Guía de producto. Web Appliance WS1000. PureMessage for Windows/Exchange Product tour

Transcripción

1 Guía de producto Web Appliance WS1000 PureMessage for Windows/Exchange Product tour

2

3 Guía del producto: Dispositivos web de Sophos

4 INTRODUCCIÓN INTRODUCCIÓN Bienvenido a la guía del producto del dispositivo web de Sophos. En este documento se analizan las principales funciones del dispositivo y se destaca su eficacia y facilidad de uso. Después de leer la guía, tendrá más información acerca de cómo el dispositivo web WS1000 Web Appliance de Sophos proporciona la seguridad que necesita y el rendimiento que espera para navegar en Internet de manera segura y productiva. Este dispositivo forma parte de la premiada solución de control y seguridad de Sophos, y está diseñado específicamente para empresas, entidades educativas y administraciones. Los dispositivos de Sophos cuentan con el respaldo de los 20 años de experiencia en soluciones antivirus y contra correo no deseado de SophosLabs, nuestra red global de centros de análisis de amenazas. La detección y protección inmediatas frente a las amenazas de seguridad cada vez más complejas y con mayor rapidez de propagación es una de las razones por las que Sophos es mundialmente reconocido, al contar con el nivel más alto de satisfacción del cliente y protección del sector. Como es habitual en nuestros productos, el modelo WS1000 incluye un completo servicio de asistencia técnica de 24 horas a cargo de nuestra red mundial de ingenieros de soporte, sin ningún coste adicional, todos los días del año. Si desea obtener información sobre los precios y la disponibilidad de este dispositivo en su zona, póngase en contacto con su representante de Sophos. Para conocer los representantes de cada zona, visite: Si desea solicitar una copia de evaluación, complete el formulario de solicitud en línea en: Sophos WS1000 es exactamente lo que las empresas han estado buscando: desarticula virtualmente todo programa malicioso sin entorpecer ni ralentizar el acceso a la Web de los clientes. Barry Nance, Network Testing Labs

5 Guía del producto: Dispositivos web de Sophos

6 Índice Índice 1 Introducción 6 Grandes capacidades de administración 7 Funciones y ventajas esenciales 8 Componentes de software 8 Componentes de hardware 9 2 funcionalidad del producto 10 Filtrado de seguridad 10 Políticas de uso aceptable 12 Filtrado de direcciones web 16 Otras opciones de filtrado 17 Motor de escaneado único 18 Bloqueo del tráfico soporte remoto 19 3 instalación 20 Instalación 20 Configuración 21 El resultado para el usuario 22 4 administración del dispositivo 25 Consola de administración y panel de control 25 Control, emisión de alertas y notificaciones 26 Actualizaciones 27 Configuración de las copias de seguridad y restauración 28 Administración de comentarios del usuario 29 Funciones de búsqueda adicional 30 Integración con Active Directory 31 5 informes 32 Informes del panel de control 32 Página de informes 33 Informes con datos del registro 35 6 soporte 36 El dispositivo administrado 36 Garantía 38 Soporte estándar de Sophos 38 APÉNDICES I Configuración de la política predeterminada 39 II Modos de proxy transparente y puente 41 III Niveles de servicio del dispositivo administrado 42

7 Guía del producto: Dispositivos web de Sophos 1: Introducción Descripción El dispositivo web WS1000 es una solución de seguridad para la puerta de enlace de Internet que ofrece protección totalmente integrada contra programas espía, troyanos, gusanos de Internet, pesca de información y contenido web no deseado u ofensivo. WS1000 está integrado a una plataforma sólida, que ofrece seguridad de alta capacidad, alto rendimiento y fiabilidad con una sencillez y control inigualables. WS1000 va siempre un paso por delante de las amenazas en rápida evolución, que no pueden detectar los filtros de web tradicionales, y mantiene las redes libres de amenazas de Internet y ayuda a conservar el rendimiento de la red y la productividad de los empleados. Protección eficaz de la puerta de enlace de Internet El dispositivo web Sophos Web Appliance ofrece la máxima protección para su puerta de enlace de Internet con un mínimo esfuerzo administrativo. Aspectos destacados del producto Protección proactiva líder del sector Los dispositivos web de Sophos ofrecen seguridad y control completos en la Web al escanear todo el tráfico entrante y existente en la red de la empresa. Este método de filtrado único, combinado con la tecnología de escaneado Genotype de Sophos, asegura protección automatizada contra los ataques web actuales que se mueven y cambian rápidamente. La tecnología Genotype escanea el código antes de la ejecución para determinar la función y el comportamiento que puede presentar, sin permitir que se ejecute. Control completo Las capacidades de control web de Sophos incluyen una base de datos de 54 categorías que ofrece una cobertura de 3900 millones de páginas en 200 idiomas, lo que ayuda a las organizaciones a asegurar un uso de Internet productivo y que cumple las normas. Los controles de aplicación y tipo de datos permiten a los administradores gestionar la navegación intensiva en el ancho de banda y restringir aplicaciones y contenido no deseado. Dispositivo administrado El dispositivo administrado único de Sophos libera a los administradores de las funciones de configuración y mantenimiento que requieren mucho tiempo y ofrece una supervisión de la administración simplificada mediante controles gráficos intuitivos. El estado del sistema y su disponibilidad queda asegurado mediante una red de 50 monitores del sistema del dispositivo que, de manera continua, verifican el estado del hardware, del software y del tráfico, e informan acerca de las actualizaciones del estado automáticamente al equipo de operaciones de la red de Sophos.

8 1: Introducción Consola de administración A tres clics de ratón Como complemento a su potente tecnología, los dispositivos incluyen una consola de administración intuitiva con interfaz web que simplifica las tareas administrativas y otorga mayor control y conocimiento de la seguridad de la Web. La consola de administración ha sido diseñada para ofrecer acceso directo a la información útil y adecuada de modo que los administradores puedan adoptar decisiones informadas sobre los niveles de tráfico, el rendimiento del sistema y el comportamiento durante la navegación. Grandes capacidades de administración El dispositivo web de Sophos ofrece una variedad de ventajas que asegura y simplifica la navegación productiva por Internet. Defiende el vector crítico de hoy día Previene la infección de amenazas cambiantes, en rápida evolución y basadas en la Web gracias a nuestra protección proactiva demostrada. La tecnología Genotype ofrece el 93% de la detección general proactivamente, sin necesidad de una actualización. Controla el uso de la Web Asegura la productividad al controlar el acceso a la Web y el uso por usuario, grupo, sitio web y contenido. Mejora la visibilidad de la seguridad Utiliza inteligencia de rendimiento y seguridad en tiempo real para crear políticas potentes rápidamente. Simplifica la administración Reduce costes y riesgos con la administración a tres clics de ratón y exclusivos control y soluciones remotos. Asegura un alto rendimiento Nuestra plataforma diseñada específicamente ofrece un filtrado de alto rendimiento y disponibilidad máxima.

9 Guía del producto: Dispositivos web de Sophos Principales funciones y beneficios Función Independencia de las plataformas Visibilidad inigualable de amenazas en Internet Detección completa de programas maliciosos Protección proactiva Genotype y Behavioral Genotype Bloqueo y detección de servidores proxy anónimos y HTTPS Gran capacidad Alto rendimiento Cumplimiento de normas y filtrado de la productividad Protección en todo el mundo Dispositivo administrado de Sophos Soporte técnico Beneficios Se adapta con facilidad a cualquier infraestructura de red existente La red de seguridad de SophosLabs analiza mil millones de páginas web por día en busca de programas maliciosos en más lugares que cualquier otro proveedor de seguridad Bloquea programas espías, pesca de información, virus, troyanos, gusanos, programas publicitarios y demás programas maliciosos incluido el tráfico soporte remoto de equipos infectados Bloquea las variantes en evolución de programas maliciosos y amenazas desconocidas antes de que se puedan ejecutar o instalar Detecta y bloquea de forma automática los servidores proxy anónimos y filtra y controla el tráfico HTTPS cifrado Gestiona fácilmente el tráfico en Internet de hasta 200 usuarios simultáneos en un único dispositivo El escaneado de motor único detecta y bloquea las amenazas de manera más rápida y eficaz que las soluciones de varios motores Bloquea el acceso al contenido web ofensivo e ilegal y permite el control sobre el acceso a una amplia variedad de otras categorías Protege las organizaciones mundiales contra las amenazas de Internet ocultas en flujos de mensajes de varios idiomas Reduce la carga administrativa, automatiza la seguridad y las actualizaciones de software, y ofrece un control remoto del estado del sistema, lo que brinda una protección fiable e ininterrumpida Incluye soporte técnico las 24 horas, los 7 días de la semana, los 365 días del año durante todo el período de la licencia de software, y puede solicitar asistencia personalizada de Sophos en cualquier momento Componentes de software El software integrado de WS1000 incluye los siguientes componentes principales: El motor de escaneado total de Sophos protege contra programas espía, virus y aplicaciones no deseadas Filtro de direcciones web Consola de administración y panel de control Alertas de sistema y notificación Integración con Active Directory. El modelo WS1000 está integrado en un sistema operativo (SO) Linux reforzado, optimizado para la plataforma de hardware y para el software de Sophos incorporado. Linux es un SO completamente estable y fiable, y ofrece excelente velocidad y rendimiento para los dispositivos de seguridad de red. Se ha optimizado el kernel de Linux para obtener una seguridad y una prevención de piratería informática máximas, manteniendo la menor cantidad de puertos abiertos.

10 1: Introducción Componentes de hardware El dispositivo WS1000 fue desarrollado para redes de tamaño pequeño a medio y está integrado en una robusta plataforma de hardware que puede administrar hasta 1000 usuarios. El dispositivo presenta los siguientes componentes de hardware en un servidor 1U dedicado: procesador de doble núcleo dos discos duros de 160 GB, 7200 rpm SATA. A tres clics de ratón Diseñado de acuerdo con una rigurosa disciplina de navegación mínima, se accede a cada función de la consola de administración con un máximo de tres clics, y nunca es necesario acceder a la línea de comandos.

11 Guía del producto: Dispositivos web de Sophos 2: FUNCIONES DEL PRODUCTO Descripción El dispositivo WS1000 es una solución en la puerta de enlace a Internet que ofrece seguridad y control completos desde que se conecta al equipo. Se adapta con facilidad a cualquier configuración de red, y dado que tiene un completo sistema operativo, no es necesario tener conocimientos de UNIX, Linux, Solaris u otro lenguaje de plataforma de servidor. El dispositivo WS1000 combina de forma única la protección completa contra programas maliciosos en el nivel de página (en lugar de en el nivel de dominio), además del control sobre programas espía, reproducción multimedia y aplicaciones no deseadas. También incluye políticas de acceso personalizables basadas en categorías de sitios web. Al controlar tanto las solicitudes de página de salida como los datos de entrada, el dispositivo WS1000 permite que los administradores garanticen la seguridad de la red y hagan cumplir las políticas aceptables de navegación por Internet de manera fácil y eficaz con un dispositivo único. Esta sección ofrece una presentación sobre cómo el dispositivo WS1000 hace cumplir la política de seguridad en la Web. Filtro para programas espía, programas maliciosos y tipos de archivo no deseados Direcciones web y programas espía Filtro soporte remoto Filtrado de seguridad Con la evolución de las comunicaciones de banda ancha de alta velocidad y las aplicaciones en Internet, se ha reconocido a la navegación por la red no sólo como un medio de comunicación esencial para las organizaciones de todos los tamaños y tipos, sino como un punto de vulnerabilidad importante en la seguridad de la red. La mayoría de las organizaciones hoy en día no podrían llevar a cabo sus operaciones habituales sin que sus usuarios tengan acceso a la navegación por Internet. Lamentablemente, también conocen esta libertad los desarrolladores de programas maliciosos, puesto que es un hecho que la mayoría de las organizaciones todavía no han puesto en vigor medidas de seguridad de Internet adecuadas. El repentino crecimiento de los ataques de programas espía y de pesca de información en los últimos años refleja la vulnerabilidad de la navegación por Internet sin control. 10

12 2: Funciones del producto: determinación del riesgo de una página web El dispositivo WS1000 es ante todo un dispositivo de seguridad. Cuenta con más de 20 años de experiencia acumulada por Sophos como proveedor de seguridad y su propósito principal es evitar la infección de programas maliciosos en Internet, incluidos programas espía, troyanos, virus, gusanos y ataques de pesca de información. Se logra la protección al escanear todo el tráfico HTTP/HTTPS de entrada cuando ingresa en la empresa antes de que llegue al navegador del usuario final. Si se encuentra algún programa malicioso se elimina, y el resto del contenido limpio pasa sin problemas al navegador. Puede aparecer contenido malicioso prácticamente en cualquier sitio web, pero el escaneado del contenido de todos los sitios todas las veces es poco práctico e provocaría una latencia excesiva, que afectaría negativamente el resultado para el usuario final. Para superar este reto, que normalmente forzaría un equilibrio entre seguridad y rendimiento, Sophos Web Appliance utiliza una tecnología de escaneado innovadora sensible al riesgo para adaptar la minuciosidad del escaneado al riesgo relativo de la página web. Escaneado sensible al riesgo La profundidad del escaneo del contenido entrante varía, de acuerdo con el riesgo evaluado de la página web ; cuanto mayor sea el riesgo de la página, más detallado será el escaneo. Determinar el riesgo de una página web El escaneado sensible al riesgo depende de la capacidad única de Sophos de determinar el nivel de riesgo de miles de millones de páginas web por día. La red de seguridad de SophosLabs analiza toda la Web en busca de códigos maliciosos, añadiendo, en promedio, más de direcciones nuevas cada semana. A medida que se visitan dominios y páginas web, los niveles de riesgo y las acciones se asignan de la siguiente manera: Nivel de riesgo Características del sitio Acción Alto Alberga actualmente contenido malicioso Bloquear Medio Bajo Historial de prácticas de escasa privacidad y/o seguridad que podría poner en peligro la seguridad de la red No existe un historial reciente de comportamiento ni de contenido maliciosos, cuando ha sido revisado periódicamente por SophosLabs Bloquear o escanear Escanear La capacidad de diferenciar entre sitios de riesgo medio y bajo es clave para ofrecer un resultado para el usuario perfectamente integrado que no ponga en riesgo la seguridad. Al utilizar un escaneado sensible al riesgo, el dispositivo WS1000 realizará un escaneado más completo en los sitios de riesgo medio que en los sitios de riesgo bajo. Por ejemplo, se escanean imágenes en sitios de riesgo medio, pero no en sitios de riesgo bajo, puesto que estos elementos rara vez contienen programas maliciosos. El dispositivo WS1000 utiliza otras dos categorías en relación con el riesgo: Sitios de confianza y sitios sin clasificar. La lista de sitios de confianza es un listado de sitios web controlados por el administrador que se sabe que son seguros y, por lo tanto, no se escanean en absoluto. Esta lista, que puede incluir intranets, portales de proveedores y sitios gubernamentales, puede administrarse localmente. Los sitios sin clasificar son sitios que todavía no han sido analizados por SophosLabs. El administrador tiene la opción de asignar estos sitios a una de las tres clases de riesgo principales, Alto, Medio o Bajo, y asignar acciones de conformidad con eso. 11

13 Guía del producto: Dispositivos web de Sophos Políticas de uso aceptable El control y la monitorización del uso de Internet por parte del empleado se reconoce como una forma eficaz de mejorar la productividad, reducir el riesgo de exposición a la responsabilidad legal y evitar la pérdida accidental de datos confidenciales. Desde luego, existe la necesidad de equilibrar los requisitos de control frente a las necesidades diversas de los usuarios; la función Group Policy del dispositivo WS1000 ofrece un modo fácil de crear políticas integrales que permitan a las organizaciones ejercer el control necesario sin impedir el uso legítimo de Internet. Group Policy (Política del grupo) es una recopilación de elementos de política que incorpora la Default Policy (Política por defecto) y una variedad de Additional Policies (Políticas adicionales), conforme a las necesidades de la empresa. Cada elemento de política consiste en tres elementos: Una lista de usuarios, ordenadores y/o grupos a los que se aplica la política. Una lista de normas de filtrado de aplicación y categoría de direcciones web. Opciones adicionales que afectan el resultado de la navegación del usuario. Durante la instalación, el administrador elige la configuración de una política de punto de partida que se convertirá en la Default Policy (Política por defecto) para este dispositivo, que posteriormente se puede ver en la página de Default Policy. La Default Policy (Política por defecto) ofrece una regla para cada categoría de dirección web y tipo de aplicación. Figura 1: Selección de la política de punto de partida durante el asistente de instalación La mayoría de empresas tendrán usuarios o grupos que necesitan acceder a sitios que están restringidos, o a los que se deben aplicar controles más estrictos. Por ejemplo, puede que un colegio quiera imponer restricciones diferentes para el cuerpo docente y el personal que para los estudiantes, el dispositivo WS1000 lo permite mediante la creación de Additional Policies (Políticas adicionales) que especifican usuarios, ordenadores o grupos específicos. La mayoría de Additional Policies (Políticas adicionales) solamente especificarán normas para un subgrupo de categorías de direcciones web posibles y tipos de aplicación. La creación de políticas adicionales está dirigida por un asistente de tres pasos (consulte la figura 1), que le permite especificar los miembros de la política, 12

14 2: Funciones del producto: políticas de uso aceptable las normas de contenido y un nombre fácil de recordar para la política. Las políticas también se pueden crear con una fecha de vencimiento sin son temporarias, por ejemplo una política que brinda acceso a Internet limitado para un contratista. Cada acceso a un sitio web o descarga es evaluada con cada elemento de la política en orden de prioridad. Si el usuario o la dirección IP coincide con una política, y el contenido coincide con una categoría o regla de tipo de archivo en la política, se realizará el procedimiento adecuado. Si no existe otra regla de política coincidente, la regla política por defecto se aplicará. Es posible eliminar usuarios de la política por defecto y a alguien que esté se le bloquearán todas sus solicitudes. Se puede administrar la exclusión de la Default Policy (Política por defecto) en la página Default Groups (Grupos por defecto). Figura 2: La página Special Hours restringe el uso de Internet a ciertas horas del día Algunas empresas permiten que los usuarios accedan a una variedad más amplia de sitios web durante ciertas horas del día. La página Special Hours (Horas especiales) (ver figura 2) permite la creación de dicha política alternativa. Esta política se puede aplicar hasta períodos de dos veces al día, como en el horario de almuerzo y fuera del horario laboral. Figura 3: La función Policy Test identifica qué política está bloqueando una solicitud. 13

15 Guía del producto: Dispositivos web de Sophos El dispositivo WS1000 posee una función innovadora de política de prueba (consulte la figura 3 en la página 13) diseñada para ayudar en las operaciones de política de detección y corrección de anomalías, que es muy útil ya que las estructuras de grupo de Active Directory pueden ser complejas y los usuarios pueden ser miembros de muchos grupos diferentes. Si a un usuario se le deniega el acceso a un sitio web es posible averiguar rápidamente qué elemento de la política está causando el bloqueo al entrar en la dirección web con un nombre de usuario o dirección IP. Incluso si un sitio está permitido por la política de grupo, las funciones de filtrado de seguridad del dispositivo no se pueden anular. Se analizan todos los sitios a fin de localizar contenido malicioso y se bloquean si se considera que contienen un alto riesgo de seguridad. Filtrado de servidores proxy anónimos y HTTPS Los servidores proxy anónimos esconden la verdadera naturaleza de un sitio web. Los usuarios de los comercios y escuelas los utilizan para engañar los filtrados web de las empresas para acceder a sitios prohibidos, como sitios de apuestas o de contenido para adultos. Muchos administradores de TI pasan varias horas a la semana rastreando y bloqueando de forma manual esta amenaza para sus redes. Detección de servidores proxy anónimos El dispositivo web de Sophos utiliza dos tecnologías clave para detectar y bloquear los servidores proxy anónimos: un servicio de reputación y un escáner de tráfico en tiempo real con patente pendiente. El servicio de reputación rastrea todos los foros de Internet, listas de envío y blogs que comparten nuevos sitios de servidores proxy anónimos. A medida que se publican nuevos sitios, Sophos inmediatamente actualiza su lista de bloqueo de servidor proxy, lo cual reduce en gran manera la vida útil de los servidores proxy anónimos. El escaneado en tiempo real inspecciona cada pedido web de presencia de servidores proxy anónimos. Esto capta de forma efectiva los servidores proxy privados, no publicados, o nuevos que de otro modo el servicio de reputación no identificaría. Filtrado HTTPS El dispositivo web de Sophos permite la implementación de seguridad y políticas sobre canales cifrados de HTTPS, lo que elimina una tradicional carencia de seguridad. Esto garantiza que todo el tráfico web se filtre en busca de un uso aceptable, programas maliciosos y servidores proxy, entre ellos el contenido del correo electrónico basado en web, como Gmail. 14

16 2: Funciones del producto: filtrado de aplicaciones Filtrado de aplicaciones El dispositivo WS1000 ofrece una mejor administración del uso del ancho de banda en relación con la navegación por la Web. El dispositivo puede bloquear la descarga de una variedad de tipos de archivo que podrían consumir ancho de banda y ralentizar el tráfico de la Web. Utilizando un sencillo administrador de políticas de señalar y listo en la consola de administración, los administradores pueden controlar los tipos de archivos siguientes: Tipo de archivo Ejecutable Documento Transmisión de audio Transmisión de video Archivo Detalles Comando DOS (com) Subprograma de Java (clase) Javascript (js) Controles ActiveX (ocx) Adobe PDF (pdf) Microsoft Excel (xls) Microsoft Powerpoint (ppt) Microsoft Word (doc) Midi (midi) MPEG audio (mp3) RealAudio (ra) Audio Video Interleave (avi) MPEG video (mpg, mpeg) QuickTime video (mov) Archivo Java (jar) Archivo RAR (rar) Stuffit (sit) Extensión Visual Basic (vbx) Ejecutable de Windows (exe) Archivo librería de Windows (dll) Otros ejecutables Microsoft Project (mpp) Rich Text Format (rtf) WordPerfect (wpd) Wave (wav) Windows Media Audio (wma) RealMedia (rm) Windows Media video (wmv) Tarball (tar) Archivo Zip (zip) Otros archivos (bz2, gz, Z) Además de estos tipos de archivos habituales, el dispositivo WS1000 también puede bloquear una variedad de aplicaciones etiquetadas por Sophos como aplicaciones potencialmente no deseadas (PUA, por sus siglas en inglés). Es posible que estas aplicaciones, que incluyen programas publicitarios, herramientas de piratería informática, marcadores telefónicos, herramientas de control remoto y monitores del sistema, no sean maliciosas intencionalmente, pero podrían consumir un ancho de banda valioso así como recursos del procesador de cliente y, por lo tanto, podrían ser no deseadas. Las PUA se pueden bloquear fácilmente marcando la casilla cuando se crean o editan políticas (ver figura 4). Posibles aplicaciones no deseadas Sophos define aplicaciones potencialmente no deseadas (PUA) como las que no son adecuadas en un entorno empresarial y que podrían tener un impacto negativo en la red o en los recursos de escritorio. Figura 4: Configuración de la política de descarga para bloquear tipos de archivos específicos 15

17 Guía del producto: Dispositivos web de Sophos Al igual que con las páginas web, los administradores pueden permitir excepciones al listado de tipos de archivo o aplicaciones bloqueados al aprobarlas manualmente en base a las solicitudes del usuario (Permitir comentarios del usuario debe estar habilitado para poder atender las solicitudes de desbloqueo y reclasificación, consulte la sección 3 y la figura 5). Figura 5: Permitir comentarios del usuario posibilita el envío de solicitudes que permiten la reclasificación del sitio Filtrado de direcciones web Por diversos motivos, muchas organizaciones no desean permitir que sus empleados tengan acceso a una navegación ilimitada por Internet. Algunos contenidos se consideran poco apropiados para el entorno laboral, por los motivos siguientes: Control de la productividad Los trabajadores pasaron el 20% de su tiempo en Internet en asuntos personales o entretenimiento. Estudio de uso de Internet Burstek 2005 Preocupaciones sobre la productividad y el uso del tiempo personal y de los recursos de la organización. Preocupaciones sobre la responsabilidad legal resultante de la aparición y/o distribución de contenido ofensivo y/o ilegal. La manera más eficaz de evitar que el personal vea contenido no deseado o peligroso, a la vez que se les concede acceso a otro contenido, es el bloqueo del acceso a sitios web según sus categorías (es decir, compras, entretenimiento, juegos, bancos, pornografía, etc.) 16

18 2: Funciones del producto: otras opciones de filtrado El dispositivo WS1000 está equipado con una base de datos de 54 categorías de contenido que cubren más de 24 millones de sitios y tres mil millones de páginas web. Son: Contenido para adultos Anuncios y ventanas emergentes Restaurantes Vehículos de motor Compras Apuestas Noticias Sociedad y cultura Alcohol y tabaco Juegos Intercambio de archivos Direcciones de correo no deseado Arte Gobierno Citas Deportes Foros y blogs Piratería ONG y Organizaciones Programa espía profesionales Negocios Salud y medicina Pesca de información y fraude Reproducción multimedia Chat Pasatiempos y recreación Búsqueda de imágenes Ofensivo y de mal gusto Informática Sitios anfitriones Política Viajes e Internet Actividad criminal Drogas ilegales Apoderados Violencia y traductores Descargas Infraestructura Inmobiliaria Armas Educación Lencería y ropa de baño Referencia Correo electrónico web Ocio Intolerancia y odio Tonos y descargas de móvil Personalización: para intranets y otros sitios personalizados Moda y belleza Dinero e inversiones Búsqueda de trabajo y desarrollo profesional Sitios infantiles Motores de búsqueda Educación sexual El administrador puede establecer una política de acceso para (permitir/no permitir) el acceso a cada una de estas categorías. (Nota: El filtro de seguridad del dispositivo WS1000 analizará el contenido permitido en busca de programas maliciosos, consulte la página 11.) Los los administradores pueden optar por enviar un aviso a los usuarios que están visitando un sitio en una categoría especificada y solicitar su consentimiento antes de permitir el acceso. Si se deniega una solicitud de página según una política establecida, el dispositivo ofrece la opción de notificar a la persona que solicita la página el motivo por el que la solicitud fue denegada. Consulte los detalles en Notificaciones al usuario final en la página 24. Seguridad actualizada SophosLabs analiza miles de millones de páginas web por día para actualizar la base de datos integrada del dispositivo WS1000 en más de 24 millones de sitios web sospechosos. Otras opciones de filtrado El dispositivo WS1000 ofrece posibilidades de política adicionales, entre las que se incluyen: Configuración del caché SophosLabs Modo de registro Opciones adicionales Tamaño mínimo y máximo del objeto caché Uso compartido de datos con SophosLabs (no identificable por usuario o IP) Incluir nombre de usuario e IP cuando se ven informes, resultados de búsqueda y registros Permitir/denegar dirección IP pública, permitir archivos no escaneables o encriptados, permitir archivos grandes sin escaneado 17

19 Guía del producto: Dispositivos web de Sophos Escaneado de motor único En el centro del dispositivo WS1000 está la tecnología de escaneado de motor único de Sophos, el mismo motor que protege a más de 100 millones de usuarios de Sophos en todo el mundo. Nuestra tecnología ofrece seguridad más rápida y más eficaz al comprobar todas las amenazas procedentes de Internet de manera simultánea en un paso único (ver figura 6). Este método elimina la necesidad de motores separados para programas espía, virus y filtrado de direcciones web y reduce también la latencia de la página para el usuario final. El resultado es una reducción sustanciosa en la carga administrativa asociada con la administración y la creación de políticas para varios motores. Protección a lo largo del ciclo vital de la amenaza SophosLabs protege a lo largo del ciclo vital de la amenaza, desde el descubrimiento del programa malicioso a la distribución y evolución posterior. El dispositivo de Internet de Sophos ofrece la combinación ideal de automatización y control para dar apoyo a la empresa en las necesidades de seguridad al navegar por la web. Combina la actualización automática de definiciones de amenazas con funciones administrativas rápidas y fáciles, y un sistema de emisión de alertas basado en excepciones. Esta combinación de funciones reduce al mínimo la carga administrativa diaria, al tiempo que proporciona el control y el conocimiento que los administradores necesitan. El dispositivo WS1000 también se beneficia de la amplia exposición de SophosLabs al panorama de las amenazas, lo que permite una protección proactiva a través de un análisis más rápido de las nuevas amenazas, diversas técnicas de detección/actualización y administración completa del ciclo vital completo de la amenaza. Al utilizar el dispositivo web Sophos Web Appliances, las empresas se benefician de: Protección fiable contra amenazas nuevas y amenazas desconocidas. Reducción de la carga administrativa. Mayor tranquilidad al saber que la infraestructura de la navegación por Internet está protegida. Figura 6: La tecnología de escaneado del dispositivo WS1000 ofrece seguridad rápida y eficaz. 18

20 2: Funciones del producto: bloqueo del tráfico soporte remoto Bloqueo del tráfico soporte remoto Aprovechando la capacidad de Sophos de detectar y analizar los programas maliciosos procedentes de una variedad de orígenes, el dispositivo WS1000 también puede evitar que los ordenadores infectados con programas espías transmitan datos a los servidores en espera ( soporte remoto ). Cuando SophosLabs descubre una dirección web que sirve como depósito para información robada de ordenadores infectados, añade la dirección web a la lista de sitios web de alto riesgo y evita que los ordenadores lleguen a ella. En caso de infección antes de la instalación del dispositivo WS1000, o infección por otros medios, el administrador podría identificar los ordenadores afectados simplemente al consultar el informe Equipos sospechosos en la consola de administración (consulte la figura 7 a continuación). Protección contra programas espía Incluso cuando los ordenadores están infectados con programas espía, los ordenadores se bloquean y no se conectan con las direcciones web que se sabe almacenan información robada. Figura 7: Informe de equipos sospechosos 19

21 Guía del producto: Dispositivos web de Sophos 3: Configuración Descripción En esta sección se describe la instalación básica del dispositivo, incluida la configuración, la instalación de Active Directory, las preferencias del usuario final y la configuración predeterminada de las políticas. No pretende sustituir a la guía de configuración del dispositivo WS1000, sino demostrar la sencillez y la facilidad de uso del dispositivo. Instalación Como dispositivo de puerta de enlace, el dispositivo web Sophos Web Appliance se instala habitualmente en el DMZ, dentro del cortafuegos de la red y hacia arriba de los ordenadores del cliente. Existen tres escenarios de instalación habituales: modos Explicit proxy, Transparent proxy y Bridge. Modo Explicit proxy El método de implementación preferido del dispositivo web Sophos Web Appliance es un proxy explícito. Este modo ofrece la mayor seguridad y funcionalidad, y mejora el resultado para el usuario dado que el navegador del cliente se comunica directamente con el dispositivo. La implementación en este modo posibilita la validación del certificado HTTPS así como el uso del Active Directory para la presentación de informes y creación de política. El modo explícito requiere la configuración de los parámetros del navegador cliente, que se pueden automatizar en un entorno Active Directory. Sophos también recomienda una revisión de la configuración del cortafuegos para garantizar una óptima seguridad. Otros modos Los modos Transparent proxy y Bridge limitan algunas áreas del control de la política y no permiten la integración de Active Directory. Se describen con más detalle en el Apéndice II. 20 Figura 8: Dispositivo WS1000 instalado en modo Explicit proxy

22 3: Instalación: configuración Configuración La configuración de los dispositivos web Sophos Web Appliances es fácil y csencilla. Una vez instalado y arrancado, un sencillo asistente de configuración le ayuda a realizar el proceso de configuración, lo que reduce el tiempo de instalación a menos de 30 minutos. El asistente incluye autodetección de los ajustes de Active Directory, así como diversos ajustes de política predeterminados, de modo que puede asegurar su tráfico de Internet de forma rápida y fácil. Según se muestra en la figura 9 los ajustes de la configuración se pueden cambiar en cualquier momento con la consola de administración a tres clics de ratón del dispositivo. Figura 9: Cambio de los parámetros de configuración 21

23 Guía del producto: Dispositivos web de Sophos En la tabla siguiente se indican los componentes configurables específicos del dispositivo WS1000: Cuentas Política de grupo Administradores Opciones de la página de notificaciones Política predeterminada Grupos predeterminados Horas especiales Políticas adicionales Política global Prueba de política Filtrado de seguridad Opciones de descarga Opciones generales Validación del certificado Clasificaciones locales Sistema Añadir clasificaciones locales Actualizaciones Copia de seguridad Restauración Alertas Active Directory Red Zona horaria Interfaz de red Nombre de host Conectividad a la red Consulte el Apéndice I para ver una lista de los ajustes predeterminados. El resultado para el usuario Cuando se trata de navegar por Internet, los usuarios esperan un acceso instantáneo (o casi instantáneo) al contenido deseado. A pesar de que puede haber diversos motivos por los que una página no se cargue (escasez de banda ancha, retrasos en el direccionamiento, sobrecarga del servidor, etc.) los usuarios carecen de paciencia cuando no pueden obtener la información que buscan. La seguridad de Internet normalmente recibe la mayor parte de las culpas, basándose en la suposición de que la búsqueda de amenazas es lo que ralentiza la entrega del contenido de una web. Instalación rápida y sencilla Un sencillo asistente de configuración le ayuda a montar el dispositivo y ponerlo en funcionamiento en menos de 30 minutos. Mientras que el escaneado de archivos ocasiona latencia en las soluciones web tradicionales, este no es el caso con WS1000. Uno de los principios centrales del diseño de Sophos Web Appliances es garantizar una experiencia de usuario sin problemas y sin latencia. Según se aborda en la Sección 2, la tecnología de escaneado del dispositivo ha sido desarrollada para minimizar el tiempo de escaneado y reducir la latencia de la página. Cuando se trata de lo que el usuario ve, la experiencia es igualmente positiva. 22

24 3: Instalación: notificaciones al usuario final El dispositivo WS1000 utiliza una serie de notificaciones al usuario final y rutinas de comentarios para comunicarse efectivamente con los navegadores cuando hay un retraso por infracción de la política o contenido. En la sección siguiente se facilitan más datos sobre estas herramientas. Notificaciones al usuario final Siempre que sucede una infracción de la política, como un intento de visitar un sitio que albergue contenido malicioso o una solicitud de descarga de un tipo de archivo no deseado, el dispositivo WS1000 notificará al usuario. Se muestran páginas de notificación para las siguientes condiciones: programa malicioso detectado sitio restringido infracción de política aplicación bloqueada tipo de archivo bloqueado paciencia (descarga lenta desde un servidor web) certificado no válido (HTTPS) aviso con opción de continuar. A discreción del administrador, la página de notificación puede contener la información siguiente: dirección web solicitada motivo de la denegación de acceso logotipo de la empresa. Cuando se intentan descargar archivos más grandes, los usuarios finales también verán una página de paciencia, con un indicador de progreso (a continuación). 23

25 Guía del producto: Dispositivos web de Sophos El administrador puede modificar el título de la página y los comentarios adicionales para cada página de notificación. Los usuarios cuyos navegadores funcionan en uno de los idiomas alternativos admitidos (francés, español, alemán o italiano) verán que el texto aparece en su idioma. El resto de usuarios verán la versión en inglés. Los administradores pueden modificar el texto que se muestra para cada idioma de forma independiente. Consulte la figura 10 a continuación para obtener más información. Figura 10: Página de configuración de notificaciones Las funciones de notificación del dispositivo WS1000 ayudan a mantener un sentido de transparencia alrededor de la política de seguridad de la web de una organización y demostrar la eficacia del dispositivo en el mantenimiento de los programas maliciosos y contenido no deseado o peligroso fuera de la red. Permitir comentarios del usuario Otra forma de asegurar un resultado de navegación segura y agradable para los usuarios es permitirles solicitar modificaciones a la política de seguridad de Internet según el sistema de notificación descrito anteriormente. Las solicitudes se realizan simplemente haciendo clic sobre un vínculo en la página de notificación, lo que permite que los usuarios soliciten cambios en la política tales como la recategorización de una dirección web específica. 24

26 4: Administración del dispositivo: panel de control de la consola de administración 4: Administración del dispositivo Descripción El dispositivo WS1000 ofrece la máxima seguridad con la mínima carga administrativa. Aprovechando la amplia experiencia de Sophos en la detección de virus, correo no deseado y otros tipos de programas maliciosos, presenta unos ajustes sólidos de política predeterminados que descartan las suposiciones en la configuración del sistema. Si es necesario personalizar algo, la sencilla consola de administración permite hacerlo rápida y fácilmente. La administración y el control continuos de la puerta de enlace a la web se simplifican enormemente mediante una variedad de herramientas y ajustes diseñados para eliminar o automatizar la mayoría de las tareas, siguiendo una filosofía estricta de administración que descarta las suposiciones. En esta sección se describen brevemente las tareas administrativas diarias del dispositivo WS1000. Consola de administración y panel de control La consola de administración es la interfaz gráfica del usuario segura entre el administrador del sistema y el dispositivo, que permite a los administradores: configurar el sistema, el usuario y los ajustes de la red configurar los filtros de contenido y la seguridad controlar el estado del sistema y diagnosticar las interrupciones administrar los comentarios del usuario revisar la categoría y los niveles de riesgo de un sitio a través de la función Test URL (prueba de dirección web). En particular me impresionó la consola de administración intuitiva, que me permitió navegar rápidamente y ver las estadísticas de tráfico de la Web y los informes de uso y rendimiento. Wally Eisenhart, Sungard Pentamation Figura 11: Panel de control de la consola de administración 25

27 Guía del producto: Dispositivos web de Sophos Ver los indicadores de seguridad para virus, PUA, sitios de alto riesgo e infracciones de la política y profundizar en los datos para un análisis mejorado. Generar informes en tiempo real sobre temas como acceso a sitios, actividad del usuario, encuentros de amenazas, etc. El panel de control (ver figura 11) es la página de inicio de la consola y ofrece un resumen instantáneo del rendimiento general del sistema. Desde el panel de control, el administrador puede comprobar el tráfico de la Web, controlar el estado de protección, medir el rendimiento del sistema, verificar la categoría de una dirección web y asegurar la disponibilidad del sistema. En cumplimiento estricto del principio de la mínima navegación, ninguna función de la consola lleva más de tres clics, y el acceso a la línea de comandos nunca es necesario. Más adelante en esta sección podrá encontrar más información sobre las sencillas aunque potentes herramientas de administración del dispositivo WS1000. Control, emisión de alertas y notificaciones El dispositivo WS1000 reduce la carga administrativa al controlar estrechamente el estado del sistema a través de una compleja red de más de 50 sensores del sistema integrados. Cuando se activa un sensor, aparece una alerta visual y/o se envía un mensaje de texto o un correo electrónico al administrador. Al iniciar una sesión y pulsar el botón Estado del Sistema se puede obtener un resumen breve de la situación, junto con las medidas propuestas para su resolución. Administración más sencilla Más de 40 sensores del sistema hacen un seguimiento constante del dispositivo, para que no tenga que hacerlo usted. Si ocurre un fallo en las condiciones esenciales para el funcionamiento y se requiere ayuda externa (por ejemplo, un fallo de la unidad de disco), se envía una alerta a Sophos para solucionar el problema. Sophos a menudo puede solucionar un fallo antes de que el administrador lo sepa. Si desea obtener más detalles, consulte la página 6. Dicho en pocas palabras, si no recibe ninguna alerta o notificación del dispositivo WS1000 o de Sophos, puede dar por hecho que todo funciona con normalidad y que no es necesaria ninguna interacción ni intervención. Solamente reciben un aviso los administradores si algo requiere su atención; de esta manera se pueden concentrar en otras prioridades con la completa confianza de que la puerta de enlace a la web está libre de amenazas y funcionando eficazmente. Figura 12: Página de estado del sistema 26

28 4: Administración del dispositivo: comprobaciones de estado Comprobaciones de estado Los administradores pueden determinar instantáneamente cuál es el estado general del dispositivo WS1000 al iniciar sesión en la consola de administración y comprobar el indicador del Estado del sistema que aparece en la parte superior derecha de cada página (consulte la Figura 12, circulada en color rojo). Verde (Correcto) indica que todos los sistemas están normales; amarillo (Aviso) indica un problema temporal o de poca relevancia; rojo (Crítico) indica un problema grave. En caso de que se produzca un problema grave, el dispositivo WS1000 enviará una alerta por correo electrónico a quien se haya designado como contacto técnico, así como a Sophos. Si se hace clic en el indicador del Estado del sistema se llega a un conjunto completo de detalles en las siguientes características del entorno del dispositivo WS1000: Tráfico: bloquea virus y archivos y aplicaciones no deseados, latencia de la página, longitud de la cola de escaneado y tiempo de escaneado. Hardware: sensores que cubren el funcionamiento de los componentes de hardware, la temperatura, el uso de la memoria, etc. Software: procesa el estado general, el estado de protección, la conexión con Sophos, el reinicio del sistema y las actualizaciones del sistema. Licencia: el tiempo que queda de la licencia de software. Como se muestra en la Figura 12, la página de Estado del sistema contiene un indicador para cada tipo de control, así como un mensaje que explica el estado actual, las instrucciones para remediarlo, y la fecha y hora de la última excepción. Si se produce una excepción, el administrador podrá pulsar sobre ella para ver más datos de lo que ha sucedido exactamente y qué acción, si hubiese alguna, se aplicó de forma automática. Desde esta página de la consola de administración, el administrador puede comprobar todas las operaciones críticas del WS1000. La página de Estado del Sistema facilita la ejecución de revisiones completas y espontáneas del funcionamiento general y del estado de protección, e indica instrucciones para corregir las interrupciones del sistema. Actualizaciones El dispositivo WS1000 se conecta a Sophos cada cinco minutos para descargar actualizaciones a las definiciones de amenazas, la lista de Sophos de sitios web que no cumplen las normas y del software operativo. Por defecto, estas actualizaciones se descargan y aplican automáticamente. El administrador tiene la opción de descargar y aplicar actualizaciones menores de software con una frecuencia determinada, o llevar a cabo actualizaciones en demanda, mediante un solo clic, por separado del programa predeterminado. Las actualizaciones menores pueden retrasarse hasta siete días y se aplicarán automáticamente en la ventana de actualización seleccionada por el administrador. En cambio, las actualizaciones de software importantes, como los parches de vulnerabilidades, se aplican inmediatamente. 27

29 Guía del producto: Dispositivos web de Sophos Figura 13: Copia de seguridad de la configuración Configuración de las copias de seguridad y la restauración Los administradores pueden configurar el dispositivo WS1000 para que inicie copias de seguridad automáticas del FTP de los datos de configuración y los registros del sistema. Si está activado, se pueden hacer copias de seguridad de estos datos automáticamente a media noche. Los datos de configuración también pueden copiarse manualmente con un solo clic en la página de Copia de seguridad del sistema en la consola de administración (ver figura 13). El dispositivo WS1000 utiliza un vencimiento de registro automático para conseguir un rendimiento óptimo y garantizar una capacidad de almacenamiento adecuada. Si los datos del disco duro llegan al 70% de su capacidad, los datos se archivarán automáticamente para que haya disponible como mínimo un 40% de la capacidad del disco. Los administradores también pueden restablecer la configuración del sistema y la lista de sitios locales a partir de una copia de seguridad previa a través de una simple interfaz (ver figura 14). 28 Figura 14: Restauración del sistema

30 4: Administración del dispositivo: administración de los comentarios del usuario Administración de comentarios del usuario Según se ha indicado en la sección 3 los administradores pueden permitir que los usuarios faciliten comentarios sobre las categorías de los sitios. Se controla a través de la Default Policy y de las Additional Policies. Cuando estos usuarios encuentran una página de notificación en relación con una infracción de una política, pueden hacer clic en un vínculo para crear una solicitud al administrador para que ajuste la política. Por ejemplo, si los usuarios intentan llegar a una página web que está bloqueada debido a una clasificación incorrecta, pueden presentar una solicitud para la reclasificación y/o el desbloqueo. Todo comentario de los usuarios aparece en la función Búsqueda en la consola de administración, dividido en tres categorías en Informes del usuario: sitios aplicaciones (es decir, complementos del navegador, barras de herramientas, reproductores multimedia, etc.) tipos de archivos (es decir, archivos, documentos, ejecutables). El administrador puede aprobar o denegar solicitudes simplemente haciendo clic en un botón Acciones (circulado en color rojo) en el extremo derecho de la pantalla. Los cambios de direcciones web aprobados aparecen automáticamente en la lista de sitios locales. Figura 15: Solicitudes de usuario de aprobación o reclasificación de sitios 29

31 Guía del producto: Dispositivos web de Sophos Funciones de búsqueda adicional El dispositivo WS1000 también ofrece la capacidad de buscar en la actividad de navegación reciente. La consola de administración ofrece una interfaz gráfica con los datos de registro almacenados en el dispositivo WS1000, a los que se puede acceder a través de la página de Búsqueda. La función de buscar en los registros es fácil de determinar: qué sitios fueron visitados por un nombre de usuario dado o una dirección IP (según si utilizó o no Active Directory) y qué nombres de usuario o direcciones IP visitaron un nombre de dominio dado. Esta información es útil de muchas maneras, incluso rastrear el comportamiento de los empleados al navegar o determinar quién podría estar visitando sitios web que no cumplen con la política de uso aceptable de su empresa (ver figuras 16 y 17 abajo). Figura 16: Búsqueda por nombre de usuario/dirección IP Figura 17: Búsqueda por dominio 30

32 4: Administración del dispositivo: integración con Active Directory Integración con Active Directory El dispositivo WS1000 habilita un ajuste rápido de usuarios y grupos de usuarios a través de una integración avanzada con Active Directory (AD), habilitando la autentificación del usuario en políticas e informes, así como desactivaciones basadas en nombres de usuario AD. El dispositivo también es compatible con bosques Active Directory. En la página de configuración de Active Directory, el administrador puede detectar automáticamente e importar los ajustes AD, o los ajustes se pueden introducir manualmente. Figura 18: Página de configuración de Active Directory Como una protección añadida, si se habilita la autentificación, el dispositivo alertará al administrador si el servidor AD no es accesible. 31