Documento de cambios

Transcripción

1 Panda GateDefender Performa v Documento de cambios Aviso de Copyright Panda Security Todos los derechos reservados. Ni la documentación, ni los programas a los que en su caso acceda, pueden copiarse, reproducirse, traducirse o reducirse a cualquier medio o soporte electrónico o legible sin el permiso previo por escrito de Panda Security, C/ Gran Vía Diego López de Haro 4, Bilbao (Vizcaya) ESPAÑA. Panda 2008 Page 1/23

2 Contenidos 1. Características nuevas de la versión Configuración Centralizada Usuarios de acceso a consola web Registro de URLs navegadas en filtrado web Filtrado web con intervalos de navegación libre Filtrado P2P/IM con intervalos de navegación libre Actualización incremental de pav.sig Updates locales Actualización del motor de Cloudmark Actualización del motor de Cobion y WebLearn Envío de estadísticas Balanceo de carga en modo manual Configuración avanzada del bridge Activación/desactivación de comprobación de vulnerabilidades en correos Envío a cuarentena de vulnerabilidades de malware Anomalías corregidas ANEXO I. Integración con hardware de Sun ANEXO II. Monitorización centralizada con Cacti Tablas Tabla 1. Campos enviados en el fichero de estadísticas Tabla 2. Parámetros de configuración avanzada del bridge Tabla 3. Performa serie Figuras Figura 1. Configuración centralizada... 4 Figura 2. Acceso a consola web... 5 Figura 3. Permisos de acceso a consola... 6 Figura 4. Registro de URLs navegadas y restringidas... 7 Figura 5. Detalles de actividad del filtrado web... 8 Figura 6. Intervalos de navegación web... 9 Figura 7. Intervalos de uso de aplicaciones IM/P2P Figura 8. Updates locales Figura 9. Nuevo apartado en consola para WebLearn Figura 10. Selección de modo de balanceo Figura 11. Pantalla de configuración de parámetros del bridge Figura 12. Sun Fire X2100 M Figura 13. Sun Fire X4100 M Figura 14. Sun Fire X4150 M Figura 15. Monitorización centralizada con Cacti Panda 2008 Page 2/23

3 1. Características nuevas de la versión A continuación se describen los cambios introducidos desde la versión de Panda GateDefender Performa. Se incluyen las modificaciones realizadas tanto en la versión como en la Configuración Centralizada Descripción general En versiones anteriores de Panda GateDefender Performa, la única forma que existía de replicar una configuración en otra máquina era exportar la configuración de la máquina original e importarla en la otra máquina, además era necesario reconfigurar la configuración de red de la máquina. Para facilitar esta tarea se ha añadido la funcionalidad de Configuración centralizada de protecciones, mediante la cual se puede replicar una configuración de protección de una máquina a otra. Se pueden replicar las siguientes configuraciones de protección: Configuración principal (la configuración de protección que se aplica por defecto) Perfiles de protección. Dentro de la consola se ha añadido la nueva funcionalidad a la sección de Herramientas: Panda 2008 Page 3/23

4 Figura 1. Configuración centralizada La nueva funcionalidad se ha dividido en dos partes: Appliances gestionables: Desde aquí se pueden introducir los datos de los appliances y grupos de appliances a gestionar. Gestión remota de appliances: Desde aquí se pueden aplicar las configuraciones, y perfiles a los appliances y grupos de appliances. 1.2 Usuarios de acceso a consola web Descripción general En versiones anteriores de Panda GateDefender Performa existía un único usuario para acceder a la consola web. Sin embargo, es habitual en entornos corporativos que existan varios usuarios que necesiten acceder a la consola, además algunos de estos usuarios se encargan únicamente de monitorizar el estado del appliance sin tener que realizar ninguna modificación en la configuración del appliance. Para satisfacer esta necesidad, se ha implementado desde la versión la posibilidad de definir más de un usuario de acceso a la consola, y la posibilidad de establecer distintos permisos para ellos. Panda 2008 Page 4/23

5 Figura 2. Acceso a consola web La consola web permite establecer cuatro tipos de permisos para un usuario concreto: Monitorización Configuración de las protecciones Configuración del sistema Administración completa Panda 2008 Page 5/23

6 Figura 3. Permisos de acceso a consola 1.3 Registro de URLs navegadas en filtrado web Descripción general Hasta la versión de Panda GateDefender Performa, el módulo de filtrado web únicamente mantenía un registro de los accesos web que habían sido bloqueados por pertenecer a una categoría prohibida, pero no era posible registrar todos los accesos web de forma incondicional. Desde la versión se ha implementado esta funcionalidad, de manera que ahora al administrador se le ofrece la posibilidad de activar de forma independiente el registro de accesos a URLs prohibidas y/o los accesos a URLs permitidas, tanto en la base de datos de eventos como por Syslog remoto. Panda 2008 Page 6/23

7 Figura 4. Registro de URLs navegadas y restringidas Adicionalmente, se añaden dos nuevas gráficas en la página de detalles de actividad del módulo de filtrado web: un TOP10 de los dominios más visitados y un TOP10 de los usuarios que más navegan. Panda 2008 Page 7/23

8 Figura 5. Detalles de actividad del filtrado web 1.4 Filtrado web con intervalos de navegación libre Descripción general Hasta ahora cuando se activaba el filtrado web de alguna categoría se restringía el acceso a todas las URLs catalogadas en esa categoría durante todo el tiempo en el que permaneciese configurado ese filtrado. Panda 2008 Page 8/23

9 Desde la versión se han implementado excepciones para ciertos intervalos de tiempo, de forma que cuando se configure el bloqueo de una categoría se permitan incluir intervalos durante los cuales la navegación por URLs catalogadas como pertenecientes a esa categoría sea libre. Estos intervalos tienen una granularidad de una hora, y permiten ser configurados para cada día de la semana (de lunes a domingo), de forma que cada día de la semana pueda tener distintos intervalos de navegación libre. Figura 6. Intervalos de navegación web 1.5 Filtrado P2P/IM con intervalos de navegación libre Descripción general Esa funcionalidad es análoga a la descrita en el apartado anterior, afectando en este caso al módulo de filtrado de aplicaciones P2P/IM. Panda 2008 Page 9/23

10 Figura 7. Intervalos de uso de aplicaciones IM/P2P 1.6 Actualización incremental de pav.sig Descripción general Con motivo de tratar de minimizar los datos descargados por el appliance durante la actualización de los ficheros de firmas, en la versión 3.01 se ha integrado la funcionalidad de descargar el fichero pav.sig de forma incremental, de forma que se descargue únicamente un parche binario para el pav.sig actual en vez de descargar el fichero completo. El pav.sig utilizado en las versiones de Performa es el siguiente: - Versiones < v : Pav.sig (sin soporte incremental) - v > Versiones >= v : Megapav.sig (sin soporte incremental) - Versiones >= v : Pav.sig (con soporte incremental) Panda 2008 Page 10/23

11 1.7 Updates locales Descripción general El nombre de esta funcionalidad en realidad se refiere a un funcionamiento totalmente local (sin salida a Internet) del appliance, que no sólo afecta a las actualizaciones. La funcionalidad de updates locales aporta la posibilidad de actualizar el fichero de firmas de malware (pav.sig) contra un servidor local, posibilitando de esta forma actualizaciones sin tener conexión a Internet. Figura 8. Updates locales 1.8 Actualización del motor de Cloudmark Descripción general Motivado por un cambio en el modo de licenciamiento de Cloudmark, ha tenido que cambiarse la versión del cartridge del motor anti-spam. Además, ésto ha permitido corregir una serie de fallos que estaban presentes en el motor antiguo. Panda 2008 Page 11/23

12 Cloudmark tiene dos tipos de actualizaciones: Por una parte están los microupdates, cada 3 horas. Por otra parte se realizan updates continuos (aproximadamente cada minuto) llamados delta microupdates. En el caso de producirse error en los microupdates, la generación de eventos está limitada para que solo se provoque uno cada 24 horas. 1.9 Actualización del motor de Cobion y WebLearn Descripción general Con motivo de la publicación de una nueva versión del motor de Cobion v se ha procedido a la actualización de éste, dadas las importantes mejoras que presenta respecto a las versiones anteriores. Entre estas mejoras cabe destacar las siguientes: Mejoras en la gestión de la base de datos: reducción del tamaño en torno al 50%, reducción del consumo de CPU y memoria durante las actualizaciones, incremento del número de URLs categorizadas hasta 80 millones. Detección y categorización de URLs embebidas. Añadidos códigos de retorno durante la actualización de la base de datos para una mejor gestión de posibles errores Añadido soporte NPTL threading. Retardos aleatorios al proceder a descargar una actualización de la base de datos para evitar saturar los servidores de Cobion. Por otro lado, se ha habilitado el uso de la funcionalidad WebLearn. Esta funcionalidad permite el almacenamiento de todas las URLs no catalogadas en la base de datos de Cobion para su posterior envío mediante HTTPS a los servidores de Cobion. En la página de filtrado web se ha añadido un nuevo apartado para habilitar/deshabilitar la funcionalidad de WebLearn. Al ser común a todos los perfiles, no deberá mostrarse en la pantalla de configuración del filtrado web de perfiles. Está activado por defecto. El apartado presenta el siguiente aspecto: Panda 2008 Page 12/23

13 Figura 9. Nuevo apartado en consola para WebLearn 1.10 Envío de estadísticas Descripción general Actualmente hay un hotfix que realiza un envío a PandaLabs sobre el malware detectado por correo. Este envío ha sido totalmente reformado para enviar muchos más datos, ya no sólo relacionados con el malware detectado sino también con otros datos sobre el estado actual del appliance. Además, también ha cambiado la forma de enviarlos haciéndose ahora a través de un XML enviado por POST a un servidor HTTP en vez de a través de un Datos enviados a Panda Los datos enviados a Panda se muestran en la siguiente tabla: DATOS GENERALES Versión del fichero de estadísticas Identificador único del appliance (Número de serie) Fecha de envío del fichero de estadísticas Tipo de GateDefender Información de cores (número de cores en las últimas 24 horas) Versiones Panda 2008 Page 13/23

14 Versión del Software del sistema (por ejemplo ) Motor de núcleo Fecha del Fichero de firmas Versión anti-spam: motor y firmas Motor URL-filter IPS : motor y firmas Estado de las tecnologías Protección anti-malware: Virus: Activo HTTP activo FTP activo SMTP activo POP3 activo IMAP activo NNTP activo Acción Heurístico: Activo Sensibilidad Acción Phishing: Activo Analizar Correo entrante Analizar Correo saliente Acción Correo entrante Acción Correo saliente Spyware: Activo Jokes: Activo Dialers: Activo Otros riesgos: Acción Protección anti-spam: Activo SMTP entrante activo POP3 entrante activo IMAP entrante activo SMTP saliente activo IMAP saliente activo Sensibilidad Acción spam Acción probable spam Protección content-filter: HTTP activo FTP activo SMTP entrante activo POP3 entrante activo IMAP entrante activo SMTP saliente activo IMAP saliente activo NNTP entrante activo NNTP saliente activo Protección URL-filter: Activo Acción Protección IM & P2P: Panda 2008 Page 14/23

15 Nivel Activo Por cada protocolo: Listado de identificador de protocolo y estado (activo o no) Sitios y dominios de confianza Activo DATOS DE DETECCIONES Anti-malware Protección en la que se ha hecho la detección Tecnología con la que se ha llevado a cabo la detección Protección en cuestión activa en el momento del envío Listado de Id de detección y ocurrencias Tabla 1. Campos enviados en el fichero de estadísticas 1.11 Balanceo de carga en modo manual Descripción general Desde la versión se ha añadido un nuevo modo de funcionamiento del sistema de balanceo de Gatedefender, que tiene como objetivo el de posibilitar el funcionamiento del balanceo en entornos de red donde existen otros dispositivos con STP activado. El nuevo modo de funcionamiento 'manual' consiste en que en lugar de producirse el autodescubrimiento de los nodos del cluster vía STP, el administrador debe introducir manualmente una lista con las IPs de todas las máquinas que conforman el cluster. Esta información adicional que aporta el administrador hace posible la total independencia entre el sistema de balanceo de Gatedefender y el protocolo STP en el modo 'manual'. Figura 10. Selección de modo de balanceo Panda 2008 Page 15/23

16 Un dato importante a tener en cuenta es que en el modo de funcionamiento 'manual' desaparece el concepto de maestro y esclavos; todos los appliances cooperan entre sí funcionando como 'esclavos' del resto. El appliance que en la práctica haga las funciones de maestro será sencillamente aquel por el que esté circulando el tráfico, lo cual dependerá directamente de la topología de red que establezca el administrador, teniendo en cuenta que a efectos del protocolo STP Gatedefender es un dispositivo más Configuración avanzada del bridge Descripción general Desde la versión se han incorporado una serie de parámetros de configuración del bridge que pueden ser modificados por el administrador desde la pantalla de configuración avanzada de la consola web. Los parámetros disponibles y los rangos aceptados son los siguientes: Parámetro Rango Bridge priority 0 -> Bridge forward delay 0 -> Bridge hello time 0 -> Maximum message age 0 -> Ethernet address ageing time 0 -> Bridge cost (eth0) > Bridge cost (eth1) > Tabla 2. Parámetros de configuración avanzada del bridge Figura 11. Pantalla de configuración de parámetros del bridge Panda 2008 Page 16/23

17 1.13 Activación/desactivación de comprobación de vulnerabilidades en correos Descripción general La comprobación de vulnerabilidades de correos que utilizan caracteres asiáticos (ej. Kanji) en ocasiones puede generar falsos positivos. Por ello, se ha incorporado la posibilidad de activar o desactivar la comprobación de vulnerabilidades de correo, mediante un comando accesible desde consola de comandos para el personal de soporte técnico. Por defecto, la comprobación de vulnerabilidades está habilitada Envío a cuarentena de vulnerabilidades de malware Descripción general Se ha incorporado un comando de consola que permite al personal de soporte técnico habilitar o deshabilitar el envío a cuarentena de elementos catalogados como vulnerabilidades. Por defecto el envío está deshabilitado. Panda 2008 Page 17/23

18 2. Anomalías corregidas Las actualizaciones de reglas de anti-spam de Cloudmark no se realizan en appliances que utilizan ciertos servidores proxy con autenticación. Algunos valores de configuración global no se mantienen al actualizar la versión del software. En el filtrado P2P/IM no se bloquea la aplicación Windows Live Messenger 8.1. Una lista de hotfixes vacía puede provocar inestabilidad en el appliance. La traducción de algunas cadenas en italiano no es correcta. La consola no vuelve a la página anterior en ciertas ocasiones al pulsar el botón Guardar. Algunos ficheros detectados por el motor antimalware aparecen con un nombre incorrecto en los informes de consola y trazas de syslog. Herramientas de diagnóstico: La conectividad con el servidor para envios desde cuarentena de malware se comprueba con independencia de que haya o no licencia de Antimalware. Algunos componentes internos del software pueden provocar esporádicamente problemas de estabilidad. El identificador MD5 de los ficheros de cuarentena aparece recortado en consola y no se ve correctamente. Bajo ciertas circunstancias, los cambios en la pantalla de configuración de servidores LDAP no quedan guardados. En Internet Explorer 7, la pantalla de configuración de filtrado de contenidos no se muestra correctamente. Se borran los archivos sospechosos no analizables incluso cuando está configurado mandarlos a cuarentena. No se envía la alerta de reinicio de los módulos de software por correo, syslog o SNMP, aunque se muestra en los informes de consola. Los avisos de errores de conexión con el proxy no se eliminan cuando la conexión se reestablece. Cuando el espacio destinado a cuarentena se acerca al límite, se produce un envío masivo de alertas. Algunos campos de consola no están correctamente alineados. Los vídeos con extensión.mov descargados desde QuickTime se bloquean cuando está activada la protección de Content Filter. Los eventos de cuarentena de Malware y Spam solo se envían por syslog cuando está también activado el envío de eventos de Malware y Spam, respectivamente. Syslog: No se envía el evento de Cuarentena vaciada. Syslog: No se envía el evento de fallo en la conexión con el servidor de Panda para envio de sospechosos. Si se mete la clave de la licencia en minúsculas, no se actualizan las firmas del motor de antimalware. La importación de la configuración para anti-spam desde versiones anteriores no conserva algunos valores. Cuando se envía por correo la alerta de caducidad de la licencia de anti-spam, se está enviando incorrectamente como una alerta de tipo antimalware. El espaciado de algunos textos de consola es incorrecto. Panda 2008 Page 18/23

19 Problemas de ralentización en la generación de logs internos cuando se detectan errores en HTTP. Problemas de ralentización de conexiones cuando el gestor de cuarentena esté borrando elementos antiguos. Ciertas páginas web servidas por Oracle Application Server no están accesibles. El código interno de Performa contenía ciertas vulnerabilidades que podían ser explotadas por terceros. El estado de activación de ciertos protocolos en la consola era incoherente. La importación de una configuración procedente de la versión genera el siguiente error: The specified file contains the configuration of a non-supported version. Unsupported config version 30005, last supported 4. Cortes esporádicos en la navegación web provocados por el bloqueo temporal de algunos procesos del sistema. No se detecta la aplicación Windows Live messenger v8.1.x con filtrado P2P/IM en modo máxima seguridad. No se detecta la aplicación Windows Live messenger v8.5.x con filtrado P2P/IM en modo máxima seguridad. No se detecta la aplicación Yahoo messenger v7 con filtrado P2P/IM en modo máxima seguridad. Las consultas LDAP consumen muchos recursos del sistema cuando el tráfico de spam es muy elevado. La interacción con servidores de correo que envían varios mensajes en una única sesión (ej. Ironport) en ocasiones provoca que se mezclen los destinatarios de los mensajes, Cortes esporádicos de navegación web cuando se generan eventos de detección de spam en correos. Cortes esporádicos de navegación web cuando está activada la protección P2P/IM en modo de máximo rendimiento. El análisis contextual de filtrado de contenidos no se realiza correctamente si se define para un perfil distinto al de por defecto, cuando el análisis anti-phishing está activo. En máquinas Sun (GD Performa 9xxx) el mecanismo de watchdog no funciona correctamente, por lo que no se reinicia el sistema automáticamente ante una caída del mismo. El análisis del protocolo POP3 provoca reinicios ocasionales del sistema por un consumo acumulado de memoria. Performa 9500: La activación del bypass de red tras el reinicio de servicios, provoca pérdida de la protección de la red durante 10 minutos. Panda 2008 Page 19/23

20 3. ANEXO I. Integración con hardware de Sun La nueva serie 9000 de Performa está basada en hardware de Sun, que presenta ciertas ventajas frente a la arquitectura de las máquinas Portwell de la anterior serie 8000: Proporciona mayor rendimiento y escalabilidad, pudiendo dar servicio a más usuarios. Permite añadir tarjetas de terceros, tales como tarjetas de red con soporte de bypass. Tiene mayor tolerancia a fallos, ya que algunos modelos pueden incorporar fuentes de alimentación redundantes y discos en RAID. Permite una monitorización completa de todos sus elementos hardware, mediante el uso de ILOM. Las máquinas pueden ser gestionadas de forma remota, también a través de ILOM. Los diferentes modelos de servidores elegidos pueden verse a continuación: Figura 12. Sun Fire X2100 M2 Figura 13. Sun Fire X4100 M2 Figura 14. Sun Fire X4150 M2 La siguiente tabla muestra la descripción de los diferentes modelos de la serie, y el mercado al que van orientados: Panda 2008 Page 20/23

21 Target market Maximum recommended users Product familly Small business Medium business Big companies Big corporations and enterprises GateDefender Product line Performa Performa Performa Performa Model HW features Vendor GateDefender Performa 9050 Sun MicroSystems GateDefender Performa 9100 Sun MicroSystems GateDefender Performa 9200 Sun MicroSystems GateDefender Performa 9500 Sun MicroSystems Vendor model X2100 M2 X2100 M2 X4150 M2 X4100 M2 CPU RAM HD 1 x AMD Opteron Dual Core (2,8 GHz) 2 GB (2 x 1GB) DIMM DDR x 250 GB / 7200 rpm / SATA II 1 x AMD Opteron Dual Core 1220 (3 GHz) 4 GB (4 X 1GB) DIMM DDR x 250 GB / 7200 rpm / SATA II 1x Intel Xeon Quad Core (2,33 Ghz) 4 GB (4 X 1GB) DIMM DDR x 73 GB / rpm / SAS 2x Dual-Core AMD Opteron 2220 (2.8GHz ) 8 Gb (4x2Gb) DIMM DDR x 146 GB 10K RPM 2.5" SAS HDD (RAID 1) RED 2 x 10/100/ x 10/100/ x 10/100/ x 10/100/1000 USB Serial port Yes Yes Yes Yes Power supplies Console Yes Yes Yes Yes Bypass No No No Yes (Silicom card) Optical drive DVD DVD DVD DVD Height 1 U 1 U 1 U 1 U Tabla 3. Performa serie 9000 Panda 2008 Page 21/23

22 4. ANEXO II. Monitorización centralizada con Cacti Mediante la integración de Performa versión y posteriores con la herramienta de monitorización Cacti, es posible centralizar la gestión del estado de diferentes appliances simultáneamente con una sola interfaz web. Entre otras cosas, ya es posible: Mostrar gráficas detalladas de uso de memoria, CPU, carga del sistema, etc. Generar gráficas agregadas con la información de diferentes máquinas o protocolos. Utilizar plantillas predefinidas para mostrar la actividad de los diferentes sistemas de protección (antimalware, antispam, web filter, content filter). Mostrar gráficas con información sobre el tráfico de los diferentes interfaces de red de cada máquina, así como las conexiones simultáneas. Mostrar información de los diferentes sensores asociados a cada uno de los elementos hardware de las máquinas de Sun (voltaje, temperatura, ventiladores, etc.) Mostrar gráficas temporales sobre los diferentes niveles de eventos del sistema. Utilizar plug-ins ya existentes para mostrar más información (ej. servidor syslog). Crear nuevos plug-ins para ampliar la información a monitorizar en un futuro. Figura 15. Monitorización centralizada con Cacti Panda 2008 Page 22/23

23 Panda 2008 Page 23/23