Introducción a Symantec Endpoint Protection Alfredo Reino alfredo_reino@symantec.com Senior Security Consultant

Transcripción

1 Introducción a Symantec Endpoint Protection 11.0 Alfredo Reino alfredo_reino@symantec.com Senior Security Consultant

2 Agenda 1 Introducción Técnica 2 Infraestructura y Comunicaciones 3 Administración y Políticas 2

3 Introducción Técnica

4 Solución Integrada Network Access Control Device Control Intrusion Prevention Firewall Anti-Spyware AntiVirus Symantec Endpoint Protection 11.0

5 Best-of-Breed Personal Firewall Personal Firewall Features Rule-based firewall engine Firewall rule triggers Application, host, service, time Full TCP/IP support TCP, UDP, ICMP, Raw IP Protocol Support for Ethernet protocols Allow or block Token ring, IPX/SPX, AppleTalk, NetBEUI Able to block protocol drivers E.g., VMware, WinPcap Adapter-specific rules Source: Magic Quadrant for Personal Firewalls 1Q06, John Girald, 27 June

6 Ingredients for Endpoint Protection Intrusion Prevention Intrusion Prevention Firewall Antispyware Combines network- and host based prevention Generic Exploit Blocking (GEB) one signature to proactively protect against all variants Granular application access control Proactive Threat Scans - Very low (0.002%) false positive rate No False Alarm 16M Installations False Alarms AntiVirus Only 20 False Positives for every 1 Million PC s

7 Intrusion Prevention System rule tcp, tcp_flag&ack, daddr=$localhost, msg="[182.1] RPC DCOM buffer overflow attempt detected", content="\x05\x00\x00\x03\x10\x00\x00\x00"(0,8) SMTP HTTP RCP SSH IM FTP GEB Signature IDS Custom Sig Engine SMTP HTTP RCP SSH IM FTP Intrusion Prevention Features Combines Generic Exploit Blocking (GEB) and SCS IDS with Sygate IDS Deep packet inspection Sygate IDS engine allows admins to create their own signatures Uses signature format similar to SNORT Regex support Signatures applied only to vulnerable applications Resistant to common and advanced evasion techniques 7

8 Intrusion Prevention System (IPS) A combination of several proactive features Intrusion Prevention (IPS) (N)IPS Network IPS (H)IPS Host IPS Generic Exploit Blocking Vulnerability-based (Sigs for vulnerability) Proactive Threat Scan Behavior-based (Whole Security SONAR) Deep packet inspection Signature based (Can create custom sigs, SNORT-like) Application Control Rules-based (System lockdown by controlling an applications ability to read, write, execute and network connections)

9 Network Threat Protection Features Back Door Blended Threat Buffer Overflow Known Exploits Network Threat Protection Key Features Best-of breed rule-based firewall engine Adapter specific rules Inspects encrypted and cleartext network traffic IPS engine Generic Exploit Blocking (GEB) Packet- and stream-based IPS Custom IPS signatures similar to Snort Location awareness 9

10 Proactive Threat Protection Zero-day Exploits System Devices System Privileges Proactive Threat Protection Key Features Behavioral threat protection Complete integration of Whole Security Confidence Online Non-signature based malware detection and blocking Protection from 0-day attacks Device Control Block peripheral devices Block read, write and execute System Lockdown and OS Protection harden the local file system and applications 10

11 Proactive Threat Protection: Behavioral Detection Engine Enumerate processes Analyze process behavior Score each process Automatic protection Enumerate all processes & embedded components Assess behavior & characteristics of each process Detection routines are weighted & processes are classified Malicious code is identified, reported & automatically mitigated? 11

12 Ingredients for Endpoint Protection Device Control Device Control Prevents data leakage Restrict Access to devices (USB keys, Backup drives, MP3) Intrusion Prevention Firewall Antispyware AntiVirus

13 Device Protection Disgruntled Employee/ Inside Attacker Autorun exploits, rootkits, spyware, etc. Device Protection Features Device Blocking Ports Block devices by type (Windows Class ID) Block read/write/execute from removable drives Support for all common ports USB Parallel Infrared Firewire Bluetooth SCSI Serial PCMCIA 13

14 Infraestructura y Comunicaciones

15 Componentes Algo de terminología Symantec Endpoint Protection Manager (SEPM) Symantec Endpoint Protection (SEP) Symantec Network Access Control (SNAC) Group Update Proxy (GUP)

16 Componentes Arquitectura de referencia

17 Componentes Base de Datos La base de datos puede ser local o remota Local (integrada) -> Sybase Anywhere 9 Externa -> Microsoft SQL Server 2000 / 2005 (SP2) SEPM se comunica con la Base de Datos via JDBC La replicación se hace entre SEPMs, y no entre Bases de Datos Esto permite sincronizar una SQL Server con una integrada

18 Componentes Servidor SEPM Roles de gestión: Proporciona consola web de gestión Proporciona sistema de informes Almacena datos en la base de datos (local o remota) Despliega clientes SEP Roles de comunicación Mantiene comunicación constante (heartbeat ) con los clientes SEP Proporciona actualizaciones a los clientes (de contenido y de producto) Proporciona políticas y configuración a los clientes SEP

19 Componentes - Servidor SEPM Consideraciones de dimensionamiento Base de datos SQL Server puede gestionar hasta clientes Base de datos integrada (Sybase Anywhere) puede gestionar hasta clientes (va aumentando) Cada servidor SEPM puede gestionar hasta clientes Diferentes configuraciones para tolerancia a fallos, alta disponibilidad y load balancing Servidor SEPM único Servidores SEPM compartiendo base de datos externa (un site) Servidores SEPM replicados (varios sites) Opción recomendada para minimizar tráfico de red

20 Componentes Servidor SEPM Servidor SEPM único Un solo seridor SEPM usando base de datos interna o externa Configuración más sencilla, para despliegues pequeños No proporciona alta disponibilidad o tolerancia a fallos clientes (Sybase) o clients (SQL Server) Arquitectura de un solo site

21 Componentes Servidor SEPM Servidores SEPM compartiendo base de datos externa. La base de datos debe ser Microsoft SQL Server 2000 / clientes por servidor SEPM, hasta un máximo teórico de Proporciona reparto de carga y tolerancia a fallos Arquitectura de un solo site

22 Componentes Servidor SEPM Servidores SEPM replicados Recomendado entre sites para minimizar tráfico de red Puede replicar entre sites de servidor único y sites con grupos de servidores en alta disponibilidad Se puede ajustar el horario de replicación Arquitectura en múltiples sites

23 Componentes Group Update Proxy No es un componente separado, es un cliente SEP al que se designa como GUP desde la consola Permite cachear actualizaciones de contenido (firmas/definiciones) para otros clientes Se utiliza cuando no es posible, o no merece la pena, tener un servidor SEPM en una localización remota Permite disminuir el consumo de red Para heartbeat (políticas, configuración, logs), los clientes se siguen conectando a su servidor SEPM asignado Recomendado para localizaciones de hasta 500/1000 clientes sin servidor SEPM propio 23

24 Componentes LiveUpdate Administrator Permite crear un servidor LiveUpdate interno, con más control sobre el contenido descargado y la periodicidad de las descargas Permite uso de Distribution Centers para replicar contenido a diferentes entornos (por ejemplo, Producción y Pruebas)

25 Componentes Central Quarantine Misma funcionalidad que en SAV 10 Elementos no reparables pueden ser puestos en cuarentena Local o centralizada Elementos pueden ser reenviados a Symantec

26 Componentes Active Directory Active Directory Usuarios y equipos pueden ser importados desde Unidades Organizativas (OU) de Active Directory Sincronización manual o programada OUs en Active Directory se mapean a grupos de SEPM Active Directory SEPM

27 Componentes Cliente SEP

28 Componentes Cliente SEP El corazón es el componente de firewall/ids de Sygate Varias funciones Antivirus y Antispyware Network Threat Protection Cortafuegos, Prevención de Intrusos, Proactive Threat Protection Bloqueo proactivo, control de dispositivos, etc Network Access Control (opcional) Todo con un solo interfaz!

29 Comunicaciones - Heartbeat 29

30 Comunicaciones - Actualizaciones 30

31 Comunicaciones - Consola 31

32 Comunicaciones - HTTP vs. HTTPS El tráfico de la consola web con el SEPM está cifrado mediante SSL (TCP 8443) Por defecto el tráfico de heartbeat es HTTP (TCP 8014) El tráfico de heartbeat está cifrado utilizando DES Se puede configurar los clientes para usar HTTPS Esto puede tener un impacto grande en el número máximo de clientes soportados por servidor SEPM

33 Resolución de Problemas

34 Resolución de Problemas Problemas de Comunicación Cliente-Servidor Conexiones de red El archivo SyLink.xml Uso de SEPDebug Uso de SEP Support Tool Uso de SPA Viewer Uso de SEP Log Viewer

35 Conexiones de Red Prueba de ping Desde cliente SEP a SEPM Desde SEPM a cliente SEP Desde cliente SEP a GUP Desde GUP a SEPM Prueba de conexión a SECARS http ://servidor-sepm/secars/secars?hello,secars Desde cliente SEP / GUP a SEPM Debe devolver OK.

36 El archivo SyLink.xml

37 El archivo SyLink.xml 37

38 SEPDebug

39 SEP Support Tool 39

40 SPA Viewer

41 SEP Log Viewer

42 Resolución de Problemas Verificando versiones de las políticas Identificadores de Tipo de Contenido Habilitando debug de SyLink (Cliente SEP) Habilitando debug de SMC (Cliente SEP) Habilitando debug de smc-server (Servidor SEPM) Habilitando debug de exsecars (Servidor SEPM) Monitorizando mediante logging IIS (Servidor SEPM)

43 Versión de Políticas - Consola

44 Versión de Políticas - Cliente

45 Versión de Políticas - SEPM En el servidor SEPM, ir a directorio cuyo nombre comienza con las primeras 4 letras del número de serie de la política. %PROGRAMFILES%\Symantec\Symantec Endpoint Protection Manager\data\outbox\agent\

46 Versión de Políticas - SEPM

47 Versión de Políticas - SEPM Despues de 1 o 2 minutos de cambiar una política, se crean nuevos ficheros index2.dax, profile.dax, y otros. Comprobar que index2.xml contiene el número de serie correcto

48 Identificadores de Tipo de Contenido Moniker contentinfo.txt description What content type is it really? {C60DC234-65F AE-62158EFCA433} SESC Virus Definitions Win32 32bit Antivirus/Antispyware {1CD C6-4bac-8C72-5D34B025DE35} SESC Virus Definitions Win64 (x64) 64bit Antivirus/Antispyware {ECCC5006-EF61-4c99-829A-417B6C6AD963} Decomposer Antivirus/Antispyware Decomposer {C25CEA47-63E5-447b-8D95-C79CAE13FF79} {812CD25E DDD-A4FAE649FBDF} Symantec Known Application System {E1A6B4FF B6F6-04C13BF38CF3} Symantec Security Content A1-64 {E5A3EBEE-D e-86DF-54C0B }: Mientras se Symantec revisan Security ficheros Content A1 - log y MicroDefsB.CurDefs debug, los dos primeros caracteres del identificador identifican el tipo de Symantec Security Content B1 contenido {CC40C ef-B8B2-920A0B761793}: Symantec Security Content B bit TruScan (heuristic part of Proactive Threat Protection) 64bit TruScan (heuristic part of Proactive Threat Protection) 32bit Commercial Application whitelist (part of Proactive Threat Protection) 64bit Commercial Application whitelist (part of Proactive Threat Protection) {D B7-4ad1-9DCF-23051EEE78E3}: SESC IPS Signatures Win bit Intrusion Prevention {42B17E5E-4E9D CB-966FB }: SESC IPS Signatures Win64 64bit Intrusion Prevention {4F889C4A-784D-40de A29BAA43139}: SESC Submission Control Data 48

49 Ficheros Log Importantes sylink.log (sólo con sylink debug habilitado) ** Se encuentra allá donde se haya definido en el registry ** Muestra heartbeat, incluyendo comparación de contenido entre cliente y SEPM. Muestra al cliente SEP cambiando de GUP a SEPM y viceversa para búsqueda de actualizaciones Muestra de dónde descarga contenido el cliente (GUP o SEPM) debug.log (sólo con smc debug habilitado) ** C:\Program Files\Symantec\Symantec Endpoint Protection\ ** Muestra actividad de GUP, incluyendo peticiones de otros clientes Muestra si el GUP necesita actualización de contenido cacheado desde el SEPM Muestra peticiones erróneas de clientesif any bad content requests are received from clients, this is shown 49

50 Ficheros Log Importantes exsecars.log ** Típicamente en : Prog Files \ Symc \ SEPM \ data \ inbox \ log ** Peticiones de contenido por parte de clientes Inicio de proceso de generación de deltas IIS logging ** Típicamente en : Windows \ System32 \ logfiles \ w3c??? ** Listado de peticiones de las IPs de los clientes 50

51 Habilitando sylink debug en cliente 1. Añadir lo siguiente a un fichero.reg: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\SMC\SYLINK\SyLink] "DumpSylink"="C:\\sylink.log 2. Importar.REG al registry 3. Ejecutar smc stop / smc start Contenido interesante. Buscar <GetLUFileRequest:> Petición del cliente SEP al GUP o SEPM 51

52 Habilitando smc debug en cliente 1. Se habilita desde el GUI del cliente: 2. Después hay que ejecutar smc stop / smc -start Contenido interesante. Buscar HTTP in - GET /content/ En el GUP, muestra peticiones de los clientes 52

53 Habilitando scm-server debug en SEPM 1. Añadir la siguiente línea al fichero conf.properties: 2. Reiniciar servicio SEPM. 3. Logfile: Prog Files\Symc\SEPM\tomcat\logs\scm-server-*.log 53

54 Habilitando exsecars debug en SEPM 1. Modificar valor de DebugLevel en registry a 4: 2. Start > Run > iisreset (para reiniciar IIS) 3. Logfile: Prog Files\Symc\SEPM\data\inbox\log\exsecars.log 54

55 Monitorizando mediante logs IIS Seleccionar sólo estas opciones 55

56 Monitorizando mediante logs IIS URI-Stem confirma el contenido que los clientes están descargando. En este caso, delta dax Client-IP confirma qué cliente SEP está descargando. En este caso, (the GUP) Protocol status confirma si el intento fue exitoso. En este caso, 200 HTTP indica descarga exitosa. 56

57 G GRACIAS!