Transcripción

1 Estrategias de filtrado de contenidos

2 Índice 1. Filtrado en servidores de correo Características necesarias en los filtros Elementos a filtrar Cabeceras MIME mal formadas Características del filtrado de contenidos en el software antivirus de Panda Software :: Opciones de filtrado :: Monitor :: Reporte :: Alertas :: Vulnerabilidades 7. Características del filtrado de contenidos en Panda Antivirus Appliance Panda Software Todos los derechos reservados. El presente documento no puede copiarse, reproducirse, traducirse o reducirse o cualquier medio o soporte electrónico o legible mediante máquinas, sin el previo permiso escrito de Panda Software. Panda Software es una marca registrada propiedad de Panda Software. Otras marcas y productos son marcas registradas de sus respectivos propietarios. 02

3 Filtrado en servidores de correo Según los últimos datos, cerca del 90% de los virus en las empresas entran a través del correo electrónico. Esta elevada cifra se debe fundamentalmente al elevado uso que se produce del mismo por parte del usuario, que no solamente intercambia mensajes, sino que en un elevado tanto por ciento de los correos se incluyen ficheros adjuntos, tales como documentos, presentaciones, etc. Si el uso del correo electrónico fuera únicamente para fines empresariales, en muy pocas ocasiones se vería como una amenaza el recibir un mensaje de correo electrónico, pero los usuarios intercambian no sólo mensajes con fines laborales, sino con otras personas, en muchos casos ajenas a la empresa, enviando bromas, chistes, ejecutables humorísticos, etc. Debido a este uso, el recibir un con un determinado mensaje extraño, o con un ejecutable que no tiene nada que ver con el trabajo se convierte en tan habitual como los mensajes internos de la empresa. Si dejamos aparte las consideraciones legales que tanto están dando que hablar en muchos países sobre el control por parte de la empresa de los mensajes de correo electrónico, se ve absolutamente necesario evitar que en los servidores de correo se almacenen ficheros que puedan resultar peligrosos para la seguridad de la empresa. Cualquier código ejecutable que penetre en la empresa puede ser susceptible de contener virus. No debemos esperar que porque no se haya desarrollado todavía un determinado tipo de virus en un determinado sistema no haya peligro para la red. Desde los obvios, como los ficheros con extensiones EXE o COM, hasta los más insólitos, como algunas versiones de Shockwave Flash, pueden contener código maligno en mayor o menor grado. Por tanto, el filtrado de los elementos adjuntos al correo electrónico debe estar activo en todo momento. 03

4 Características necesarias en los filtros El filtrado de contenidos debe funcionar a dos niveles distintos: en los servidores de correo corporativo y en los Gateways que proporcionen salida de información a Internet. El usar únicamente filtrado de contenidos en uno de los puntos proporcionaría una protección inadecuada: Si se utiliza únicamente en los servidores internos de correo, cualquier uso del con herramientas distintas a las corporativas produciría un agujero en el filtrado. Baste pensar que en cualquier plataforma Windows posterior a Windows 98 aparece por defecto Outlook Express como lector de correo electrónico por defecto. Y su uso sin necesidad de pasar por el servidor corporativo, por ejemplo Exchange Server, es muy fácil, pero siempre deberá atravesar el Firewall. Si únicamente se dispone de filtrado en el servidor de correo externo, los correos electrónicos que no pasen por el Firewall se verán libres del control. Es decir, que un virus, un hoax, un inapropiado o cualquier mensaje que la empresa no considere necesario no saldrá de la empresa, pero su circulación será inevitable dentro de ella, con lo que el problema, si bien no sale al exterior, existirá en la red interna sin control. Por otro lado, el filtrado debe ser un elemento integrado con el resto de sistemas que estén manejando el correo electrónico. El colocar dos sistemas distintos de análisis, como puede ser un antivirus y un sistema de filtrado, o un mecanismo de firma corporativa y un filtrado, producirán un retardo inaceptable en la entrega y el envío del correo electrónico, que si bien puede ser muy poco significativo dada la filosofía de noinstantaneidad del correo electrónico, puede producir saturaciones puntuales y caídas en la efectividad del servicio de correo. 04

5 Características necesarias en los filtros El filtrado debe poder hacerse en función de tres parámetros: Según el asunto del mensaje de correo electrónico. Permitiría eliminar drásticamente el SPAM y determinados mensajes publicitarios u Hoaxes, además de todos aquellos virus que se transmiten por correo electrónico y usan siempre determinados asuntos. Según los ficheros que vayan adjuntos. Este filtrado debe permitir limitar ficheros bien por nombre, por extensión o ambos. Según determinadas características de la información. Un mensaje corrupto o cifrado puede esconder un elemento potencialmente peligroso para la empresa. Mediante el filtro, el administrador del sistema podrá actuar sobre ficheros o mensajes perniciosos sin tener que detener el servidor de correo ni el Firewall y llevar un exhaustivo control de la mensajería entrante y saliente sin interferir en ella. Las opciones disponibles serán tanto para mensajes anidados como para ficheros comprimidos: Ignorar: Cuando el filtro encuentre un fichero o un mensaje susceptible de ser filtrado, se generará el reporte pertinente, pero no se actuará sobre el objeto filtrado. Esta opción estará por defecto, y permitirá a los administradores llevar un control de la mensajería de manera transparente a los usuarios. Borrar attach: Cuando el filtro encuentre un fichero por nombre o extensión, el fichero deberá ser borrado, así como cuando por cualquier motivo el fichero no pueda ser abierto. Mover attach: Cuando el filtro encuentre un fichero por nombre o extensión, el fichero se moverá a una carpeta predefinida por una entrada del registro. Se insertará un aviso en el mensaje, configurable por una entrada del registro. Bloquear mensaje: Tanto cuando se filtra por asunto como por attach (en este caso se borra todo el mensaje, si se encuentra un fichero filtrado). Se insertará un aviso en el mensaje en formato texto plano. 05

6 Elementos a filtrar A continuación se exponen una serie de elementos que deben ser filtrados en los servidores para evitar el peligro más inmediato. A pesar de estas recomendaciones, no debemos dejar de exponer la imposibilidad de tener la certeza de que un elemento no incluido en esta lista pueda empezar a ser peligroso. Pongamos por caso, un fichero BMP. En principio este formato de ficheros no incluye absolutamente ninguna posibilidad de incluir código ejecutable, por lo que podemos inducir que no va a plantear ningún peligro. No obstante, el que el fichero no comporte peligro no quiere decir que la aplicación no lo tenga. Si para la visualización de este tipo de archivos utilizamos un determinado programa que no ha sido bien construido, podemos encontrarnos con que en un fichero BMP se pueda producir el fallo del programa y lanzar código desde un principio inocente fichero aprovechando, por ejemplo, un buffer overflow o cualquier otra situación debida a la mala estructura del fichero o a fallos en la programación del lector de un determinado formato. Por tanto, el peligro solamente puede evitarse en un porcentaje determinado. El subir a niveles más altos este nivel únicamente se conseguirá con el estudio de las últimas vulnerabilidades publicadas. Las extensiones que deben ser filtradas, como mínimo son: *.{*. Códigos CLSID. Estos códigos son los Identificadores de clase, Class ID. Desde estos códigos, que se almacenan en el registro de Windows, se pueden registrar componentes nuevos en el sistema, controles ActiveX, etc. Su peligro es evidente, ya que registrar un determinado elemento sin haberlo comprobado primero puede causar graves problemas de seguridad. Así, por ejemplo, un atacante puede ofrecer en una pagina web o en un html el archivo testhta.txt.{3050f4d8-98b5-11cf- BB82 00AA00BDCE0B}, pero Windows Explorer e Internet Explorer no mostrarán el CLSID {3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}, con lo que el usuario sólo visualizara la extensión.txt (aparentemente inocente), cuando realmente se trata de un archivo.hta con posibilidad de ejecución y de contener código malicioso. ASD. Fichero descriptor de Advanced Streaming FDescriptor para Windows Media. Contiene las descripciones de decodificadores de Audio que pueden utilizarse en Windows Media. 06

7 Elementos a filtrar ASF. Active Streaming File. Debido a un error que afecta a las versiones 6.4, 7, 7.1 y XP del Windows Media Player, que se relaciona con el formato ASF (Advanced Streaming Format). Si se crea un archivo.asf especialmente preparado es posible explotar una vulnerabilidad en Media Player, debido a un buffer no chequeado en el procesador de este tipo de archivos. Aunque no hay posibilidad de explotar esta vulnerabilidad a través de una página web o un correo electrónico en formato HTML, éste es un problema realmente grave dado que brinda la posibilidad de ejecutar código arbitrario en un equipo vulnerable si el programa ejecuta un archivo.asf malicioso. ASX. Archivo de Windows Media. Existen vulnerabilidades para las versiones 6.4 y 7.0 de Windows Media Player. El parche que se liberó para otros errores corrige un buffer no chequeado que puede causar la ejecución de código arbitrario en el equipo afectado. El boletín MS de Microsoft trata este problema. BAS. Módulo Visual Basic. Directamente se trata de código ejecutable, con el que se puede introducir casi cualquier código malicioso en el sistema. BAT. Fichero de proceso por lotes de MS-DOS. Dentro de este sistema de programación, aunque se encuentra muy limitado, existen virus que pueden llegar a destruir todo el contenido del disco duro. CHM. Archivo HTML compilado (Compiled HtMl). Es el formato en el que se distribuye la ayuda de Windows. Si un usuario recibe un mensaje infectado y éste es abierto, el código HTML es ejecutado. Éste contiene un script que es automáticamente activado por Windows. El problema reside en una vulnerabilidad de Microsoft Internet Explorer 5.0 y 5.01 y del Outlook 5.0 y 5.01 conocida como "Microsoft IFrame vulnerability", que permite la ejecución del código malicioso simplemente abriendo un mensaje de correo (Windows 95, 98 y NT). El problema reside en la creación de archivos en el directorio TEMP de Windows, con un nombre conocido y con contenido arbitrario, lo que posibilita la descarga de un archivo.chm en dicho directorio, que luego podrá ser ejecutado. Esta vulnerabilidad fue corregida en Internet Explorer 5.5 y en Outlook

8 Elementos a filtrar CMD. Fichero de comandos de Windows NT y OS/2 (Abreviatura de Command). Son similares a los ficheros BAT de MS-DOS y pueden albergar código malicioso. COM. Aplicación MS-DOS ejecutable (Command). Es el primer formato de ficheros ejecutables que tuvo MS-DOS, al que siguió el formato EXE. Son ficheros que no pueden ocupar más de 64 Kb. CPL. Extensiones del panel de Control (Control Panel Library). Aunque sean archivos con extensión.cpl, en realidad son archivos.dll que contienen funciones en el Panel de Control, en el formato PE de Windows. Al ser código ejecutable, pueden contener código malicioso. De hecho, muchos virus intentan infectar los ficheros CPL además de los clásicos ejecutables. CRT. Certificado de seguridad (CeRTificate). A pesar de estar pensados para establecer certificados de seguridad, pueden dar como válidos elementos o sitios no seguros. DLL. Biblioteca de enlace dinámico (Dynamic Link Library). Son porciones de código ejecutable desde cualquier programa. Una DLL infectada entrará en acción cada vez que se le llame desde otro programa. DOC, DOT, MCW. Ficheros de documento o de plantilla (DOcument Template) de MS Word y documentos de Word para Macintosh (MaCintosh Word). Pueden contener macros víricas. EXE. Aplicación (EXEcutable). Extensión bajo la que se almacena generalmente el código ejecutable directamente por el usuario. Aquí es donde los virus encuentran su mejor caldo de cultivo. HLP. Archivo de ayuda de Windows. Dentro de este tipo de ficheros también puede situarse código para infectar el sistema. HTA. Aplicación HTML (HTml Application). Los archivos.hta (Content- Type: application/hta), son ejecutados por Microsoft HTML Application host (MSHTA.EXE). Además de existir numerosos casos de virus que se valen de esta extensión (desde el legendario BubbleBoy hasta otros realmente peligrosos), este tipo de extensiones siguen dejando vulnerable a Microsoft Internet Explorer 6, incluso teniendo instalado el parche publicado por Microsoft. 08

9 Elementos a filtrar HTO. Objetos jerárquicos etiquetados (Hierarchical Tagged Objects). Sistema de escritura de código para ser ejecutado en múltiples plataformas. INF. Archivo de información de configuración (INFormation). INS. Configuración de Internet (INternet Settings). Establece los parámetros para configurar la conexión a Internet. Numerosos ficheros INS modifican la conexión a Internet para redirigirla a números de cobro especial (906, 903, etc). ISP. Configuración del proveedor de Internet (Internet Service Provider). JS. Archivo de código Script de Java (Java Script). Dentro del código Java se han demostrado muchas posibilidades de ejecutar código maligno, incluso rompiendo la seguridad de la Máquina Virtual Java. JSE. Fichero de Java cifrado (Java Script Encoded). Ver JS. LNK. Acceso directo de Windows (LiNK). Sirven para ejecutar un determinado programa desde una ubicación distinta a la que realmente está el código ejecutable. Si la llamada es a elementos que puedan dañar el sistema (como un formateo), puede suponer un peligro importante para el sistema. MDB. Fichero de base de datos de Access (Microsoft Data Base). Dentro de los ficheros Access se almacenan muchos datos, entre los que pueden estar determinadas macros que pueden almacenar virus. MDE. Base de datos de Microsoft con protección (Microsoft Database Encoded). MHT. La extensión MHT corresponde a un fichero HTML con las imágenes embebidas en el archivo en lugar de estár con vínculos como en los ficheros HTML. Puede leerse utilizando Internet Explorer, y tiene el mismo riesgo que los ficheros HTM o HTML (veáse). 09

10 Elementos a filtrar MSC. Documento de Consola (MicroSoft Console). Es utilizado para gestionar objetos COM+. Hay dos formas de implementar y administrar las aplicaciones COM+. Puede utilizar la herramienta administrativa Servicios de componentes (un complemento de Microsoft Management Console) o puede escribir secuencias de comandos para implementar y administrar las aplicaciones COM+ de manera automática mediante código que utiliza objetos de administración suministrados mediante la DLL de biblioteca COMAdmin. MSI. Paquete de instalación de Microsoft (Microsoft Installer). El código a instalar puede contener elementos peligrosos. MSP. Parche para ficheros de instalación de Windows (MicroSoft Patch). Son parches que se añaden a un fichero de instalación ya existente y que permiten mantener un programa actualizado sin tener que rehacer todo el proceso de instalación. MST. Visual Test Source File. OCX. Extensión de Controles OLE (Ole Control extension). Los controles OLE en Windows pueden ejecutar código dentro del sistema y efectuar llamadas a funciones internas sin que el usuario pueda tener seguridad de qué y cómo se está haciendo. PCD. Fichero de Visual Basic. Al poder contener código ejecutable, existe un alto riesgo de que, al ser ejecutado por los usuarios, los ordenadores resulten dañados. PIF. Fichero de acceso a programas en Windows (Program Information File). Utilizado para pasar parámetros y establecer condiciones de ejecución en programas DOS corriendo bajo Windows. También puede utilizarse para llamar a programas instalados en el sistema con determinados parámetros. REG. Fichero de texto con entradas de registro. Simplemente con hacer doble clic en un fichero de este tipo pueden modificarse las entradas de registro que haya allí tenga almacenadas, cambiando el comportamiento del sistema. SCT. Fichero de Script de Windows (SCripT). Utilizado para automatizar tareas dentro de Windows, puede ejecutar y lanzar programas de todo tipo así como realizar otras tareas peligrosas. 10

11 Elementos a filtrar SCR. Salva pantallas de Windows. Puede contener código ejecutable potencialmente peligroso. SH. Script (SHell script). Contiene instrucciones ejecutables por Windows que pueden ser peligrosas. SHB. Acceso directo dentro de un documento (SHortcut embebed). Véase.LNK. SHS. Fichero de portapapeles (SHell Scrap). Información que se ha cortado en una aplicación y se ha pegado en otra como un archivo independiente. Puede ser código ejecutable, Scripts, etc. URL. Link a una dirección de Internet (Uniform Resourde Locator). Puede apuntar a una dirección en la que haya virus o código peligroso para el sistema. VB. Script de Visual Basic. Código ejecutable, que puede contener virus. VBE. Códico Visual Basic cifrado (Visual Basic Encoded). Véase VB. VBS. Script de Visual Basic (Visaul Basic Script). Véase VB. VCS. Archivo vcalendar (Netscape, Works, Outlook). Fichero de intercambio de datos de agenda en formato HTML que puede camuflar código maligno. WMS. Archivo de correo (Windows Messaging System). Puede incluir adjuntos u otros elementos peligrosos. WMD. Fichero de descarga de Windows Media Player (Windows Media Download). A través de un archivo en javascript embebido en otro de descarga de Windows Media (.wmd) se puede explotar ciertas vulnerabilidades de Windows Media Player. WMZ. Fichero de skins de Windows Media Player. Existe la posibilidad de agregar código JAVA a los skins y ejecutar cualquier programa local, de forma arbitraria, sin conocimiento del usuario. WSC. Fichero de Script (Windows Script Component). Puede incluir códigos desde Visual Basic a java, que pueden ser malignos. WSF. Windows Script File. Véase VB. 11

12 Elementos a filtrar WSH. Windows Script Host es la respuesta de Microsoft a la necesidad de un lenguaje de programación del sistema, de forma similar a los archivos BAT de DOS. XLS, XLT, XLA. Fichero de hoja de cálculo, plantilla o complemento de Excel. Al igual que los documentos de Office puede contener Macros o código peligroso. CUALQUIER FICHERO CORRUPTO. Un fichero que pueda parecer corrupto a simple vista puede ser un buen escondite para código maligno. Numerosos programas disponen de opciones de restauración de ficheros corruptos y así poder recuperar la información. En el caso de un virus que se esconde en un fichero corrupto, provocaría que un sistema de filtrado no preparado correctamente no lo identificara como peligroso y permitiera el paso del código malicioso. FICHEROS CIFRADOS. Cada vez está más extendida la costumbre de cifrar la información para evitar injerencias de terceros en el contenido de los mensajes. Pero esa funcionalidad también impide que los antivirus puedan abrir el fichero y analizarlo, por lo que el código maligno puede entrar en una red hasta la estación de trabajo sin que ningún sistema de protección detecte el peligro. 12

13 Cabeceras MIME mal formadas Cada vez aumentan más los correos electrónicos que utilizan cabeceras MIME mal formadas, lo que puede producir graves problemas de seguridad. Los mensajes de correo electrónico siguen un estándar para su transmisión por Internet. Tanto los programas emisores del correo electrónico como los receptores interpretan una serie de instrucciones predefinidas para que la transmisión y la recepción se efectúe correctamente. Estas especificaciones, definidas en el documento llamado RFC 822, definen con detalle las llamadas cabeceras de los mensajes, en las que se incluyen datos como el receptor, el asunto, etc. Sin embargo, la especificación RFC 822 se quedó corta a la hora de incluir distintos elementos en el correo electrónico más allá de texto plano, por lo que se creó un conjunto extendido de especificaciones llamado MIME, Multipurpose Internet Mail Extensions. Estas especificaciones redefinen el formato de los mensajes para permitir textos en codificaciones distintas al estándar ASCII estadounidense, un conjunto de formatos para cuerpos de mensajes que no fueran solamente de texto, cuerpos de mensajes en varias parte y cabeceras en conjuntos de caracteres distintos al ASCII estadounidense. Estas extensiones pueden formarse erróneamente y afectar a la seguridad de los sistemas. Básicamente hay dos grandes problemas: 1. La apertura de un fichero adjunto en el mensaje sin que el usuario lo haya indicarlo expresamente. Se debe a una vulnerabilidad de Microsoft Internet Explorer 5.5 SP1, 5.01 SP1 o versiones anteriores. 2. La imposibilidad de que un programa antivirus pueda analizar el contenido de un mensaje al estar la cabecera del mensaje incorrectamente construida. 13

14 Características del filtrado de contenidos en el software antivirus de Panda Software El filtro funciona sobre el antivirus desarrollado para Firewalls, para Exchange Server 5.5 y Exchange Posibilita el filtrado de mensajería integrado con el antivirus, pudiendo ser configurado desde Panda Administrator. Esta configuración se realiza desde la pantalla de opciones de Análisis de SMTP para Firewall y desde la configuración avanzada en Exchange. Mediante el filtro el administrador del sistema puede actuar sobre ficheros o mensajes perniciosos, sin tener que detener el servidor de Exchange ni el Firewall y llevar un exhaustivo control de la mensajería entrante y saliente sin interferir en ella. 14

15 Características del filtrado de contenidos en el software antivirus de Panda Software Existen 2 tipos de filtrado: Por Asunto: Se filtra el campo asunto del mensaje comparándolo con una lista de palabras. Se filtrarán todos los mensajes en los que aparezca en el asunto la palabra indicada. Se permite la selección de operadores (donde cualquier palabra de la lista encontrada convierte el mensaje en filtrable) y && (donde todas las palabras de la lista de exclusiones deben aparecer en el asunto para que éste sea filtrado), siendo estas 2 opciones excluyentes. Por Fichero: Se permite filtrar tanto por nombre de fichero como por extensión. Si se eligen ambas opciones, el mensaje es filtrado con tal de que cumpla una de las 2 condiciones. En el filtrado por nombre de fichero se permiten introducir nombres de fichero, incluida la extensión para realizar filtrado de ficheros concretos. Todas las opciones de filtrado pueden ser configuradas independientemente del tipo de filtrado de que se trate. 15

16 Características del filtrado de contenidos en el software antivirus de Panda Software 1. Opciones de filtrado Ignorar: Cuando el filtro encuentra un fichero o un mensaje susceptible de ser filtrado, genera el reporte pertinente pero no actúa sobre el objeto filtrado. Esta opción será la elegida por defecto y permite a los administradores llevar un control de la mensajería de manera transparente a los usuarios. Borrar attach: Cuando el filtro encuentre un fichero por nombre o extensión, éste es borrado. Mover attach: Cuando el filtro encuentre un fichero por nombre o extensión, éste se mueve a una carpeta predefinida por una entrada del registro. Se inserta un aviso en el mensaje configurable por una entrada del registro. Bloquear mensaje: Se ejecuta tanto cuando se filtra el por asunto como cuando se hace por attach (en este caso se borra todo el mensaje, si se encuentra un fichero filtrado). Se inserta un aviso en el mensaje en formato texto plano cuando el check esté activado. Las acciones anteriormente indicadas funcionan tanto para mensajes anidados como para ficheros comprimidos. En los mensajes anidados se actúa sobre el mensaje con asunto filtrado, independientemente de su nivel de anidamiento sin modificar los padres de ese mensaje. En los ficheros comprimidos se actúa dentro de éstos de la misma manera que el antivirus, siempre que sean modificables. 16

17 Características del filtrado de contenidos en el software antivirus de Panda Software 2. Monitor Se monitorizan en una pantalla independiente a la del monitor del antivirus- en Panda Administrator el número de ficheros borrados, movidos e ignorados, así como el número de mensajes borrados, movidos, ignorados y bloqueados. 3. Informe La opción del "informe" tiene las mismas características que el del antivirus, indicando el mensaje sobre el que se ha actuado, la acción sobre él o sus ficheros y el motivo de dicha acción. Cuando se intenta realizar una acción sobre un objeto y falla, se reporta la acción de ignorado. La opción del "informe" puede ser deshabilitado independiente del informe del antivirus. 17

18 Características del filtrado de contenidos en el software antivirus de Panda Software 4. Alertas La configuración y funcionalidad de las alertas del filtro son las mismas que las del antivirus, es decir, se envían a los mismos destinatarios pero con distinto contenido, indicando si es una alerta de virus o de reporte. 5. Vulnerabilidades Para evitar los problemas mencionados referentes a las cabeceras MIME mal formadas, Panda Software ha desarrollado un sistema que evita que los mensajes con cabeceras erróneas lleguen a sus destinatarios, interceptándolos en el servidor de correo. Esta funcionalidad está incorporada en Panda Antivirus para Exchange Server, Panda Antivirus para Lotus Notes / Domino, Panda Antivirus para Firewalls, Panda Antivirus para ISA Server, Panda Antivirus PerimeterScan Sendmail Edition y Panda Antivirus PerimeterScan Qmail Edition. 18

19 Características del filtrado de contenidos en el software antivirus de Panda Software 19

20 Características del filtrado de contenidos en Panda Antivirus Appliance Su filtrado de contenidos impide que los virus desconocidos y los gusanos informáticos entren en la empresa. Este sistema evita el consumo de recursos y ancho de banda de la red, deteniendo los contenidos potencialmente peligrosos incluso antes de que entren en la red. Su sistema de protección y filtrado está diseñado para implantarse en cualquier red corporativa de la forma más sencilla, sin necesidad de configurar o redirigir el tráfico. A partir de la instalación, Panda Antivirus Appliance comenzará a analizar exhaustivamente todo el tráfico entrante y saliente entre la red e Internet. El sistema de filtrado cubre todas las necesidades de la red frente a las amenazas de Internet de manera sencilla y eficaz mediante el análisis de los protocolos más utilizados: SMTP, HTTP, POP3, FTP, NNTP, IMAP4 y SOCKS. Su gestión se lleva a cabo de forma remota y segura a través de una sencilla e intuitiva consola web, aportando al administrador flexibilidad en el acceso desde cualquier ordenador. A través de páginas web, su configuración permite: 20

21 Características del filtrado de contenidos en Panda Antivirus Appliance Protocols to Scan. En este apartado de la configuración se activan o desactivan los protocolos que Panda Antivirus Appliance analiza. Maximum size of files to be scanned. El número introducido en la casilla presente en esta sección indicará el número de Kilobytes (KB) que admitirá como espacio máximo ocupado por un solo fichero para que sea analizado en busca de virus. File extension filter. El filtro para las extensiones analizadas se compone de dos partes: Borrado de ficheros cuyas extensiones se indiquen en la casilla. Por ejemplo, si no se desea que entre ningún fichero ejecutable en la red, se anotará la extensión EXE. Ausencia de análisis para determinadas extensiones. Por ejemplo, puede omitirse el análisis de ficheros cuyas extensiones sean JPG o GIF. Maximum time for scanning a file. Panda Antivirus Appliance puede configurarse de forma que deje de analizar un determinado fichero después de un determinado número de segundos. Si por cualquier motivo se cumple el tiempo asignado y no se ha podido concluir el análisis del fichero, éste será eliminado según la configuración establecida en la siguiente sección. Delete files if the antivirus scan could not be completed. Cuando el análisis de un determinado fichero no pudo completarse, éste será borrado según la configuración que esté definida: Si se activa la casilla de verificación: The file scan is taking longer than the maximum time specified, el fichero será eliminado siempre y cuando se haya superado el tiempo máximo (en segundos) establecido en la sección anterior. Con la casilla The file could not be decrypted or decompressed (i was corrupt or password-protected ) activada, aquellos ficheros que estén comprimidos, cifrados o corruptos y no se puedan analizar serán automáticamente eliminados. Algunos de estos ficheros son ZIP, ARJ, ARK, LHA, MSCOMP, CAB, LZEXE, PKLite, TAR, GZIP, Diet, LZW, Z, AMG, BINHEX, UUEncode, Base64, MIME, etc. 21

22 Características del filtrado de contenidos en Panda Antivirus Appliance Con la casilla Insufficient free resources to scan the file activada, aquellos ficheros que traten de ser analizados mientras exista un número insuficiente de recursos serán eliminados. Si se activa la casilla The file cannot be scanned for any other reason, cualquier otra opción que no haya sido contemplada en los casos anteriores y que imposibilite un análisis de un determinado fichero hará que sea inmediatamente eliminado. Lógicamente, es la situación más drástica y que mayor protección otorga frente a los ficheros que no son analizados WP-FILCON-02 21