| Artículos | 01 ENE 2007

Trend Micro InterScan Gateway Secutiry Appliance

Tags: Histórico
Defensa perimetral para PYMES
Daniel Comino.
Appliance que actúa como primera barrera de la empresa para el filtrado de todo tipo de malware dentro de la organización.

Nadie puede negar el pernicioso efecto negativo del SPAM hoy en día, y mucho menos si hablamos de entornos profesionales, donde el alto porcentaje de correos no deseados satura el ancho de banda, incide drásticamente en la productividad de los usuarios, y hace que los sistemas se mantengan al límite.
Trend Micro cuenta con uno de los catálogos más amplios en cuanto a protección de sistemas se refiere, ya que cuenta con soluciones de amplio espectro capaces de proteger los entornos a todos los niveles.
En este caso, hemos tenido la oportunidad de analizar InterScan Gateway Security Appliance, un dispositivo bastionado previamente que nos permite bloquear la mayor parte del tráfico no deseado (en nuestro caso bloqueó una cifra cercana al 80 por ciento de correos, entre spam, virus o programas espía, entre otros).
La principal característica de IGSA es la sencillez, tanto a la hora del despliegue como a nivel de configuración y mantenimiento. Se trata de un appliance previamente optimizado por Trend Micro capaz de analizar hasta 50 Mbits por segundo (tanto en protocolo HTTP como SMTP). Está pensado para redes de unos 500 usuarios, aproximadamente, y es capaz de analizar el tráfico mediante los protocolos SMTP, HTTP, POP3 y FTP.
A nivel externo, dispone de un Linux Kernel compilado bajo las premisas de mínima exposición, que se encarga de montar todo el sistema de protección.
En la parte frontal externa contamos con un panel LCD que nos permite visualizar parámetros básicos de configuración, como nombre del equipo o dirección IP. En la parte trasera, sin embargo, dispone de dos puertos Gigabit Ethernet que establecen la parte interna y externa del producto, además de un Gigabit adicional de gestión que permite realizar tareas de configuración y mantenimiento.
Dependiendo de nuestra topología, podemos instalar IGSA en modo mono o multi segmento (como muestra la imagen de la siguiente página). Básicamente, la diferencia radica en colocar detrás del IGSA un Hub/Switch o un router, a los que servirá el tráfico analizado.
Como IGSA está pensado para una integración sencilla en cualquier entorno actúa en modo bridge -puente-, es decir, que recibe el tráfico por la boca Gigabit externa, lo analiza, filtra el malware, y lo devuelve a la boca interna para que sea entregado en destino. Además de esto, el sistema puede trabajar en modo “Fully Transparent”, que deja la dirección IP de orígen en todas las peticiones, o “Transparent Proxy“, que sustituye la IP de origen por la del propio IGSA.
A nivel de funcionamiento, el sistema no puede ser más sencillo, únicamente será necesario configurar el producto con una dirección IP que tenga acceso a Internet (además de la puerta de enlace, la máscara de red y al menos un servidor DNS, ya que necesita descargar las actualizaciones disponibles). Aunque se administra vía web, por defecto IGSA únicamente permite acceder a los administradores desde la parte interna de la red (evitando accesos no deseados), no obstante esto se puede modificar.
Como detalle importante comentaremos que ya está disponible la versión 1.0.1358, por lo tanto es necesario descargar los parches y actualizar el producto siguiendo las instrucciones de www.trendmicro.com/downloads (accediendo en modo consola de preconfiguración, accesible mediante RS232 con utilidades como Hyperterminal o PUTY). En este mismo menú podemos activar también el disco duro interno, de 80 GB, que nos servirá para almacenar los logs del sistema (por defecto viene sin formatear, por lo que no guardará evidencias de los filtros realizados).
La interfaz web de configuración, accesible vía HTTPs es muy sencilla, aunque algo incómoda, ya que es necesario especificar, para cada protocolo, qué queremos hacer con el spyware, phishing o pharming, entre otros, de forma recurrente. Para cada tipo de malware habremos de configurar la acción a tomar (borrarlo, dejarlo pasar, o meterlo en cuarentena, entre otras), y tendremos la posibilidad de especificar si queremos que nos envíen notificaciones sobre cada incidencia.
InterScan Gateway Security Appliance cuenta con varios niveles de protección, entre los que se encuentran antivirus, antispam, antispyware, antiphishing y antipharming. Dentro de éstas, probablemente la más importante sea el bloqueo de spam, ya que, además del filtrado de contenido, cuenta con el servicio de reputación de red -bajo suscripción gratuita con la licencia- que bloquea la mayor parte de los correos no deseados (se puede configurar con un umbral de detección alta o baja).
Por otra parte, la tecnología Intellitrap detecta y bloquea código malicioso ejecutable y comprimido que llega en forma de ficheros vinculados en el correo.
Además de esto, dispone de un módulo de filtrado web, que nos permite, segmentado por protocolos, bloquear direcciones URL en base al contenido que tengan (sexo, drogas, juegos o hacking, entre otras). No obstante, cuando bloqueamos una página, el usuario recibirá un mensaje en inglés que no se podrá modificar (aunque se arreglará para la siguiente versión). Paralelamente a esto, es posible activar el filtrado a nivel de fichero, que detiene las descargas de archivos con la extensión que necesitemos bloquear, o incluso utilizar la utilidad Defered Scanning Console (accesible a través de la página https://(IP_del_IGSA)/html/trickling_frame.htm), que permite simular un bajo rendimiento (poca velocidad) en la descarga de documentos con el fin de que los usuarios desistan en la descarga de ficheros que no tienen que ver con su trabajo habitual.
Por último, en caso de fallo del sistema o si apagamos el equipo, IGSA cuenta por defecto con la tecnología Failopen (conocida como LAN Bypass), que puentea automáticamente los dos interfaces de red, dejando pasar el tráfico sin analizar (como medida de emergencia), para que el funcionamiento de la empresa no se vez afectado drásticamente. No obstante, IGSA incluye utilidades de diagnóstico, como Outbreak Defense, que le permite monitorizar el estado del applicance con el fin de evitar fallos de sistema o de hardware.


Lo mejor: Nivel de filtrado, sencillez de uso
Lo peor: Configuración algo redundante


Trend Micro InterScan Gateway Secutiry Appliance
----------------------------------------------------------------------
FabricanTE: rend Micro
WEB: www.trendmicro.es
DISTRIBUIDOR: Trend Micro
Teléfono: 913 697 030
IDIOMA: Inglés
PVP: 4.280,40 (100 usr)
Calificación: ***** (Producto recomendado)

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información