Guia del producto. Appliances ES1000, ES5000 and ES8000. PureMessage for Windows/Exchange Product tour

Transcripción

1 Guia del producto Appliances ES1000, ES5000 and ES8000 PureMessage for Windows/Exchange Product tour

2 Introducción INTRODUCCIÓN Bienvenido a la guía de producto de Sophos Appliances. La guía está estructurada para reflejar un día típico en la vida de un administrador de sistema de correo electrónico. Ofrece una revisión de las funcionalidades principales de nuestros dispositivos de , resaltando su efectividad y sencillez de uso. Después de leer la guía, conocerá mejor por qué los dispositivos de proporcionan la seguridad de gateway de más fiable e inteligente que existe. Los dispositivos ES1000, ES5000 y ES8000 forman parte de las Sophos Security and Data Protection, que incluyen dispositivos de correo electrónico administrados y protección de software para servidores Exchange, UNIX y Domino en los niveles de puerta de enlace y software de trabajo en grupo. Todas las soluciones de de Sophos ofrecen una exclusiva integración de capacidades de prevención antivirus, antispam, antiphishing y pérdidas de datos para proteger y controlar el contenido del correo electrónico. Como todas nuestras soluciones, los dispositivos de correo electrónico de Sophos son el producto de más de 20 años de experiencia en protección de empresas, instituciones educativas y gubernamentales. Están dotados de la combinación de los conocimientos especializados internos sobre antivirus, antispyware y antispam de SophosLabs, nuestra red mundial de centros de análisis de amenazas. La detección y protección de desalojo frente a las amenazas de seguridad cada vez más complejas y con mayor rapidez de propagación es una de las razones por las que Sophos es mundialmente reconocido, al contar con el nivel más alto de satisfacción del cliente y protección del sector. Todas nuestras licencias incluyen un soporte extenso de 24 horas de nuestra red mundial de técnicos de soporte, disponible sin cargo adicional, cada día del año. Los dispositivos de seguridad y control de de Sophos pueden usarse por separado o incorporarse mediante una única licencia de Seguridad y control empresarial, junto con Seguridad y control de web, Seguridad de punto terminal y Control y NAC avanzado de Sophos. Para obtener información sobre los precios y la disponibilidad de todos nuestros productos, póngase en contacto con su representante local de Sophos. Para conocer los representantes de cada zona, visite: Si desea probar un dispositivo de correo electrónico Sophos Appliance, complete el formulario en línea en:

3 Guía del producto: Dispositivos de correo electrónico Sophos appliances

4 Índice Índice 1 Introducción 4 Grandes capacidades de administración 5 Funciones y ventajas esenciales 6 2 Funcionalidad del producto 7 Arquitectura del software 7 Protección contra pérdidas de datos 13 3 Instalación 15 Configuración 15 Instalación de servicios de directorio 16 Preferencias de usuario final 17 Políticas 17 4 Administración de los dispositivos 23 Comprobaciones de estado 23 Actualizaciones 25 Copias de seguridad 25 Cuarentena 26 Búsqueda de mensajes completa 26 Opciones de usuario final 28 5 Informes 30 Informes del panel de control 30 Página de informes 31 Informes detallados 32 6 soporte 34 El dispositivo administrado 34 Garantía 36 Soporte de Sophos durante las 24 horas, los 7 días de la semana 36 Apéndice I Configuración de la política predeterminada 37 II Especificaciones del hardware 38

5 Guía del producto: Dispositivos de correo electrónico Sophos appliances 1: Introducción Los dispositivos de de Sophos son soluciones seguras de gateway de que proporcionan una protección integrada contra el spam, el malware, el phishing y las pérdidas de datos a través del correo electrónico. Se crean según el concepto de Dispositivo Administrado: la combinación del control y visibilidad de un dispositivo con la sencillez y facilidad de uso de un servicio gestionado. Los modelos ES1000, ES5000 y ES8000 se generan en sólidas plataformas de hardware, y ofrecen una seguridad de gran capacidad y disponibilidad para redes de correo electrónico de empresa. Protección eficiente del correo electrónico Los dispositivos de de Sophos ofrecen la máxima protección para el correo electrónico con el mínimo esfuerzo administrativo. Capacidades: ES1000: procesa hasta mensajes por hora ES5000: procesa hasta mensajes por hora ES8000: procesa hasta mensajes por hora Entre los componentes se incluyen: Tecnología avanzada de detección de amenazas: La premiada tecnología de escaneado es actualizada continuamente por SophosLabs, nuestra red mundial de centros de análisis y detección de amenazas. El afinado automático equilibra constantemente un abanico de técnicas de detección, adaptándose al carácter cambiante de las amenazas e impidiendo los fallos de protección. La tecnología Sender Genotype controla el comportamiento característico de las redes de bots a nivel de la conexión, lo que evita que los creadores de correo no deseado envíen correo electrónico, incluso antes de que hayan establecido su reputación. Las definiciones de nuevas amenazas y las reglas contra correo no deseado se descargan automáticamente cada algunos minutos y garantizan la protección más actualizada que existe. La tecnología SXL da un paso más a la hora de salvar la distancia entre la detección y la protección, facilitando en línea y en tiempo real la última inteligencia SophosLabs, en lugar de esperar a la próxima actualización. Prevención de pérdidas de datos: Los dispositivos de de Sophos incluyen herramientas potentes que protegen contra la pérdida de información confidencial y cumplen con la reglamentación. Mediante un sencillo asistente paso a paso, puede crear rápida y fácilmente reglas personalizadas para controlar cuerpos de mensaje y adjuntos por palabras claves, tipos de archivo, tamaño y otros atributos, para el correo entrante y saliente. El cifrado TLS proporciona una protección suplementaria al cifrar mensajes salientes para que sólo puedan leerlos los destinatarios a los que van dirigidos. Si se requieren políticas de cifrado más granulares, los dispositivos de de Sophos pueden integrarse fácilmente en cualquier sistema externo.

6 1: Introducción Control y emisión de alertas: Todos los dispositivos de Sophos incluyen un sistema de control y emisión de alertas integrado que permite resolver los problemas con mayor rapidez, contribuyendo así a la tranquilidad del usuario. Más de 40 opciones y condiciones distintas se controlan constantemente para conseguir el máximo rendimiento. Las alertas se envían al administrador del sistema y a Sophos, para que puedan tomarse las medidas correctoras con la mayor rapidez posible. Si necesitan más ayuda, los administradores también pueden beneficiarse del servicio de asistencia remota, y dejar que Sophos resuelva el problema del dispositivo directamente. Consola de administración: La gestión de estas potentes tecnologías es fácil, gracias a una consola de administración intuitiva en formato web que simplifica las tareas administrativas y ofrece una mejor percepción y un mayor control sobre la infraestructura del . La consola a tres clics del ratón ofrece el acceso instantáneo a información pertinente sobre la que puede actuarse para que los administradores puedan tomar decisiones informadas sobre el rendimiento del sistema y sus futuros requisitos de capacidad. Grandes capacidades de administración Protección premiada La excelencia de la seguridad Sophos es reconocida frecuentemente por una amplia variedad de organismos de prueba independientes, entre los que se encuentran ICSA, West Coast Labs, Veritest, evision IT Labs, av-test.org y publicaciones destacadas del sector tales como IT PRO y SC Magazine. Los dispositivos de de Sophos ofrecen funciones que simplifican la administración del Una consola de administración a tres clics del ratón en formato web en su totalidad Políticas configurables para administrar virus, correo no deseado, contenidos de mensajes y adjuntos Soporte de cifrado TLS y certificado personalizado para proteger el acceso a la consola de administración y a la interfaz web del usuario final Investigación de mensajes de extremo a extremo con acceso a la zona de cuarentena, registros de correo y cola de correo Agrupación por un clic para administrar hasta 10 dispositivos Integración con Microsoft Active Directory y otros sistemas LDAP que facilitan las tareas de configuración, aplicación de políticas y autenticación Los resúmenes de o la interfaz web permiten al usuario final gestionar las cuarentenas Listas blancas y listas negras generales o por usuario Alertas y mantenimiento de hardware y software integrados Control proactivo heartbeat Asistencia remota a petición del usuario Agrupación de migración tras error activa/pasiva de dos unidades.

7 Guía del producto: Dispositivos de correo electrónico Sophos appliances (ES5000/ES8000 BETA) Principales funciones y beneficios Función esencial Independencia de las plataformas Detección inigualable de spam y malware Protección proactiva Genotype Protección Behavioral Genotype Prevención de pérdidas de datos Servicio Sender Genotype Protección SXL contra correo no deseado en tiempo real Gran precisión Gran disponibilidad Gran capacidad Cumplimiento de normas Habilitado para cifrado Protección multilingüe Actualizaciones automáticas Controles de usuario final Soporte técnico Ventaja esencial Se adapta con facilidad a cualquier infraestructura de correo electrónico existente Antispam y antimalware premiados totalmente integrados por SophosLabs Bloquea hasta un 90% de amenazas nuevas sin necesidad de firmas específicas Prevención previa a la ejecución contra intrusiones para detectar y bloquear código malicioso antes de que pueda ejecutarse Proporciona potentes controles de escaneado de contenido y cifrado TLS para proteger contra pérdidas de información confidencial Bloquea hasta un 90% de correo no deseado a nivel de conexión mediante el filtrado por reputación y la detección preventiva de redes de bots El acceso SXL en tiempo real a la última tecnología contra correo no deseado de SophosLabs detecta las campañas de correo no deseado de corta duración Detecta más del 99% del spam y protege contra scams, incluyendo ataques de phishing. Proporciona una exactitud constante incluso con los mínimos falsos positivos Garantiza un funcionamiento sin interrupciones gracias a las fuentes de alimentación y discos duros redundantes e intercambiables (excepto ES1000) Proporciona una gran capacidad de proceso y almacenamiento en un compacto armario rack 1U Incorpora unas políticas configurables que permiten cumplir los requisitos de cumplimiento internos o normativos Incluye cifrado TLS para mayor seguridad Protege a las empresas frente al spam y los virus ocultos en mensajes de numerosos idiomas Garantiza una protección completa con actualizaciones automáticas de SophosLabs, la red internacional de centros de análisis de amenazas Descarga de tareas administrativas mediante la gestión de zonas de cuarentena de usuario final, listas blancas y listas negras Incluye soporte ilimitado de 24 horas por teléfono, correo electrónico y en línea, 365 días al año

8 2: FUNCIONES DEL PRODUCTO 2: FUNCIONES DEL PRODUCTO Descripción Los dispositivos de correo electrónico ES1000, ES5000 y ES8000 de Sophos son soluciones de seguridad de la puerta de enlace de correo electrónico que protegen desde que se conectan al equipo. Se adaptan con facilidad a cualquier configuración de red, y dado que ambos tienen un sistema operativo propio, no es necesario tener conocimiento de UNIX, Linux, Solaris u otro lenguaje de plataforma de servidor. Figura 1: Instalación estándar de Sophos Appliance Como dispositivos de gateway, se instalan típicamente en la DMZ, la zona neutra del cortaguegos de red y flujo ascendente desde el (los) servidor(es) de correo electrónico. En esta sección se describe la arquitectura de software de los dispositivos, y se revisa su política de cumplimiento de normas internas de y de las normas aplicables. Arquitectura de software El software instalado en los dispositivos está compuesto por cinco elementos principales: 1 Sistema operativo FreeBSD reforzado 2 Sistema de filtrado del correo electrónico de gran eficacia - Postfix MTA (agente de transferencia de correo) - Motor anti-spam - Motor antivirus - Control de conexiones Sender Genotype avanzado - Motor de políticas 3 Consola de administración y panel de control 4 Zona de cuarentena integrada 5 Sistema de control, alertas y notificaciones.

9 Guía del producto: Dispositivos de correo electrónico Sophos appliances (ES5000/ES8000 BETA) Sistema operativo FreeBSD reforzado Los dispositivos de correo electrónico Sophos Appliances están diseñados sobre un sistema operativo FreeBSD, optimizado para la plataforma de hardware y para el software incorporado de Sophos. FreeBSDes estable y fiable en grado máximo, y ofrece una gran velocidad y rendimiento en los dispositivos de seguridad de red. En el apéndice II hallará las especificaciones completas del hardware. Figura 2: El dispositivo de de Sophos escanea mensajes entrantes y salientes Sistema de filtrado de correo electrónico de gran rendimiento El sistema de filtrado de realiza las siguientes operaciones: Tráfico de correo entrante: El MTA integrado intercepta los mensajes entrantes en gateway del Los mensajes y adjuntos se escanean para filtrar el spam, los virus y otros fenómenos, según se hayan definido en la política de filtrado A los mensajes se les aplican las pruebas y acciones definidos previamente Los mensajes son: bien dirigidos a su destinatario original, bien enviados a la zona de cuarentena para su revisión, o bien eliminados. Tráfico de correo saliente: Los mensajes son dirigidos desde los servidores internos de correo electrónico al dispositivo Los mensajes y adjuntos se escanean para filtrar los virus y otros fenómenos, según se hayan definido en la política de filtrado A los mensajes se les aplican las pruebas y acciones definidos previamente Los mensajes se reenvían al MTA integrado para su entrega externa, o a la zona de cuarentena para su revisión. Nota Los dispositivos de de Sophos no entregarán nunca un mensaje entrante o saliente que contenga un virus conocido, ni permitirán liberarlo de la zona de cuarentena. Durante la configuración inicial, los administradores pueden optar por habilitar las políticas predeterminadas recomendadas de mensajes, incluido el cifrado TLS para mensajes salientes. Mediante la consola de administración en formato web, las opciones predeterminadas pueden modificarse en cualquier momento, y se pueden configurar pruebas y acciones personalizadas. (Consulte el apartado Políticas en la sección 3 para obtener más detalles).

10 2: FUNCIONES DEL PRODUCTO Las opciones de entrega de los mensajes incluyen: Entrantes y salientes (a menos que se especifiquen): Continuar procesando Rechazar (sólo salientes) Entregar inmediatamente Redirigir Poner en cuarentena Añadir banner Poner en cuarentena y continuar Añadir/reemplazar cabecera Poner en cuarentena, eliminar Notificar adjunto(s) y continuar Reencaminar Etiquetar asunto y continuar Copiar. Eliminar A tres clics de ratón Diseñado de acuerdo con una rigurosa disciplina de navegación mínima, se accede a cada función de la consola de administración con un máximo de tres clics, y nunca es necesario acceder a la línea de comandos. Consola de administración y panel de control La consola de administración es la interfaz gráfica con formato web entre el administrador del sistema y el dispositivo, que le permite: Configurar el sistema y los parámetros de red Crear un grupo de hasta 10 dispositivos, o agregar un nuevo dispositivo a un grupo existente Configurar y gestionar las políticas antispam, antivirus y de contenido Controlar el estado del sistema y diagnosticar las interrupciones Gestionar la zona de cuarentena Buscar en los registros de mensajes, en la cola, y en la zona de cuarentena para seguir la pista de mensajes perdidos Generar informes en tiempo real Delegar algunas tareas administrativas y controlar las capacidades de la interfaz de usuario final Configurar y administrar el cambio de unidad en caso de emergencia. Figura 3: Panel de control de la consola de administración El panel de control, la página de inicio de la consola que se muestra en la Figura 3, permite controlar de un solo vistazo todo el funcionamiento del sistema. Desde el panel de control, el administrador puede determinar el estado de protección, controlar el flujo y el volumen del correo electrónico, y garantizar la disponibilidad del sistema. Para más información sobre las herramientas de gestión, potentes pero fáciles de utilizar, consulte la Sección 4.

11 Guía del producto: Dispositivos de correo electrónico Sophos appliances Grupos Se pueden agrupar múltiples dispositivos para escalabilidad, disponibilidad y facilidad de administración. Escalabilidad: Los grupos permiten que un administrador agregue dispositivos de forma sencilla y rápida para administrar el tráfico creciente de correo electrónico en la puerta de enlace, sin carga administrativa adicional. Disponibilidad: Los grupos permiten la redundancia en el procesamiento de correo electrónico. El no funcionamiento de un dispositivo no afectará el flujo de correo electrónico por los otros dispositivos del grupo. Además, la copia de seguridad de la configuración de FTP, la sincronización de servicios de directorio y las cuarentenas de usuarios finales seguirán funcionando, incluso si falla un dispositivo. Simplicidad de administración: La administración centralizada de todos los dispositivos dentro de un grupo permite a los administradores ver el panel de control, los informes, el área de cuarentena, los informes, la información de registro y cola de todo el grupo, como si fueran un dispositivo más grande. (También puede verse cada dispositivo de forma individual.) Las funciones de usuario final, como los resúmenes de correo electrónico en cuarentena y el acceso de los usuarios finales al área de cuarentena web, funcionan del mismo modo que si se tratara de un entorno con un solo dispositivo. Poner en cuarentena El área de cuarentena es una zona segura en la que guardar los mensajes salientes y entrantes no solicitados o potencialmente peligrosos. Cualquier mensaje que infringe una política de seguridad (p. ej. virus, spam, palabra clave o coincidencia de contenido) puede dirigirse a la zona de cuarentena para que lo revise el administrador del sistema, y, opcionalmente, al destinatario del mensaje (entrante) o al emisor (saliente). El revisor puede entonces optar entre liberar o eliminar el mensaje puesto en cuarentena, con excepción de los mensajes que contengan virus. Almacenamiento en el dispositivo La zona de cuarentena integrada es una zona de almacenamiento de mensajes de gran capacidad que permite gestionar millones de mensajes. A diferencia de las soluciones de otros fabricantes, la zona de cuarentena está en el propio dispositivo y no en otro servidor. De ese modo, ofrece el doble beneficio de eliminar la necesidad de almacenamiento externo y la necesidad de contar con interfaz y sistema de gestión adicional de la cuarentena. Los administradores acceden a la zona de cuarentena utilizando la misma consola de administración desde la que gestionan todas las demás funciones del sistema. Administración delegada Los administradores pueden crear cuentas exclusivas de ayuda para delegar la gestión de las cuarentenas a otros administradores del sistema, sin exponer toda la gama de opciones de configuración del sistema. Los administradores encargados de la ayuda (Help desk) pueden gestionar entonces todos los problemas internos relativos a la pérdida o desaparición de mensajes, dejando libre al administrador principal para que pueda centrarse en otras prioridades. El administrador puede permitir a los destinatarios de los mensajes entrantes y a los remitentes de mensajes salientes ver los mensajes puestos en cuarentena, ya sea a través de un resumen de correo o mediante una interfaz web. En ambos casos, los usuarios finales únicamente podrán ver sus propios mensajes personales. Cuando se activa la interfaz web, los administradores también pueden permitir a los destinatarios configurar listas blancas y listas negras personales, e incluso desactivar la comprobación de spam. 10

12 2: FUNCIONES DEL PRODUCTO Control, emisión de alertas y notificaciones Basados en el principio de la gestión de excepciones, los dispositivos de de Sophos están dotados de tecnología avanzada diseñada para reducir o eliminar la carga administrativa cuanto sea posible. El mantenimiento automatizado y un completo sistema de control que supervisa más de 40 funciones distintas garantizan el máximo rendimiento con el mínimo esfuerzo. Acciones preventivas En caso de interrupción del sistema, el dispositivo envía alertas de correo electrónico al administrador del sistema para que solucione el problema, y cambia el color del indicador principal del Estado del sistema en la consola de administración. En caso de fallo de las condiciones esenciales para el funcionamiento que requiera de ayuda externa (por ejemplo, una avería en la fuente de alimentación), también se envían alertas a Sophos. Con frecuencia, Sophos inicia la resolución de ese tipo de situaciones incluso antes de que el administrador tenga conocimiento del problema (por ejemplo, enviando una nueva fuente de alimentación*). Como una medida adicional de seguridad y confianza, Sophos utiliza un innovador sistema remoto de control de latidos para garantizar que todos los dispositivos instalados se estén descargando definiciones actualizadas de amenazas y actualizaciones de software en su debido momento. Si un dispositivo no se descarga o no ejecuta una actualización, se enviará una alerta al administrador. Si se producen más de tres fallos en un periodo de 15 minutos, el dispositivo también enviará una alerta al servicio de soporte de Sophos. Si un dispositivo no se descarga actualizaciones durante más de dos horas, el servicio de soporte de Sophos le llamará por teléfono. Protección contra correo no deseado El método único de identificación de spam de Sophos utiliza la tecnología de detección más avanzada del sector proporcionada por SophosLabs durante 24 horas al día, todos los días del año. SophosLabs cuenta con trampas de spam en todo el mundo que revisan millones de mensajes cada día, proporcionando gran visibilidad y percepción sobre el tráfico de correo electrónico en todo el mundo. Mediante este control continuado, se identifican dos categorías de spam: alta y media. Los administradores pueden escoger las reglas de tratamiento de mensajes predeterminadas para estas categorías, o definir normas específicas según sus necesidades internas. Este enfoque simplificado supone que Sophos se ocupa del spam para que Ud. pueda centrarse en otras prioridades. La seguridad simplificada Si el dispositivo no genera ninguna alerta, la seguridad del correo electrónico está funcionando de la forma esperada, y no hay ninguna necesidad de intervenir. Protección contra el spam demostrada Los dispositivos de de Sophos detectan hasta un 99,4% de spam en el gateway del . evision IT Labs, de octubre de 2007 Filtrado por reputación La primera línea de defensa contra correo no deseado y programas maliciosos es la protección a nivel de la conexión. La tecnología Sender Genotype implementa el filtrado por reputación de IP y controles preventivos de conexión para bloquear el correo no deseado incluso antes de que los mensajes se acepten. Lo realiza al controlar el comportamiento característico de las redes de bots a nivel de la conexión, lo que evita que los creadores de correo no deseado envíen correo electrónico, incluso antes de que hayan establecido su reputación. Cuando se combina con la capacidad de interrumpir las conexiones procedentes de direcciones IP de remitentes de correo no deseado conocidos en el nivel del MTA, antes del escaneado, se puede eliminar hasta 90% del correo no deseado entrante, lo cual aumenta el rendimiento del los mensajes y evita las inversiones adicionales en infraestructura. El dispositivo también puede permitir a los mensajes pasar a través del MTA y llevar a cabo un filtrado por reputación justo antes del escaneado (véase más adelante). El identificado en esta etapa como procedente de remiten- * ES5000 y ES8000 (solamente) 11

13 Guía del producto: Dispositivos de correo electrónico Sophos appliances tes peligrosos recibe el mismo tratamiento que los demás mensajes identificados como spam en las pruebas de spam de Sophos, y se gestiona de conformidad con la política de seguridad aplicable. El motor de escaneado utiliza una amplia gama de métodos de filtrado, combinando cientos de pruebas diferentes que descubren las tácticas de evasión de los filtros. Una de las pruebas realizadas, por ejemplo, analiza los distintos modos (más de millones) en que los remitentes de spam escriben la palabra Viagra. Si se descubre un indicador de spam, el resultado contribuye a la puntuación general de spam del mensaje. Los títulos de los mensajes, su estructura, contenido y los URI ejecutables (identificadores uniformes de recursos, es decir, páginas web, direcciones de correo electrónico, nombres de archivos, etc.) también se escanean en búsqueda de miles de condiciones distintas. Entre las técnicas de detección de spam se incluyen las siguientes: Sensores de seguridad contra amenazas para proteger contra scams, tales como phishing, que inducen a los usuarios a enviar información personal o financiera El análisis Sender Genotype para eliminar el correo no deseado de redes de bots a nivel de la conexión IP El análisis de campañas Genotype identifica campañas complejas de spam, al reconocer características comunes a una serie de mensajes Los sensores de contenidos ofensivos buscan contenidos pornográficos u otros contenidos delicados Las técnicas de huellas dactilares detectan y bloquean spam de imágenes y spam de adjuntos del tipo PDF, Excel u otros tipos comunes de adjunto El rastreo de activos de envío de spam identifica a los operadores de las páginas web publicitarias, y bloquea los mensajes no solicitados El filtrado del URI de destino bloquea los mensajes que remiten a páginas web secuestradas, freeweb y otras páginas que contengan publicidad Los sensores de camuflaje para identificar las técnicas que los creadores de correo no deseado utilizan para ocultar sus mensajes de los filtros de correo no deseado. Tecnología Sophos SXL Sólo las soluciones de seguridad y control de Sophos, incluidos los dispositivos de de Sophos, cuentan con tecnología SXL. SXL proporciona una protección antispam de hasta el segundo nivel mediante búsquedas en red y en tiempo real de la última inteligencia antispam de SophosLabs. Los servidores SXL no sólo contienen la última información de SophosLabs, sino que también conservan la antigua inteligencia antispam que puede estar inactiva como los IP de la red bot o URL de destino pero que ocupan un espacio de almacenamiento local valioso. La tecnología SXL permite a cada instalación beneficiarse del corpus creciente de inteligencia antispam, sin necesidad de aumentar el almacenamiento local. SophosLabs analiza continuamente el flujo de mensajes de spam a través de su red de capturas, difundiendo los datos de protección a los servidores SXL y actualizando automáticamente los dispositivos cada cinco minutos. De este modo el usuario puede disfrutar de protección actualizada frente a las actividades más recientes de los remitentes de spam sin que se requiera ningún esfuerzo administrativo. Por último, otra opción con la que cuentan los administradores (que viene activada por defecto) es la protección automática contra los ataques de denegación de servicio y los ataques de robo de directorios (DoS y DHA). Cuando la opción está activada, el dispositivo puede disminuir la velocidad del tráfico entrante y bloquear las conexiones entrantes que suelen indicar que se está produciendo un ataque de ese tipo. 12

14 2: FUNCIONES DEL PRODUCTO Más opciones personalizadas de spam Los dispositivos ofrecen dos mecanismos anti-spam las listas blancas y las listas negras que permiten personalizar más aún las políticas del correo entrante. Listas blancas: Un elemento optativo del filtrado de spam es la gestión de la lista blanca de una empresa, es decir, la lista de direcciones de correo o dominios que son considerados seguros y por lo tanto no pasan el filtro de spam. Al añadir direcciones y dominios de remitentes seguros a la lista blanca se elimina el riesgo de que sus mensajes sean bloqueados inadvertidamente por el filtro de spam, y se permite que el filtro sea más agresivo, al actuar únicamente sobre los mensajes sospechosos. Las listas blancas pueden aplicarse a toda la empresa y, si se activa la opción correspondiente, a las distintas cuentas de correo electrónico. Listas negras: Al contrario que las listas blancas, las listas negras contienen las direcciones de correo o los dominios que se consideran peligrosos o no solicitados, y que por tanto se bloquean. Al añadir direcciones a la lista negra se reduce el volumen de mensajes que pasan el proceso de escaneado completo, mejorando por tanto el rendimiento y aumentando la capacidad del sistema. Las listas negras pueden aplicarse a toda la empresa y, si se activa la opción correspondiente, a las distintas cuentas de correo electrónico. Los administradores pueden permitir a los usuarios desactivar el control de spam pero, más importante aún, el control de virus no puede desactivarse. Protección contra virus El gateway de es la vía por la que más posibilidades tienen las empresas de recibir virus. La protección contra virus en el gateway de proporciona un importante primer nivel de seguridad, protegiendo a toda la empresa desde un único punto y permitiendo que la protección sea continuada con las simples actualizaciones. Los dispositivos de correo electrónico Sophos Appliances incorporan el motor de detección de virus de Sophos, líder en el sector, para proteger a las empresas del correo no deseado que puede ingresar por el correo electrónico. Protección de día cero La tecnología de reducción de amenazas protege contra las amenazas que evolucionan con gran rapidez, como los gusanos de Internet que pueden causar estragos, incluso antes de que se disponga de detección específica. Los dispositivos comprueban todo el tráfico de correo electrónico que pasa por el servidor de correo electrónico en tiempo real, lo que brinda protección contra virus y gusanos enviados de forma masiva, inclusive las últimas amenazas mixtas que combinan virus, correo no deseado y ataques de denegación de servicio. Protección de día cero La protección proactiva y avanzada de SophosLabs le proporciona seguridad contra amenazas y ataques desde el día cero. La tecnología Genotype detecta nuevas variantes de familias de virus, proporcionando una protección de desalojo para hasta un 90% de amenazas nuevas y antes de que se disponga de la detección específica. Los dispositivos comprueban automáticamente los contenidos y archivos ejecutables en el correo electrónico en busca de códigos maliciosos, y aplican la política correspondiente para gestionar las acciones de los mensajes, garantizando así una protección rápida y fiable. Protección del perímetro Las denegaciones de servicio (DoS) y los ataques de robo de directorio (DHA) son amenazas de seguridad que provocan la sobrecarga de los sistemas de gateway e internos. Para proteger contra esas amenazas, los dispositivos de de Sophos miden la velocidad de los mensajes para detectar patrones de tráfico anómalos que superen el volumen típico y legítimo de la empresa, ya sea de todos los remitentes o sólo de algunos. Este control le permite detectar y responder adecuadamente a los ataques de DoS y DHA. 13

15 Guía del producto: Dispositivos de correo electrónico Sophos appliances Prevención de pérdidas de datos La infracción de las obligaciones de confidencialidad, la responsabilidad jurídica, la pérdida de productividad y los daños a la reputación profesional pueden costar a las empresas millones de dólares cada año. La creciente complejidad de los entornos legislativos obliga a las empresas a dotarse de protección adecuada, estableciendo, controlando y aplicando políticas y procedimientos adecuados tanto en sus infraestructuras como en lo relativo a sus usuarios finales. El marco de políticas de los dispositivos le permite aplicar una política clara que rija la entrada y la salida de los mensajes y el contenido autorizado del gateway. Se puede configurar una gama de acciones de políticas desde la consola de administración. Las políticas estándar que aplican las organizaciones son: Rechazar mensajes de remitentes conocidos no deseados Definir listas blancas y listas negras (generales e individuales) Mensajes en cuarentena que contienen lenguaje hostigador o insultante Mensajes en cuarentena y revisión con palabras clave o adjuntos concretos para proteger contra la pérdida de propiedad intelectual o contenido sensible Añadir etiquetas al encabezamiento o al pie del mensaje Redirigir mensajes en formato de contenido de mensaje Controlar y registrar el tráfico sospechoso para detectar los abusos del sistema. Para una lista completa de todas las opciones de la política predeterminada, consulte el Apéndice I. Resumen Los dispositivos de de Sophos proporcionan la mezcla ideal de automatización y control para las necesidades de gestión del correo electrónico de las empresas. Los dispositivos combinan la actualización automática de definiciones de amenazas con la facilidad de la administración y un sistema de emisión de alertas basado en las excepciones. Esta combinación de funciones reduce al mínimo la carga administrativa del día a día, al tiempo que proporciona una percepción y un control reales. Los dispositivos de de Sophos aprovechan los amplísimos recursos de SophosLabs en todo el mundo. La exposición continuada de SophosLabs a las amenazas del permite articular una protección proactiva gracias a la mayor rapidez en el análisis de amenazas, las numerosas técnicas de detección y actualización (como las actualizaciones de virus, spam o las políticas), y la gestión completa de todo el ciclo vital de la amenaza. Al utilizar Sophos Security Appliances, las empresas se benefician de: Protección de 24 horas Los centros de análisis de amenazas de SophosLabs presentes en todo el mundo proporcionan Investigación las 24 horas e identificación de amenazas nuevas. Una protección fiable frente a las nuevas amenazas, variantes de virus y las campañas de spam en constante evolución Reducción de la carga administrativa Mayor tranquilidad, al saber que la infraestructura de correo electrónico está protegida. 14

16 3: Configuración 3: Configuración Descripción En esta sección se describen las opciones básicas de los dispositivos, incluida la configuración, la configuración de servicios de directorio, las preferencias del usuario final y la configuración predeterminada de las políticas. No pretende sustituir a la guía de configuración, sino demostrar la sencillez y facilidad de uso de los dispositivos. Configuración La configuración de los dispositivos de de Sophos es fácil y sencilla. El Asistente de Configuración guía al administrador a través del proceso de configuración básica y permite empezar a escanear el correo electrónico apenas 15 minutos más tarde. Estas categorías de configuración se muestran en la Figura 4. Los administradores pueden modificar esta configuración en cualquier momento mediante la consola de administración. Instalación rápida y sencilla Un sencillo asistente de configuración le ayuda a montar el dispositivo y ponerlo en funcionamiento en menos de 15 minutos. Figura 4: Página de inicio de la configuración Configuración de servicios de directorio Los dispositivos permiten una rápida configuración de las opciones de usuarios y grupos de usuarios mediante la integración avanzada por protocolo LDAP con Active Directory de Microsoft. Este método proporciona un sistema de validación más sencillo al destinatario, y permite aplicar políticas de mensajes a usuarios y grupos de usuarios específicos. En la página de configuración de Servicios de directorio, el administrador puede detectar e importar automáticamente parámetros de configuración LDAP o introducirlos manualmente. El dispositivo guarda una versión local de Active Directory para mantener las funciones y evitar las interrupciones Tardamos más en sacar el dispositivo de la caja que en instalarlo y empezar a utilizarlo. Noe Arzate, Mount Pleasant Independent School District 15

17 Guía del producto: Dispositivos de correo electrónico Sophos appliances Figura 5: Configuración de servicios de directorio en caso de que el servidor de Active Directory sufriese algún fallo. Los administradores pueden fijar una frecuencia de sincronización para garantizar que el dispositivo utilice la versión más actualizada. Los grupos de usuarios pueden configurarse manualmente o mediante el LDAP. Preferencias del usuario final Los dispositivos incluyen funciones inteligentes para configurar y administrar a los usuarios del correo electrónico. Empezando por la completa integración LDAP, los administradores pueden configurar con rapidez y sencillez los privilegios de usuario, como: Autenticación Listas blancas y listas negras Acceso a la zona de cuarentena mediante resúmenes de mensajes o la interfaz web Preferencia de idioma de interfaz del usuario Frecuencia de entrega de correo electrónico Omisión de comprobaciones de spam. Figura 6: Preferencias del usuario final 16

18 3: Configuración Para más información sobre las opciones de acceso a la zona de cuarentena por el usuario final, consulte Opciones de usuario final en la Sección 4: Gestión de los dispositivos. Políticas Los dispositivos de de Sophos están diseñados para ofrecer una seguridad y una flexibilidad máximas con mínima carga administrativa. Aprovechando la amplia experiencia de Sophos en la detección de virus, spam y otros tipos de programas dañinos, los dispositivos incluyen una configuración predeterminada de la política que proporciona el mayor grado de seguridad que elimina las conjeturas de la configuración del sistema. No obstante, si es necesario personalizarla, la consola de administración lo hace rápida y fácilmente (consulte P. 19 para ver el asistente de políticas). Política antivirus Los mensajes entrantes que contengan virus pueden gestionarse según la naturaleza de la amenaza: Virus Adjunto no escaneable Adjunto cifrado Adjunto sospechoso. Figura 7: Página principal de políticas antivirus Puede gestionar hasta 20 reglas y acciones por separado para correo entrante y saliente. Dispondrá de una variedad de acciones, incluidas notificaciones (p. ej. notificar a RR.HH. que se ha detectado contenido insultante, o notificar a los servicios jurídicos que se ha detectado información de patente), banners y modificación de cabeceras. Estas acciones permiten la aplicación integral de la política de uso aceptable de de su empresa. Para una lista completa de todas las opciones de la política predeterminada, consulte el Apéndice I. 17

19 Guía del producto: Dispositivos de correo electrónico Sophos appliances Política anti-spam Por defecto, los dispositivos eliminan los mensajes de remitentes peligrosos conocidos y mensajes con ala puntuación de spam, y ponen en cuarentena los mensajes con puntuaciones medias de spam. El usuario puede modificar esta configuración según los grupos de Active Directory o las listas personalizadas. En la Figura 8 se ilustra la página principal de políticas antispam de la consola de administración. Desde ella puede crear y gestionar hasta 20 reglas antispam distintas, y garantizar así que el dispositivo de de Sophos cumpla con los requisitos de su empresa. Política de contenidos Figura 8: Página principal de políticas antispam Los s pueden incluir a menudo contenido que puede exponer a las empresas a problemas de responsabilidad internos y normativos. Es esencial que la solución de seguridad aplique la política para conseguir un uso aceptable. Para impedir un uso impropio, el sistema de filtrado escanea los cuerpos y adjuntos de correo electrónico para detectar lenguaje insultante, palabras claves y tipos de archivo concretos, y permitir de este modo que pueda mantener un riguroso control sobre todo el contenido de los mensajes. Con el asistente de políticas integrado (véase la figura 9), puede personalizar hasta 40 reglas para vigilar atributos como el tipo y el contenido de los adjuntos (en expresiones habituales y cadenas con comodines) específicos de su empresa o su sector. 18

20 3: Configuración Figura 9: Personalización de políticas de contenido salientes Para cada tipo de filtrado de contenidos, y tanto para el correo entrante como el saliente, el administrador puede configurar las siguientes acciones: Continuar procesando Entregar inmediatamente Eliminar Poner en cuarentena Poner en cuarentena y continuar Redirigir Etiquetar asunto y continuar Reencaminar Copiar. Al configurar estas reglas y acciones, puede optar por aplicarlas a usuarios o grupos de usuarios específicos de su empresa, según determine en el servidor Active Directory o mediante una lista personalizada. También pueden establecerse excepciones individuales y de grupo. Del mismo modo, puede optar por copiar, copiar de forma oculta o redirigir mensajes que tengan infracciones de contenido a una dirección de correo específica (como por ejemplo, la del responsable de cumplimiento), copiar al remitente / destinatario, y añadir un mensaje de notificación. También puede añadirse una etiqueta personalizada al principio o al final del mensaje. Puede establecer un límite máximo al volumen del mensaje (de 2 MB a 50 MB), para mantener espacio en el dispositivo y en los servidores de descarga. 19

21 Guía del producto: Dispositivos de correo electrónico Sophos appliances Paso 1: Descripción de reglas Seleccione el tipo de regla de contenido. Las opciones incluyen banner, palabra clave, adjunto, idioma, lista de observación, lista de nombres de host/direcciones IP o atributos de mensaje como el tamaño. Paso 2: Configuración de reglas Especifique los detalles de la regla, según el tipo seleccionado. Por ejemplo, si la regla rige las palabras clave, ésta es la página en que se gestiona la lista de palabras claves. Paso 3: Atributos de mensaje Aquí es dónde se especifican otros atributos de mensaje tales como el tamaño. Paso 4: Usuarios y grupos Especifique qué usuarios o grupos están sujetos a la regla. Puede mantener listas separadas para remitentes y destinatarios. 20

22 3: Configuración Paso 5: Acción principal Aquí es dónde el administrador especifica qué acción debería tener lugar cuando se acciona la regla. Hallará una lista de acciones disponibles en la página 9. Paso 6: Acciones adicionales Aquí es dónde pueden gestionarse otras acciones tales como inclusión de banners, modificación de cabeceras o definición de notificaciones. Paso 7: Descripción de reglas Asigne un nombre a la regla y elija si desea activarla o no. La activación y prioridad de las reglas también se gestionan desde las páginas de políticas principales de virus, spam y contenido. 21

23 Guía del producto: Dispositivos de correo electrónico Sophos appliances Grupos Figura 10: Añadir un dispositivo al grupo Si instala más de un dispositivo, ingrese el nombre del host o la dirección IP del primer dispositivo que configuró y haga clic en añadir en la sección de grupos del asistente de instalación La configuración se sincroniza automáticamente. Resumen Los dispositivos de de Sophos incluyen una compacta configuración por defecto de las políticas antivirus, anti-spam y de contenido de los mensajes. Sin embargo, dichas políticas pueden personalizarse con gran facilidad para adaptarse a las necesidades específicas de su empresa. Busque una protección básica contra el spam y el malware o una prevención avanzada de pérdida de datos a través del correo electrónico, el resultado es completo, una seguridad de para empresas con un esfuerzo mínimo. 22

24 4: Gestión de los dispositivos 4: Gestión de los dispositivos Descripción Con los dispositivos de de Sophos, la administración y el control del gateway de nunca ha sido tan fácil. Incorporan una amplia gama de herramientas y opciones diseñados para eliminar o automatizar la mayor parte de las tareas administrativas, siguiendo una estricta filosofía de gestión de las excepciones. Todo parte de lo que denominamos la experiencia del Dispositivo Administrado. Dicho de manera sencilla, si no recibe alertas ni notificaciones del dispositivo (o de Sophos), quiere decir que se supone que todo funciona según lo previsto y no esnecesaria ninguna interacción ni intervención. El dispositivo le informará únicamente de las cosas que requieran su atención. En los demás casos, puede realizar sus tareas diarias con la total confianza de que la puerta de enlace de correo electrónico funciona de forma segura y eficiente. Los dispositivos reducen la carga administrativa gracias a una intrincada red de más de 40 sensores de sistema integrados. Cuando se activa un sensor, aparece una alerta visual en el panel de control, o bien se envía una alerta por correo electrónico al administrador. Al iniciar una sesión y pulsar el botón Estado del Sistema se puede saber de un sólo vistazo cuál es la situación, junto con las medidas propuestas para su resolución. En esta sección se describen brevemente las tareas administrativas diarias de gestión de su dispositivo. Administración más sencilla Más de 40 sensores del sistema hacen un seguimiento constante del dispositivo, para que no tenga que hacerlo usted. Comprobaciones de estado Puede saber instantáneamente cuál es el estado general del dispositivo, al iniciar sesión en la consola de administración y comprobar el indicador de Estado del sistema, que aparece en la parte superior derecha de cada página (consulte la Figura 11). El verde indica que todos los sistemas funcionan con normalidad; el amarillo, una interrupción temporal o de bajo nivel; y el rojo, una interrupción grave. (En caso de que se produzca un problema grave, el dispositivo enviará una alerta por correo electrónico a quien se haya designado como contacto técnico, así como a Sophos). Figura 11: Comprobación del estado del sistema en la consola de administración 23

25 Guía del producto: Dispositivos de correo electrónico Sophos appliances Al pulsar en el indicador del Estado del sistema se abre la página de Estado del sistema, en la que se proporcionan detalles sobre las siguientes características: Flujo de correo: informa sobre el volumen de mensajes, los mensajes bloqueados, spam y virus Poner en cuarentena: volumen del almacén de mensajes integrado Software: procesa el estado general, el estado de protección, la conexión con Sophos, el reinicio del sistema y las actualizaciones del sistema Hardware: funcionamiento de los componentes, temperatura, uso de memoria, etc. Certificados: estado de los certificados utilizados para el cifrado TLS o la autenticación de usuario final Licencia: el tiempo que queda de la licencia de software. Figura 12: Página de estado del sistema Como se muestra en la Figura 12, en la página Estado del sistema aparece un indicador para cada monitor, así como un mensaje en que se explica el estado actual, las instrucciones para solucionarlo y la información de fecha y hora de la última excepción. Si se produce una excepción, podrá pulsar sobre ella para ver más datos del incidente y si se ha aplicado alguna acción de forma automática. Desde esta única página de la consola de administración, puede comprobar todas las operaciones críticas del dispositivo. La página de Estado del Sistema facilita llevar a cabo revisiones completas y espontáneas del funcionamiento general y del estado de protección, e indica instrucciones para corregir las interrupciones del sistema. Si administra múltiples dispositivos, la página de estado del grupo también brinda información valiosa sobre los dispositivos acerca de los dispositivos de un grupo, así como de los trabajos programados, como resúmenes de correos electrónicos en cuarentena, copia de seguridad de la configuración FTP y sincronización de servicios de directorio. 24

26 4: Gestión de los dispositivos Actualizaciones Los dispositivos de correo electrónico Sophos Appliances se conectan con Sophos cada pocos minutos para descargar definiciones de amenazas y actualizaciones de software (de forma predeterminada, ambas se descargan y aplican automáticamente). El administrador tiene la opción de descargar y aplicar actualizaciones menores de software con una frecuencia determinada, o llevar a cabo actualizaciones en demanda mediante un solo clic. Las actualizaciones menores pueden retrasarse hasta siete días. En cambio, las actualizaciones de software importantes, como los parches de vulnerabilidades, se aplican instantáneamente. Tal como se ha mencionado en la página 12, tiene acceso en línea a la última inteligencia de spam en tiempo real entre descargas a través de la red SXL de SophosLabs. Copias de seguridad Los administradores pueden configurar el dispositivo para que inicie copias de seguridad automáticas vía FTP de los datos de configuración, los registros del sistema y los mensajes en cuarentena. Las copias de seguridad de configuración pueden hacerse con las siguientes frecuencias: Diariamente, a medianoche Semanalmente, el viernes a medianoche Mensualmente, el primer día del mes a medianoche Las copias de seguridad de datos pueden hacerse con las siguientes frecuencias: Cuando caducan Cada media hora Cada hora Diariamente, a medianoche Semanalmente, el viernes a medianoche Mensualmente, el primer día del mes después de medianoche Figura 13: Página de copia de seguridad del sistema También se puede realizar copia de seguridad de los datos de configuración manualmente, con un solo clic, en la página de Copia de seguridad del sistema de la consola de administración, como se muestra en la Figura

27 Guía del producto: Dispositivos de correo electrónico Sophos appliances Poner en cuarentena Los dispositivos llevan incluida una zona de cuarentena que puede almacenar millones de mensajes de . Dependiendo de los modelos de tráfico y la configuración de políticas únicos de su empresa, esta capacidad de almacenamiento puede traducirse en la posibilidad de guardar los mensajes de varias semanas. Desde el panel de control puede comprobar rápidamente el estado de la zona de cuarentena. En la parte inferior de la sección de Resumen de Estadísticas en el extremo izquierdo de la pantalla, aparecen dos mediciones dinámicas del rendimiento de la zona de cuarentena: Antigüedad de la cuarentena y Capacidad de la cuarentena, como se muestra en la Figura 14. La Antigüedad de la cuarentena muestra cuántos días lleva retenido el contenido almacenado en el área de cuarentena, p. ej. 1 día, lo que significa que el mensaje más antiguo en cuarentena tiene 1 día de antigüedad. La Capacidad de la cuarentena representa el porcentaje de espacio de almacenamiento que se está utilizando en ese momento, por ejemplo, utilizado el 1,5%. Los dispositivos utilizan un sistema de archivo automático de cuarentenas para conseguir un rendimiento óptimo y garantizar una capacidad de almacenamiento adecuada. Si los datos del disco duro llegan al 70% de su capacidad, los datos se archivarán automáticamente para que haya disponible como mínimo un 40% de la capacidad del disco. El administrador debe configurar la ubicación de las copias de seguridad vía FTP en la consola de administración del dispositivo. Figura 14: Visión de la capacidad del área de cuarentena en el panel de control Búsqueda de mensajes completa Los dispositivos de de Sophos proporcionan además de capacidad de almacenamiento capacidades de búsqueda de mensajes de extremo a extremo. Se han diseñado para responder al aspecto que más tiempo requiere en la gestión de gateway : encontrar mensajes perdidos. Gracias a esta característica puede hacer búsquedas sencillas según distintos parámetros, reduciendo el tiempo que se pasa intentando averiguar qué le ha ocurrido a un mensaje determinado. El mejor soporte del sector La excelencia del servicio de asistencia técnica de Sophos no tiene rival en el sector de la seguridad informática: es lo que nos distingue de los otros fabricantes. A la función de búsqueda se accede desde la barra de navegación de la consola de administración, como se muestra en la Figura 15. Se pueden hacer búsquedas separadas en los registros de mensajes, la cola de mensajes o el área de cuarentena. 26

28 4: Gestión de los dispositivos Figura 15: Búsqueda del registro de correo electrónico de muestra Puede buscarse en los Registros de mensajes mediante los siguientes parámetros: Remitente Destinatario Intervalo de fechas de inicio Intervalo de fechas de finalización Relé ID de mensaje Los datos de registro se presentan en un formato fácil de leer, escondiendo los datos innecesarios y destacando la información que revela qué le ha ocurrido al mensaje en cuestión. La búsqueda ordenará los datos según los siguientes criterios: Fecha y hora Destinatario Asunto Remitente Relé Al pulsar sobre una entrada en los resultados de la búsqueda aparecerán datos más completos sobre el registro en cuestión. Se puede buscar en la cola de mensajes mediante los siguientes parámetros: Remitente Destinatario Intervalo de fechas de inicio Intervalo de fechas de finalización Cola (Todos, antes del filtrado, entrega) Los datos de la cola proporcionan información sobre el lugar en el que un mensaje se encuentra dentro del flujo de mensaje: en cola de filtrado, o en cola par su entrega al servidor de descarga de correo. La información se presenta en un formato fácil de leer. La búsqueda ordenará los datos según los siguientes criterios: Fecha y hora Destinatario Estado de la cola Tamaño Remitente Se pueden realizar búsquedas en el área de cuarentena mediante los siguientes parámetros: Remitente Intervalo de fechas Motivo de finalización Destinatario Relé Intervalo de fechas ID de mensaje de inicio La búsqueda en la cuarentena ordenará los datos según los siguientes criterios: Fecha y hora Destinatario Motivo Remitente Asunto Nota Puede buscar por los siguientes criterios: Todo, virus, spam, palabra clave, adjunto sospechoso, adjunto cifrado, adjunto no susceptible de escaneado, lenguaje ofensivo. 27

29 Guía del producto: Dispositivos de correo electrónico Sophos appliances Al pulsar sobre una entrada en los resultados de la búsqueda aparecerá información más completa sobre la entrada en la cuarentena, incluida la opción de ver los datos completos del mensaje. El administrador puede seleccionar mensajes y sacarlos de cuarentena, reenviarlos, o borrarlos. Para reducir más aún la gestión de la carga de trabajo diaria, el administrador puede crear cuentas especiales para el personal del servicio ayuda de la empresa que debe gestionar las dudas relativas al correo electrónico de los empleados. Estas cuentas tienen acceso a todas las funciones de gestión de la cuarentena, pero no a la configuración del sistema ni a las opciones de configuración general. Para los administradores con numerosas responsabilidades que pueden delegar en otros empleados, esta característica mejora la productividad del grupo y les deja tiempo libre para centrarse en otras cuestiones de la empresa. Figura 16: Resúmenes de (nota: pueden entregarse de diversas formas según sea su cliente) Opciones del usuario final Para aliviar un poco de presión en el departamento informático, muchas empresas delegan algunas responsabilidades de gestión del spam entrante en las personas a quienes va dirigido. Los dispositivos de de Sophos proporcionan dos opciones con este fin: Resumen de correo electrónico Interfaz web de usuario final. Los resúmenes de correo son mensajes generados por el sistema que contienen una lista de los mensajes puestos en cuarentena. Los destinatarios pueden gestionar su cuarentena personal simplemente respondiendo al mensaje con instrucciones de conservar, liberar o eliminar los mensajes de la lista. 28

30 4: Gestión de los dispositivos Figura 17: Interfaz web de usuario final El resumen de mensajes mostrado anteriormente puede programarse para que se entregue a horas específicas una vez al día, dos veces al día o una vez por semana. Los administradores también tienen la opción de utilizar el acceso en formato web a la cuarentena, que se completa con la autenticación del usuario a través de Active Directory o de una lista personalizada. La interfaz web de usuario final, como se muestra en la Figura 17, es una visión en tiempo real de los mensajes puestos en cuarentena de cada usuario, que proporciona las mismas opciones de conservar, liberar o eliminar los mensajes puestos en cuarentena. Tanto el resumen de correo como la interfaz web pueden utilizarse en los siguientes idiomas: inglés, francés, alemán, italiano, japonés y español. Esta característica es general y viene definida por el administrador, y el usuario final no puede cambiarla. Filtrado más rápido Los administradores pueden aumentar la eficiencia del filtrado de correo electrónico aplicando listas blancas y listas negras con carácter general o a las distintas cuentas de correo. Las preferencias de usuario final son globales: si el resumen de mensajes está activado, todos los usuarios recibirán el resumen de mensajes. Si la interfaz web está activada, todos los usuarios tendrán acceso a la interfaz web. La única excepción es que si la interfaz web de usuario final está activada, los usuarios individuales pueden optar por desactivar el resumen de mensajes. Los administradores pueden conceder opciones a los usuarios para que éstos puedan mantener listas blancas y listas negras personales, y para que puedan desactivar por completo la comprobación de spam. (Para obtener más detalles, consulte Más opciones personalizadas de correo no deseado en la Sección 2: Funciones del producto). El administrador debe activar estas características de forma general, en la página de Preferencias del Usuario Final (véase la Figura 6 de la Sección 3: Configuración). El acceso a la interfaz web de usuario final también debe ser activado por el administrador. 29

31 Guía del producto: Dispositivos de correo electrónico Sophos appliances 5: Informes Descripción Para mantener el control y la visibilidad en el gateway de , los administradores deben conocer con detalle qué sucede en el flujo de mensajes. Saber simplemente que la red cuenta con protección actualizada frente al spam y los virus no es suficiente: los directivos piden con frecuencia a los administradores análisis más completos del gateway de . Este tipo de solicitudes requiere ahondar más en diversos factores, como qué es lo que conforma el flujo de mensajes y cómo funcionan el hardware y el software. La generación de informes en tiempo real de los dispositivos facilita la adquisición de este tipo de conocimientos, lo que contribuye a una mejor gestión y a una administración del sistema más inteligente. Aunque es importante entender qué sucede en cada momento, es igualmente importante, si no más, entender qué cambia con el transcurso del tiempo. Los dispositivos generan muchísimos informes relevantes y susceptibles de análisis para ayudar a los administradores a entender qué sucede en el gateway de , y para ayudar a planificar los futuros requisitos de capacidad a medida que el sistema de correo electrónico crece. Se puede acceder al conjunto de informes desde dos ubicaciones de la consola de administración. Las estadísticas clave, como el volumen de mensajes y el comportamiento de las amenazas, se resumen en el panel de control (véase la Figura 3 en la Sección 2: Funciones del producto). Además, en la página de Informes pueden consultarse estadísticas más completas, que cubren un amplio espectro de información. Ambas opciones se describen con más detalle a continuación. 30 Informes del panel de control El panel de control proporciona un resumen rápido del rendimiento del sistema en ese momento, actualizando automáticamente los datos cada cinco minutos. El panel de control agrupa estos datos en tres secciones: Resumen de estadísticas, Velocidad del correo electrónico y Volumen del correo electrónico, lo que proporciona un acceso rápido a las estadísticas consultadas con mayor frecuencia. Resumen de estadísticas El resumen de estadísticas que aparece en el extremo izquierdo del panel de control muestra los volúmenes diarios y los momentos de máximo volumen, y destaca las amenazas de virus más habituales encontradas. También indica cuándo se produjo la última actualización y la capacidad restante de la cuarentena integrada. Las flechas a la derecha de las tres primeras líneas indican la variación respecto al tráfico del día anterior. Por ejemplo, una flecha que señale hacia abajo indicaría que el volumen de ese día es inferior al del día anterior.

32 5: Informes El volumen medio diario es un total que se calcula continuamente, basado en el total de mensajes procesados desde que el dispositivo se conectó a la red por vez primera. Los volúmenes máximos reflejan los valores máximos por categoría durante el mismo periodo. Velocidad del correo En el centro de la parte inferior de la pantalla aparecen dos esferas, una al lado de la otra, que miden los mensajes procesados por hora y el retraso de los mensajes, es decir, el tiempo que tarda el filtro de correo en escanear un único mensaje. Estas esferas muestran instantáneamente el volumen de correo que pasa por el dispositivo, y cuánto tiempo se tarda en procesar cada mensaje. Si la esfera de la izquierda (mensajes/hora) está en sus valores máximos, podría indicar un pico en el tráfico de , que normalmente iría acompañado de valores altos también en la esfera de la derecha (latencia). A la inversa, si el marcador de mensajes/hora está en el cero, podría indicar un problema de conexión. Volumen de mensajes hoy En la parte inferior derecha del panel de control, como se muestra al lado, aparecen los gráficos lineales que miden el tráfico diario de correo, spam y virus. El gráfico de relleno blanco representa el flujo de tráfico diario hasta ese momento, mientras que la línea roja representa la media actualizada de los últimos siete días. Si existe una diferencia notable entre los dos modelos, podría tratarse de un pico de tráfico de mensajes o de un brote de virus (si el blanco supera al rojo) o un problema en la conexión o el relé (si el rojo supera al blanco). Téngase en cuenta que, dado que estos gráficos miden la verdadera naturaleza del flujo de mensajes, un pico en el spam o los virus indicaría que el dispositivo está interceptando esta amenaza, manteniéndolas fuera de la corriente de mensajes. Página de informes Al pulsar la pestaña de Informes de la consola de administración se accede a una página donde se muestran informes de mayor alcance y profundidad (consulte la Figura 18). Figura 18: Página de informes En la tabla de Información sobre el volumen, aparecen las características del correo de los últimos siete días comparadas con el periodo de siete días 31

33 Guía del producto: Dispositivos de correo electrónico Sophos appliances inmediatamente anterior, junto con la variación entre ambos periodos, lo que permite determinar con rapidez cómo cambia el tráfico de una semana para otra. Justo debajo de esa sección se encuentra la información numérica del rendimiento y latencia del sistema, también para los dos periodos de siete días más recientes. El gráfico circular de la parte inferior izquierda divide el volumen total de correo de los últimos siete días en seis categorías: Legítimo, Conexiones bloqueadas, Otros (mensajes con vulneraciones de palabras clave o contenidos ofensivos), Correo no deseado medio, Correo no deseado alto, y Virus. Este gráfico permite ver la composición del flujo de correo. El gráfico de barras de la parte inferior derecha cubre el mismo periodo, y muestra los datos de todo el correo ilegítimo. Este gráfico incluye las conexiones bloqueadas (en el MTA) y cuenta cada conexión bloqueada como un mensaje. Por último, las dos secciones de la parte superior derecha de la página de Informes muestran las cinco alertas más recientes generadas por el dispositivo y los virus detectados con mayor frecuencia. Informes detallados El panel de navegación de la parte izquierda de la página de Informes (y otras páginas derivadas de ésta) permite acceder a una amplia gama de informes generados dinámicamente y que el usuario puede personalizar a su gusto. Estos informes se agrupan en cuatro categorías, como se muestra en la siguiente tabla: Categoría Tendencias del correo Nombre del informe Volumen Acciones de los mensajes Descripción Desglosa el flujo diario de correo en seis componentes* Mensajes entregados, bloqueados y puestos en cuarentena Rendimiento Latencia Tiempo (en segundos) que se tarda en escanear un mensaje Rendimiento medio La cantidad de mensajes escaneados por segundo Remitentes Relays de virus Dirección IP de origen de los virus entrantes Relays de spam Dirección IP de origen de los mensajes de spam Destinatarios Análisis de políticas Conexiones bloqueadas Destinatarios del spam Antivirus Anti-spam Contenido Número de conexiones bloqueadas por cada dirección IP Los primeros diez destinatarios de spam de su red Clasifica los mensajes con etiqueta de Virus como Sospechosos, Adjuntos cifrados, Adjuntos restringidos, Adjuntos no escaneables o Virus Clasifica los mensajes con la etiqueta de Spam como Bloqueados, Spam alto y Spam medio Desglose de mensajes bloqueados por contener vulneraciones de palabras claves definidas o contenidos ofensivos Nota Los informes de Antivirus y Contenido pueden ejecutarse sobre el tráfico de correo entrante y saliente. * Conexiones bloqueadas, Legítimo, Otros, Spam alto, Spam medio, Virus 32

34 5: Informes Los parámetros de los informes pueden aplicarse a todos los informes mencionados en la tabla de la página anterior. También existe la opción de mostrar la Tabla de datos con cada informe. Los informes pueden imprimirse o exportarse como archivos CSV para utilizarlos en otras aplicaciones. Por ejemplo, un informe exportado puede incluirse en una presentación ante el equipo directivo o el responsable de cumplimiento para demostrar la eficacia del dispositivo en el mantenimiento de la seguridad de . 33

35 Guía del producto: Dispositivos de correo electrónico Sophos appliances 6: Asistencia El dispositivo administrado Los dispositivos de de Sophos introducen un nuevo concepto en la seguridad de redes: el Dispositivo administrado. El Dispositivo Administrado combina las ventajas de una solución de dispositivo fácil de usar, válida en cualquier plataforma, gran solidez con las ventajas de un servicio administrado: sencillez de uso, gran disponibilidad y gran capacidad. El Dispositivo administrado, sin embargo, reside en su propia red, manteniendo el control y la visibilidad a los que se debe renunciar en los casos de servicio administrado. Unir estos dos ventajosos factores en un único producto proporciona gran tranquilidad y una confianza que no puede dar ninguna otra solución. En las secciones siguientes se describen brevemente las características que distinguen al Dispositivo Administrado. Actualizaciones automáticas Para mantener una protección actualizada frente a las amenazas, la mayor parte de los dispositivos de otros fabricantes inician una búsqueda de datos cada 30 o 60 minutos. Dado el ritmo cada vez mayor y la rapidez de la evolución de las amenazas ocultas en el correo electrónico, esa escala de tiempo puede introducir considerables vulnerabilidades en la seguridad del gateway. Los dispositivos de de Sophos eliminan los plazos largos y mejoran la seguridad al descargar automáticamente nuevas definiciones de amenazas de SophosLabs cada cinco minutos. También permiten búsquedas en red en tiempo real de la última inteligencia antispam en la exclusiva base de datos en línea SXL de SophosLabs. El dispositivo administrado Los dispositivos de seguridad de de Sophos combinan la visibilidad y la solidez de un dispositivo físico con la disponibilidad y sencillez de un servicio administrado. Figura 19: Página de actualizaciones del sistema Al actualizarse con esa frecuencia, Sophos reduce drásticamente el espacio de tiempo transcurrido desde que se descubre una nueva amenaza hasta que se ofrece protección contra ella. También se reduce el consumo de ancho de banda, dado que los archivos de actualización tienen un volumen 34

36 6: Asistencia considerablemente inferior, lo que es un factor clave en la programación y la eficacia de la protección. El resultado es la seguridad de más fiable y formal del mercado. Las nuevas definiciones de amenazas y las actualizaciones importantes de software se ejecutan automáticamente tras ser descargadas. Las actualizaciones menores de software pueden ejecutarse instantáneamente o en el horario determinado por el administrador, como se muestra en la Figura 19 de la página anterior. Control heartbeat La frecuencia de las descargas garantiza en gran medida que la seguridad sea la mejor posible. Sophos lleva este concepto un paso más allá, al verificar remotamente que todos los dispositivos tengan cargadas las definiciones de amenazas más recientes. En lugar de simplemente cargar las actualizaciones programadas, los dispositivos de Sophos recogen las actualizaciones desde un depósito central. El depósito hace comprobaciones activas para garantizar que todos los dispositivos instalados llamen a casa y se descarguen las actualizaciones a su debido tiempo. Si un dispositivo no establece contacto durante más de dos horas, el depósito alerta al equipo de soporte de Sophos, para que se pongan en contacto con el administrador e investiguen la situación. Este control único heartbeat proporciona un nivel adicional muy valioso de seguridad y confianza a los administradores, que ya no tienen que preocuparse por si la seguridad del gateway de está actualizada o no. Alertas Los dispositivos utilizan más de 40 sensores diferentes para controlar todo, desde la sincronización con Active Directory hasta los picos de virus. La mayor parte de estos sensores aparecen en la página de Estado del sistema en la consola de administración. Si un sensor detecta un comportamiento ajeno a los parámetros de funcionamiento normales del dispositivo, genera una alerta que aparece en la página de Estado del sistema, junto con la serie de acciones recomendadas para solucionar el problema. El botón de Estado del sistema en la barra de navegación también cambia de color como indicador visual: verde para las situaciones normales, amarillo de advertencia y rojo para las alertas críticas. Al pulsar sobre el botón aparece la página de Estado del sistema, donde se indica más información y donde pueden emprenderse acciones correctoras, en su caso. La naturaleza y gravedad de la condición también puede provocar que se envíe una alerta por correo electrónico al administrador, o a otra persona designada a tal efecto. Este sistema tiene la ventaja añadida de que el administrador no necesita abrir una sesión en el dispositivo para poder comprobar su estado. Alertas proactivas Pueden enviarse alertas a una persona designada a tal efecto cuando el administrador no esté disponible, y las condiciones importantes para el funcionamiento del dispositivo envían automáticamente una alerta a Sophos, para que éste emprenda medidas correctoras. Las condiciones más críticas para el funcionamiento del dispositivo también provocan que se envíe una alerta directamente al equipo de soporte de Sophos, como medida para encontrar una solución más rápida. En este caso, Sophos puede emprender una acción correctora sin ponerse en contracto con el administrador. Por ejemplo, si falla una de las dos fuentes de alimentación, Sophos puede iniciar la entrega del recambio incluso antes de que el administrador tenga conocimiento de la avería. Asistencia remota a petición del usuario Los dispositivos de de Sophos incluyen un índice de Ayuda completo y preparado para hacer búsquedas, que puede ser muy útil para la resolución de problemas. En caso de que el administrador no pueda resolver un problema del sistema, puede solicitar ayuda a distancia de un ingeniero de Sophos. 35

37 Guía del producto: Dispositivos de correo electrónico Sophos appliances La sesión de asistencia remota segura, que únicamente puede ser iniciada por un administrador con la correspondiente autorización de seguridad, permite al ingeniero de Sophos acceder al dispositivo para ayudar a resolver los problemas que presente. La sesión utiliza tecnología Secure Shell (SSH), que no requiere hacer ningún cambio en la configuración del cortafuegos, y que expira automáticamente después de cuatro horas para mayor seguridad. Además, todas las modificaciones que el ingeniero de Sophos haga a su dispositivo quedan totalmente registradas y anotadas, incluso las pulsaciones del teclado, como una medida de cumplimiento exhaustiva. Esto significa que las sesiones de asistencia remota no ponen en peligro de ningún modo la integridad y seguridad de su red de correo electrónico. Garantía Sophos ofrece una garantía de sustitución por adelantado con cada Security Appliance, con una duración de hasta tres años. En caso de que uno de los componentes principales (disco duro, fuente de alimentación, la unidad completa) se averíen durante el uso normal, Sophos le enviará automáticamente una pieza sustituta antes de que usted envíe la pieza averiada. Esta garantía, que se aplica de forma general a todos los dispositivos, demuestra la confianza que tenemos en los dispositivos de de Sophos y proporciona la tranquilidad que los administradores se merecen. En los modelos ES5000 y ES8000 existen dos unidades que se pueden sustituir sobre el terreno: los discos duros y las fuentes de alimentación. Ambos componentes pueden sustituirse sin necesidad de cerrar o reiniciar el sistema. La avería de cualquier otro componente obliga a sustituir el dispositivo entero. El modelo ES1000 no tiene ninguna pieza sustituible. Nota Para conocer los términos y condiciones nacionales aplicables a la garantía del producto, póngase en contacto con su representante de Sophos. No es necesario que abra la tapa del Sophos Security Appliance para tareas de mantenimiento o reparación. Tenga en cuenta que, a efectos de seguridad, abrir la tapa anulará la garantía del producto y enviará una alerta a Sophos. Para información más completa sobre las garantías de los dispositivos de seguridad de de Sophos, consulte el Contrato de licencia de usuario final. Soporte de Sophos las 24 horas, los 7 días de la semana La gran calidad de los servicios de asistencia técnica de Sophos nos diferencia de la competencia. Ofrecemos soporte técnicas las 24 horas, cada día del año, y puede ponerse en contacto con nuestro equipo de asistencia, gestionado a escala mundial, para obtener asistencia personalizada en cualquier momento. Contamos con centros en Australia, Canadá, Francia, Alemania, Japón, Italia, Singapur, Reino Unido y Estados Unidos. Nuestros expertos pueden replicar, analizar y resolver sus problemas, con el apoyo de los recursos de SophosLabs y del departamento de desarrollo del producto. Este servicio viene incluido en todos los productos de Sophos. El soporte de Sophos no está subcontratado a una empresa externa y nunca cierra: si necesita hablar con un ingeniero, sólo tendrá que hacernos una llamada telefónica o enviarnos un correo electrónico. 36

38 Apéndice I: Apéndice I: Configuración predeterminada de políticas General Para los mensajes con Para Excepto Adoptar la siguiente acción Notificar/ redirigir Usuarios Añadir banner Remitentes peligrosos Todos Ninguno Rechazar (en MTA) No No conocidos Mensajes entrantes Todos Ninguno Rechazar (en MTA) No No y salientes que ocupan más de 10 MB (con o sin adjunto) Anti-spam entrante Para los mensajes con Para Excepto Adoptar la siguiente acción Informar a los usuarios Usuarios Añadir banner Calificación de spam alta Todos Control de spam desactivado Eliminar No No Calificación de spam media Todos Control de spam desactivado Poner en cuarentena No No Antivirus entrante Para los mensajes con Para Excepto Adoptar la siguiente acción Informar a los usuarios Usuarios Añadir banner Virus Todos Ninguno Eliminar No No Adjuntos no escaneables Todos Ninguno Entregar con un banner de advertencia No No se puede limpiar Adjuntos cifrados Todos Ninguno Entregar con un banner No Encr_file de advertencia Adjuntos sospechosos Todos Ninguno Poner en cuarentena, No Sospechoso bloquear archivo, entregar Antispam de mensajes salientes Para los mensajes con Para Excepto Adoptar la siguiente acción Informar a los usuarios Usuarios Añadir banner Puntuación alta Todos Ninguno Poner en cuarentena No ND Puntuación media Todos Ninguno Poner en cuarentena Antivirus saliente Para los mensajes con Para Excepto Adoptar la siguiente acción Informar a los usuarios Usuarios Añadir banner Virus Todos Ninguno Poner en cuarentena No ND Adjuntos no escaneables Todos Ninguno Entregar No ND Adjuntos cifrados Todos Ninguno Entregar No ND Adjuntos sospechosos Todos Ninguno Eliminar No ND 37

39 Guía del producto: Dispositivos de correo electrónico Sophos appliances Apéndice II: especificaciones de hardware Especificaciones de los dispositivos de correo electrónico ES1000, ES5000 y ES8000 Appliance* Software integrado Motor antivirus de Sophos Motor contra correo no deseado de Sophos Ambos dispositivos cuentan con protección Genotype y protección proactiva Behavioral Genotype La tecnología Sender Genotype brinda protección a nivel de conexión Cifrado TLS Migración activa/pasiva tras error con configuración compartida Panel de control en formato web y consola de administración Alerta y notificación sobre el estado del sistema Integración LDAP con Active Directory Postfix MTA (agente de transferencia de correo electrónico) Sistema operativo FreeBSD reforzado Hardware: ES1000 Hardware: E5000 Hardware: E8000 Single Core Quad Core Quad Core Disco duro SATA de 160 GB Doble 160 GB SAS (RAID 1), de conexión en caliente discos duros Doble 300 GB SAS (RAID 1), de conexión en caliente discos duros Fuente de alimentación AC, de 260 W 100/240 V Doble 920 W, V AC de conexión en cliente fuentes de alimentación Doble 920 W, V AC de conexión en cliente fuentes de alimentación mensajes por hora mensajes por hora mensajes por hora Puede montarse en rack 1U Puede montarse en rack 1U Puede montarse en rack 1U Dimensiones (An x Al x P): 16.8 x 1.7 x 14.0 (427 mm x 43 mm x 356 mm) Dimensiones (An x Al x P) 17.0 x 1.7 x 25.6 (432 mm x 43 mm x 650 mm) Dimensiones (An x Al x P) 17.0 x 1.7 x 25.6 (432 mm x 43 mm x 650 mm) Peso: 26 lbs/11,8 kg Peso: 45 lbs/20,5 kg Peso: 45 lbs/20,5 kg Certificaciones reglamentarias/ de seguridad Certificaciones UL 60950, CE, FCC PART 15, VCCI, C-TICK, TUV-GS, SABS, RoHS, WEEE Soporte Garantía de hardware que cubre hasta 3 años de sustitución por adelantado (con una licencia de software) Soporte las 24 horas, los 7 días de la semana *Las especificaciones de Sophos pueden actualizarse sin previo aviso. Visite con regularidad. 38

40 Boston, Estados Unidos Oxford, Reino Unido rg/090224