Prevenir ataques de virus mediante el uso del antivirus J-Web UTM
RESUMEN Obtenga información sobre la protección antivirus de administración unificada de amenazas y cómo configurar el antivirus UTM para evitar ataques de virus en dispositivos de la serie SRX mediante J-Web. La función antivirus UTM del dispositivo de la serie SRX analiza el tráfico de red para proteger su red de ataques de virus y evitar la propagación de virus.
Descripción general de UTM Antivirus
En el mundo actual, donde las amenazas de seguridad cibernética están evolucionando y se están volviendo más sofisticadas, proteger su red de ataques de virus es extremadamente crítico. Los virus, gusanos y malware realizan actos no deseados y maliciosos, como dañar o eliminar archivos, piratear datos personales, afectar el rendimiento del sistema, reformatear el disco duro o usar su computadora para transmitir virus a otras computadoras. El software antivirus UTM actúa como una primera línea de defensa contra tales amenazas de seguridad y evita la propagación de virus en su red. Protege su red de ataques de virus, malwares informáticos no deseados, spywares, rootkits, gusanos, ataques de phishing, ataques de spam, troyanos, etc.
Siempre debe asegurarse de que el software antivirus y la base de datos de patrones de virus estén actualizados.
Juniper Networks ofrece las siguientes soluciones antivirus UTM:
-
Protección antivirus en el dispositivo
El antivirus en el dispositivo es una solución en caja. El motor de análisis antivirus en el dispositivo analiza los datos accediendo a la base de datos de patrones de virus que se almacena localmente en el dispositivo. Proporciona una función completa de análisis antivirus basada en archivos que está disponible a través de un servicio de suscripción con licencia por separado.
Nota:-
El motor de análisis Express o Kaspersky en el dispositivo no es compatible desde Junos OS versión 15.1X49-D10 en adelante; sin embargo, sigue siendo aplicable para Junos OS versión 12.3X48.
-
A partir de Junos OS versión 18.4R1, los dispositivos de la serie SRX admiten el motor de análisis antivirus integrado en Avira.
-
El motor de análisis antivirus integrado en el dispositivo Avira no es compatible con dispositivos SRX300, SRX320, SRX340, SRX345, SRX380 y SRX550 HM.
-
-
Protección antivirus de Sophos
Sophos antivirus es una solución antivirus en la nube. La base de datos de malware y patrones de virus se encuentra en servidores externos mantenidos por servidores de Sophos (Sophos Extensible List). El analizador antivirus de Sophos también utiliza una caché interna local para mantener las respuestas de consulta del servidor de listas externo. Ofrecemos el análisis antivirus de Sophos como una alternativa menos intensiva en CPU a la función antivirus basada en archivos completa.
Beneficios de UTM Antivirus
-
La solución antivirus en el dispositivo:
-
Analiza el tráfico de aplicaciones localmente sin conectarse al servidor para consultar si el tráfico de la aplicación tiene virus.
-
Minimiza los retrasos de procesamiento porque la base de datos de patrones se almacena localmente y el motor de análisis está en el dispositivo.
-
-
La solución antivirus de Sophos:
-
Evita descargar y mantener grandes bases de datos de patrones en el dispositivo Juniper, ya que la base de datos de malware y patrones de virus se encuentra en servidores externos mantenidos por Sophos.
-
Mejora el rendimiento de la búsqueda, ya que el analizador antivirus de Sophos utiliza una caché interna local para mantener las respuestas a las consultas del servidor de listas externo.
-
Evita eficazmente que el contenido malintencionado llegue al cliente o servidor del punto final mediante el uso de la funcionalidad de comprobación del identificador uniforme de recursos (URI).
-
Flujo de trabajo del antivirus
- Alcance
- Antes de empezar
- Topología
- Vídeo
- Sneak Peek – Pasos de configuración del antivirus J-Web UTM
Alcance
El Administrador de dispositivos web (J-Web) de Juniper admite la solución antivirus UTM en dispositivos de la serie SRX. En este ejemplo, utilizará la protección antivirus de Sophos para hacer lo siguiente:
-
Analice el tráfico HTTP y FTP desde un servidor (10.102.70.89) a su computadora en busca de ataques de virus.
-
Defina un mensaje personalizado ¡Virus encontrado! para que se muestre cuando se encuentre un virus durante el análisis del tráfico.
-
Cree la URL de la lista de permitidos (http://10.102.70.89) donde se omite el análisis AV.
Nota:Se supone que debe poder enrutar a las URL de ejemplo.
Antes de empezar
-
Instale una licencia válida de Sophos antivirus y una licencia de función de identificación de aplicaciones. Consulte la Guía de instalación y actualización, la Guía de administración de licencias y la Guía del usuario de licencias.
-
Instale un paquete de firmas de aplicación para la identificación de aplicaciones. Consulte la Guía del usuario de seguridad de aplicaciones para dispositivos de seguridad.
-
Asegúrese de que el dispositivo de la serie SRX que utiliza en este ejemplo ejecuta Junos OS versión 20.4R1.
Topología
La topología utilizada en este ejemplo comprende un equipo conectado a un dispositivo de la serie SRX habilitado para UTM que tiene acceso a Internet y a un servidor. Utilizará J-Web para escanear las solicitudes HTTP y FTP enviadas al servidor con esta sencilla configuración. A continuación, utilizará la protección antivirus de Sophos para evitar ataques de virus desde el servidor a su PC.
Vídeo
Vea el siguiente video para obtener información sobre cómo configurar el antivirus UTM mediante J-Web.
Sneak Peek – Pasos de configuración del antivirus J-Web UTM
| Paso |
Acción |
|---|---|
| Paso 1 |
Configure el motor de Sophos en Configuración predeterminada. Aquí, primero defina el motor predeterminado como Sophos en Configuración predeterminada. |
| Paso 2 |
Configure el objeto personalizado del antivirus. Aquí se define la lista de patrones de URL (lista de permitidos) de direcciones URL o direcciones que el análisis antivirus omitirá por alto. Después de crear la lista de patrones de URL, creará una lista de categorías de URL personalizada y le agregará la lista de patrones. |
| Paso 3 |
Configure un perfil de funciones antivirus con el motor de Sophos. Después de la configuración predeterminada, defina los parámetros que se utilizarán para el análisis de virus en el perfil antivirus.
Nota:
Debe configurar los servidores DNS antes de crear los perfiles de antivirus. Para configurar servidores DNS, vaya a Administración de dispositivos > Configuración básica > Identidad del sistema > servidores DNS. |
| Paso 4 |
Cree una política de UTM para el antivirus de Sophos y aplique el perfil de antivirus a la política de UTM. Aquí se utiliza una política de UTM para enlazar un conjunto de protocolos (por ejemplo, HTTP) al perfil de características UTM de Sophos. También puede analizar otros protocolos creando diferentes perfiles o agregando otros protocolos al perfil, como imap-profile, pop3-profile y smtp-profile. |
| Paso 5 |
Cree una política de seguridad para el antivirus Sophos y asigne la política UTM a la política de seguridad. Aquí se usa la configuración del firewall de seguridad y del perfil antivirus para analizar el tráfico desde la zona de confianza (confianza) a la zona que no es de confianza (Internet). |
| Paso 6 |
Acceda a una URL desde la URL de la lista de permitidos (http://10.102.70.89) e intente descargar un archivo de virus de prueba (eicar.txt) que está disponible en el servidor 10.102.70.89. |
Paso 1: Actualizar la configuración predeterminada del antivirus
Usted está aquí: Servicios de seguridad > Configuración predeterminada de > UTM.
En este paso, configurará Sophos Engine como el tipo de motor predeterminado.
Para actualizar el perfil antivirus predeterminado:
- Complete las tareas enumeradas en la columna Acción de la tabla 2.
Tabla 2: Opciones de configuración predeterminadas Campo
Acción
Tipo
Seleccione el tipo de motor de Sophos para el antivirus.
Lista blanca de URL
Seleccione Ninguno.
Lista blanca MIME Lista
Seleccione Ninguno.
Excepción
Seleccione Ninguno.
Figura 1: Configuración
predeterminada del antivirus
Paso 2: Configurar el objeto personalizado del antivirus
- Paso 2a: Configure una lista de patrones de URL que desea omitir
- Paso 2b: Categoriza las URL que deseas permitir
Paso 2a: Configure una lista de patrones de URL que desea omitir
En este paso, se define una lista de patrones de URL (lista segura) de direcciones URL o direcciones que el análisis antivirus omitirá por alto.
Usted está aquí (en la interfaz de usuario de J-Web): Servicios de seguridad > UTM > objetos personalizados.
Para configurar la lista segura de direcciones URL:
- Complete las tareas enumeradas en la columna Acción de la tabla 3.
Tabla 3: Configuración de la lista de patrones de URL Campo
Acción
Nombre
Escriba av-url-pattern.
Nota:Use una cadena que comience con una letra o un guión bajo y que consista en caracteres alfanuméricos y caracteres especiales, como guiones y guiones bajos. Puede utilizar un máximo de 29 caracteres.
Valor
-
Haga clic en + para agregar un valor de patrón de URL.
-
Escriba http://10.102.70.89.
-
Haga clic en el icono
de tick .
Figura 2: Agregar lista
de patrones de URL
-
¡Buen trabajo! Este es el resultado de su configuración:
Paso 2b: Categoriza las URL que deseas permitir
Ahora asignará el patrón de URL creado a una lista de categorías de URL. La lista de categorías define la acción de la asignación. Por ejemplo, se debe permitir la categoría Lista segura .
Usted está aquí: Servicios de seguridad > UTM > objetos personalizados.
Para categorizar URL:
- Complete las tareas enumeradas en la columna Acción de la tabla 4.
Tabla 4: Configuración de la lista de categorías de URL Campo
Acción
Nombre
Escriba av-url como nombre de la lista de categorías de URL para el patrón de URL de la lista segura.
Nota:Use una cadena que comience con una letra o un guión bajo y que consista en caracteres alfanuméricos y caracteres especiales, como guiones y guiones bajos. Puede utilizar un máximo de 59 caracteres.
Patrones de URL
Seleccione el valor del patrón de URL av-url-pattern en la columna Disponible y haga clic en la flecha derecha para mover los valores del patrón de URL a la columna Seleccionado. Al hacer esto, asocia el valor del patrón de URL av-url-pattern con la lista de categorías de URL av-url.
Figura 3: Agregar lista
de categorías de URL
- Haga clic en Aceptar para guardar la configuración de la lista de categorías.
¡Buen trabajo! Este es el resultado de su configuración:
Paso 3: Crear un perfil de antivirus
Usted está aquí: Servicios de seguridad > perfiles de UTM > Antivirus.
En este paso, creará un nuevo perfil de antivirus UTM, hará referencia a los objetos URL creados (patrones y categorías) al perfil y especificará los detalles de la notificación.
Para crear el nuevo perfil de antivirus:
- Complete las tareas enumeradas en la columna Acción de la tabla 5.
Tabla 5: Configuración del perfil de antivirus Campo
Acción
General Nombre
Escriba av-profile para el nuevo perfil antivirus.
Nota:Puede utilizar un máximo de 29 caracteres.
Lista de URL permitidas
Seleccione av-url en la lista desplegable.
Opciones de reserva Tamaño del contenido
Seleccione Registrar y permitir.
Acción predeterminada
Seleccione Registrar y permitir.
Opciones de notificación Detección de virus
Seleccione Notificar remitente de correo.
Tipo de notificación
Seleccione Mensaje.
Asunto del mensaje personalizado
Escriba ***Antivirus Alert***.
Mensaje personalizado
Escriba Virus Found !.
Figura 4: Crear configuración
general del perfil de antivirus
Figura 5: Crear configuración de notificación de perfil de antivirus
- Haga clic en Cerrar después de ver un mensaje de configuración correcta.
¡Buen trabajo! Este es el resultado de su configuración:
Paso 4: Aplicar el perfil de antivirus a una directiva UTM
Después de crear el perfil de característica antivirus, configure una directiva UTM para un protocolo de análisis antivirus y adjunte esta directiva al perfil de antivirus creado en Paso 3: Crear un perfil de antivirus. En este ejemplo, analizará el tráfico HTTP y FTP en busca de virus.
Usted está aquí: Servicios de seguridad > Políticas de UTM > UTM.
Para crear una política de UTM:
- Haga clic en Cerrar después de ver un mensaje de configuración correcta.
¡Ya casi está! Este es el resultado de su configuración:
Paso 5: Asignar la directiva de UTM a una directiva de firewall de seguridad
En este paso, creará una política de seguridad de firewall que hará que el tráfico que pasa de la zona de confianza (confianza) a la zona de no confianza (Internet) sea analizado por Sophos antivirus mediante la configuración del perfil de características.
Todavía no ha asignado las configuraciones de UTM a la directiva de seguridad desde la zona de confianza a la zona de Internet. Las acciones de filtrado solo se realizan después de asignar la directiva UTM a reglas de directiva de seguridad que actúan como criterios de coincidencia.
Cuando se permiten las reglas de la política de seguridad, el dispositivo de la serie SRX:
-
Intercepta una conexión HTTP y extrae cada dirección URL (en la solicitud HTTP) o dirección IP.
Nota:Para una conexión HTTPS, el antivirus es compatible a través del proxy de reenvío SSL.
-
Busca direcciones URL en la lista segura configurada por el usuario en Antivirus (servicios de seguridad > UTM > configuración predeterminada). A continuación, si la URL está en la lista segura configurada por el usuario, el dispositivo permite la dirección URL.
-
Permite o bloquea la dirección URL (si una categoría no está configurada) en función de la acción predeterminada configurada en el perfil de antivirus.
Usted está aquí: Políticas y objetos de seguridad > Políticas de seguridad.
Para crear reglas de política de seguridad para la directiva UTM:
- Haga clic en el icono de marca para guardar los cambios.
¡Buen trabajo! Este es el resultado de su configuración:
Paso 6: Verifique que UTM Antivirus esté funcionando
Propósito
Compruebe que el antivirus UTM configurado permite el tráfico desde el servidor de lista de permitidos y evita los ataques de virus desde el servidor.
Acción
-
Con el PC, envíe una solicitud HTTP a http://10.102.70.89.
¡Buen trabajo! Puede acceder al servidor http://10.102.70.89.
-
Con el PC, envíe una solicitud FTP al servidor 10.102.70.89 para descargar el archivo eicar.txt. El archivo eicar.txt es un archivo de virus de prueba que está disponible en el servidor 10.102.70.89.
¡Arrepentido! El dispositivo de la serie SRX ha bloqueado la descarga del archivo y le ha enviado un mensaje de bloqueo personalizado Alerta antivirus***- ¡Virus encontrado!.
Este es un resultado de ejemplo cuando intenta descargar el archivo eicar.txt y el firewall de la serie SRX envía una alerta de virus:
[centos-01 ~]$ ftp 10.102.70.89 Connected to 10.102.70.89 (10.102.70.89). 220 XX FTP server (Version 6.00LS) ready. Name (10.102.70.89:lab): root 331 Password required for root. Password: 230 User root logged in. Remote system type is UNIX. Using binary mode to transfer files. ftp> get eicar.txt local: eicar.txt remote: eicar.txt 227 Entering Passive Mode (10,102,70,89,197,55) 150 Opening BINARY mode data connection for 'eicar.txt' (70 bytes). netin: Connection reset by peer 426 10.102.70.89:21->10.0.1.1:36240 ***Antivirus Alert***- Virus Found!
Aquí hay un ejemplo de la salida de estadísticas antivirus cuando encuentra una amenaza:
[edit] root@srx> show security utm anti-virus statistics UTM Anti Virus statistics: Intelligent-prescreening passed: 0 MIME-whitelist passed: 0 URL-whitelist passed: 1 Session abort: 0 Scan Request: Total Clean Threat-found Fallback 2 0 1 0 Fallback: Log-and-Permit Block Permit Engine not ready: 0 0 0 Out of resources: 0 0 0 Timeout: 0 0 0 Maximum content size: 0 0 0 Too many requests: 0 0 0 Decompress error: 0 0 0 Others: 0 0 0
¿Qué sigue?
| Si quieres |
Entonces |
|---|---|
| Supervisar detalles y estadísticas del antivirus UTM |
En J-Web, vaya a Supervisar > servicios de seguridad > UTM > Anti Virus |
| Generar y ver informes sobre URL permitidas y bloqueadas |
Para generar y ver informes:
|
| Más información sobre las funciones de UTM |
Consulte la Guía del usuario de administración unificada de amenazas |
Resultado de configuración de ejemplo
En esta sección, presentamos ejemplos de configuraciones que bloquean los ataques de virus desde los sitios web definidos en este ejemplo.
Las siguientes configuraciones de UTM se configuran en el nivel de [edit security utm] jerarquía.
Creación de objetos personalizados en el nivel jerárquico [edit security utm] :
custom-objects {
url-pattern {
av-url-pattern {
value http://10.102.70.89 ;
}
}
custom-url-category {
av-url {
value av-url-pattern;
}
}
}
Creación del perfil de antivirus en el nivel jerárquico [edit security utm] :
default-configuration {
anti-virus {
type sophos-engine;
}
}
feature-profile {
anti-virus {
profile av-profile {
notification-options {
virus-detection {
type message;
notify-mail-sender;
custom-message “Virus-Found!”;
custom-message-subject “***Antivirus Alert***”;
}
}
}
}
}
Creación de la directiva UTM:
utm-policy av-policy {
anti-virus {
http-profile av-profile;
ftp {
upload-profile av-profile;
download-profile av-profile;
}
}
}
Creación de reglas para una política de seguridad en el nivel jerárquico [edit security policies] :
from-zone trust to-zone internet {
policy av-security-policy {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
utm-policy av-policy;
}
}
}
}
}