena Domino para usuarios de Lotus
Notes
o Compatible con LDAP
7.3.1.2.2.6. Otras funciones
o Informes: las estadísticas
de
filtrado
consolidadas en todos los servidores ofrecen
una visión del rendimiento y tendencias de
filtrado de spam
o Protección integral
contra
amenazas:
la
protección antivirus opcional analiza y limpia
los mensajes infectados con virus y gusanos
de propagación masiva
o Control de spam según
usuario:
los
complementos y las herramientas mejoran los
clientes de correo electrónico como Microsoft
Outlook y Lotus Notes con funciones que
combaten el spam
o Filtrado de contenido: las listas de remitentes
bloqueados/permitidos
personalizados
y
permiten
los
que
filtros
los
76
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
administradores adapten el filtrado a las
necesidades de la organización
7.3.1.2.3. Implementación de Symantec Brightmail Gateway
Figura Nº 52: Interfaz de Validación de Usuario
Fuente: Symantec Brightmail AntiSpam. Autor: Company
symantec. Fecha: 20/06/2010.Hora: 4:25 p.m.
Figura Nº 53: Ingresar User Name: Admin, Password:123456
Fuente: Symantec Brightmail AntiSpam. Autor: Company
symantec. Fecha: 20/06/2010.Hora: 4:28 p.m.
Figura Nº 54: Interfaz Principal, seleccionar la lista del combobox la opción:
Inbound Email Message Sumary
77
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010.Hora: 4:30 p.m.
Figura Nº 55: Interfaz Principal, seleccionar la lista del combobox la opción:
Past 7 days
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010.Hora: 4:31 p.m.
Figura Nº 56: Subinterfaz de Status
78
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010.Hora: 4:32 p.m.
Figura Nº 57: Subinterfaz de Reports
79
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010.Hora: 4:33 p.m
Figura Nº 58: Subinterfaz de Protocols
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010.Hora:4:35 p.m.
Figura Nº 59: Subinterfaz de Reputation
80
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010.Hora:4:37 p.m.
Figura Nº 60: Subinterfaz de Spam
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010.Hora:4:39 p.m.
Figura Nº 61: Subinterfaz de Virus
81
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010.Hora:4:40 p.m.
Figura Nº 62: Subinterfaz de Compliance
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010.Hora:4:41 p.m.
Figura Nº 63: Seleccionar la Subinterfaz de Reputation para configurar los links
82
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010.Hora:4:42 p.m.
Figura Nº 64: Seleccionar el Link Symantec Global Bad Sender
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010.Hora:4:45 p.m.
Figura Nº 65: Subinterfaz Symantec Global Bad Sender , activar el check
Enable Symantec Bad Sender detection
83
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010.Hora:4:46 p.m.
Figura Nº 66: Subinterfaz Symantec Global Bad Sender, activar la actions del
Check Reject SMTP connection y seleccionar el link Connections Classification
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010.Hora:4:48 p.m.
Figura Nº 67: Subinterfaz Connection Classification, activar el Enable
Connection Classification
84
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010.Hora:4:49 p.m.
Figura Nº 68: Subinterfaz Connection Classification, activar el Enable
Connection Classification
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010.Hora:4:50 p.m.
Figura Nº 69: Activar el Check del Link Fastpass
85
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010.Hora:4:51 p.m.
Figura Nº 70: Seleccionar el Bottom Edit
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010.Hora:4:52 p.m.
86
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Figura Nº 71: Activar el Check Enable Fastpass y seleccionar el Bottom Show
Advanced
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010.Hora:4:53 p.m.
Figura Nº 72: Seleccionar la Subinterfaz Spam
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010.Hora:4:56 p.m.
87
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Figura Nº 73: Seleccionar el Link Spam or Suspected Spam Delete Message
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010.Hora:4:59 p.m.
Figura Nº 74: Subinterfaz Email Spam Policy
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010. Hora: 5: 02 p.m.
88
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Figura Nº 75: Subinterfaz de Spam Message Quarantine
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010. Hora: 5: 08 p.m.
Figura Nº 76: Activar el Bottom Release
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010. Hora: 5: 10 p.m.
89
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Figura Nº 77: Subinterfaz Spam Policies, activar el Check del Link Failed
Source attack validatiom reject message y Activar el Bottom Edit
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010. Hora: 5: 12 p.m.
Figura Nº 78: Subinterfaz Email Spam Policy Activar el Check de Actions y
Reject messages faling bounce attack validation
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010. Hora: 5: 14 p.m.
90
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Figura Nº 79: Seleccionar el Link Instant Messaging
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010. Hora: 5: 17 p.m.
Figura Nº 80: Subinterfaz Instant Messaging Spim Policies, Activar el link
Incoming Spim
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010. Hora: 5: 19 p.m.
91
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Figura Nº 81: Subinterfaz Instant Messaging Spim Policies, Activar el Check
Actions y Delete The Message
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010. Hora: 5: 21 p.m.
Figura Nº 82: Subinterfaz Reports, seleccionar del combobox la opcion Spam
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010. Hora: 5: 23 p.m.
92
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Figura Nº 83: Subinterfaz Reports, activar los Checks Graph y Table
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010. Hora: 5: 24 p.m
Figura Nº 83: Subinterfaz Reports
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:
20/06/2010. Hora: 5: 24 p.m
93
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
7.3.2. Comparando IronPort Anti-Spam y Symantec Brightmail
Anti-Spam
7.3.2.1. Resultados de Tasa de Captura
La tasa de captura de Spam se mide como el número de
mensajes de Spam bloqueados, divididos entre el número total de
mensajes recibidos. Durante un periodo de un mes finalizado el 19 de
Octubre, IronPort Anti-Spam capturó un promedio de 97.1% del spam,
comparado con 93.7% de Symantec Brightmail. Esto significa que el
usuario final promedio que utiliza Brightmail recibió aproximadamente el
doble de Spam (6.7%) comparado con los usuarios de IronPort AntiSpam (2.9%).
IronPort AntiSpam catch
rate
Symantec Brightmail Anti
Spam catch rate
97.1 %
93.7 %
Estas estadísticas se calcularon con base a una muestra aleatoria de
mensajes de Spam recibidos por cuentas de correo “spamtrap”, o
Atrapa-Spam, administradas por IronPort. La tasa de captura de
Symantec Brightmail también fue correlacionada estrechamente con la
cantidad de Spam por imágenes recibida. Como muestra la figura 1, la
94
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Seguridad en
Redes
Informáticas
Asunto: Filtrado de Anti-Spam
tasa de captura de Symantec Brightmail (en rojo) se desplomó
significativamente a principios de Octubre, cuando incrementó el
porcentaje de Spam con imágenes insertadas (en amarillo).
7.3.2.2. Resultados de Tasa de Falsos Positivos
Producto
Tasa de Falsos
Positivos
IronPort AntiSpam
catch rate
Symantec Brightmail
Anti Spam catch rate
Postini
CipherTrust
Barracuda
0.0003
% Relativo de
IronPort AntiSpam
N/D
0.0017
630 %
0.0034
0.0041
0.0110
1241%
1511%
4085%
La tasa de falsos positivos se mide como el número de correos
legítimos clasificados erróneamente como Spam, dividido por el
número total de correos legítimos recibidos.
Mantener una baja tasa de falsos positivos es frecuentemente el
factor más importante al seleccionar la solución Anti-Spam,
debido a la naturaleza de misión crítica del correo electrónico.
Basándonos en las pruebas (hecha por una tercera persona, una
firma independiente) de 10,000 mensajes, IronPort Anti-Spam
tiene la más baja tasa de falsos positivos entre las cinco marcas
examinadas - 1/6 de los falsos positivos que muestra Symantec
Brightmail.
95
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
7.3.2.3. Resultados del Desempeño
El desempeño (o rendimiento) es importante para la mayoría de
los clientes ya que determina el número de sistemas que deben
utilizarse para manejar el volumen de correo electrónico de una
organización. Entre mayor sea el desempeño del motor de
búsqueda de anti-spam, menor el número de sistemas
requeridos para manejar el volumen de correo electrónico actual
y sus incrementos futuros. El escaneo anti-spam es uno de los
procesos más intensivos en cuanto a consumo de recursos en la
seguridad de correo electrónico debido a la necesidad de
analizar numerosos atributos en un mensaje. Esto significa que
cualquier incremento en el rendimiento del motor de búsqueda
anti-spam se traducirá en un incremento en el rendimiento
general del sistema. El desempeño del anti-spam se mide por el
número de mensajes escaneados en un período establecido de
tiempo – sólo con la función anti-spam habitada en el appliance
de IronPort. La figura 2 muestra el número de mensajes
escaneados por hora con el equipo IronPort C60 en diferentes
lapsos de tiempo durante los últimos dos años. Con el
lanzamiento del IronPort AsyncOS 4.7.0, IronPort escaneó
48,720 mensajes por hora contra los 25,260 de Symantec
Brightmail una diferencia de 93%.
96
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
Los resultados fueron calculados escaneando un conjunto
idéntico de mensajes aleatorios (del cuerpo de correos
electrónicos de IronPort) con una distribución de 50% de spam,
45% de correos legítimos y 5% de mensajes infectados por virus.
Tome en cuenta que las pruebas 4.7.0 fueron comparadas con el
motor Symantec Brightmail 6.0.3. Los resultados preliminares
contra la versión IronPort AsyncOS 5.0 y el motor Symantec
Brightmail 6.0.4 muestran un incremento en el rendimiento de
aproximadamente 17%.
7.3.2.4. Sinopsis
Las pruebas de Messaging Media Labs indicant que IronPort
Anti-Spam deja pasar 57% menos Spam que Symantec
Brightmail, tiene una menor tasa de falsos positivos y
aproximadamente el doble de rendimiento.
Los resultados reales pueden variar, dependiendo del perfil
específico de correo electrónico del cliente, no obstante, estos
resultados son consistentes con la mayoría de los clientes que
han evaluado ambas soluciones durante los últimos tres meses.
97
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
8. CONCLUSIONES
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
98
Curso de
Actualización
Profesional
Teória e Implementación de Gateway AntiSpam
Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informáticas
9. REFERENCIAS BIBLIOGRAFICAS
Fuente: IronPort System. Título: El E-mail Seguro Subiendo el Nivel.
Autor: Mario Velarde. Fecha de visita: 07/06/2010. [EN LÍNEA].
Fuente: IronPort Company.Título: Presentación del appliance de
seguridad e-mail IronPort. Autor: IronPort Serie C. Fecha de Visita:
10/06/2010. [EN LÍNEA].
Fuente: Red Científica Peruana. Título: Implicancias del Spam.
Autor: Jack Daniel Cáceres Meza. Fecha de Visita: 12/06/2010. [EN
LÍNEA].
Fuente: http://www.messagingnews.com. Titulo: Comparando
IronPort Anti-Spam y Symantec Brightmail Anti-Spam. Autor:
Messaging Media. Fecha de Visita: 15/04/2010. [EN LÍNEA].
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear /. Titulo: Configuración
de IronPort C150. Autor: ironPort.theacademy.ca. Fecha de Visita:
18/04/2010. [EN LÍNEA].
Fuente:
http://www.youtube.com/watch?v=aTttbrZpCYA.
Titulo:
Tecnologías de Symantec Brightmail AntiSpam. Fecha de Visita:
20/06/2010. [EN LÍNEA].
Fuente: http://www.symantec.com/la/empresas/. Titulo: Symantec
Brightmail AntiSpam. Fecha de Visita: 20/06/2010. [EN LÍNEA].
Fuente: http://www.xentic.com.pe. Titulo: Symantec
AntiSpam. Fecha de Visita: 21/06/2010. [EN LÍNEA].
Brightmail
Fuente: http://www.symantec.com/la/ventas_empresariales/ Titulo
Soluciones Symantec Brightmail AntiSpam. Fecha de Visita:
20/06/2010. [EN LÍNEA].
Fuente: http:// www.cisco.com / Titulo IronPort Modelos Serie.
Autor: Company IronPort. Fecha de Visita: 22/06/2010. [EN
LÍNEA].
Fuente: Conferencias FIST Titulo Conferencias FIST.Titulo: Técnicas
Anti-Spam. Autor Germinus. Fecha de Visita: 22/06/2010. [EN
LÍNEA].
