Bright Mail Gateway
27
CONFIDENCIAL Esparza Oteo 37 Guadalupe INN México D. F. 2282 4150 FAX 5089 0520 Filtrado de Correo Symantec Brightmail Gateway
-
Upload
felipe050579 -
Category
Documents
-
view
68 -
download
5
description
Symantec
Transcript of Bright Mail Gateway
CONFIDENCIAL Esparza Oteo 37
Guadalupe INN México D. F. 2282 4150 FAX 5089 0520
Filtrado de Correo
Symantec Brightmail Gateway
Esparza Oteo 37
Guadalupe INN México D. F. 2282 4150 FAX 5089 0520
CONFIDENCIAL
Índice
Introducción ......................................................................................................2
Jerarquía de las Políticas en Symantec Brightmail Gateway .........................2
Revisión de Requerimientos ............................................................................3
Componentes de Symantec Brightmail Gateway ...........................................4
Instalación de SMS For SMTP...........................................................................5
Políticas de Filtrado de Contenido .................................................................11
Condiciones de la Política.................................................................................12
Acciones Configurables ....................................................................................13
Recursos para las Políticas............................................................................13
Mejores Prácticas ...........................................................................................17
Ejercicios Prácticos.........................................................................................18
Apéndice .........................................................................................................24
Material de Referencia ...................................................................................25
2
CONFIDENCIAL
Esparza Oteo 37
Guadalupe INN México D. F. 2282 4150 FAX 5089 0520
Sección
Symantec Brightmail Gateway
Introducción
Symantec Brightmail Gateway proporciona una protección integral de seguridad para el correo entrante, correo saliente y mensajería instantánea, con una exacta y efectiva protección AntiSpam y AntiVirus, filtrado de contenido avanzado, y tecnología de prevención de pérdida de la información (DLP).
Brightmail Gateway es sencillo de administrar y cuenta con una efectividad de hasta el 99% en la detección de Spam con menos de uno en un millón de falsos positivos. Con Brightmail Gateway, las organizaciones pueden responder de una forma efectiva a las nuevas amenazas de correo, minimizar las caídas en la red, mejorar la productividad de los empleados y proteger la reputación de su empresa.
El producto utiliza las actualizaciones continuas de AntiSpam y Antivirus de Symantec Global Intelligence Network así como la herramienta de control de conexiones basada en reputación global y en el auto-aprendizaje de la herramienta, además de la reportería detallada.
La herramienta Symantec Brightmail Gateway se encuentra disponible en Appliance Físico como en Appliance Virtual (VMWARE), permitiendo a las organizaciones una forma sencilla de agregar o disminuir capacidad AntiSpam para conservar el flujo de los mensajes frente al creciente e impredecible volumen de Spam.
Jerarquía de las Políticas en Symantec Brightmail Gateway
La herramienta Brightmail Gateway sigue una jerarquía para realizar el filtrado de los correos procesados, por lo que es importante mencionar la precedencia que tiene cada una de las disposiciones dentro de la solución para realizar un filtrado más exacto y eficaz.
A continuación se lista el orden en que la herramienta Symantec Brightmail Gateway asigna las Disposiciones en las que puede caer algún correo procesado por la herramienta.
Virus attack
Worm
Virus
Spyware or adware
Suspicious attachment (suspected virus)
3
CONFIDENCIAL
Esparza Oteo 37
Guadalupe INN México D. F. 2282 4150 FAX 5089 0520
Unscannable
Encrypted attachment
End user-defined Allowed Senders List
End user-defined Blocked Senders List
Administrator-defined, IP-based Allowed Senders List
Administrator-defined, IP-based Blocked Senders List
Administrator-defined, domain-based Allowed Senders List
Administrator-defined, domain-based Blocked Senders List
Spam attack
Directory harvest attack
Safe Senders List (part of the Sender Reputation Service)
Open Proxy Senders (part of the Sender Reputation Service)
Third Party Services Allowed Senders List
Third Party Services Blocked Senders List
Content Compliance policies
Dropped invalid recipient
Spam
Blocked language
Suspected spam
Suspected Spammers (part of the Sender Reputation Service)
Sender authentication failure
Revisión de Requerimientos
La instalación de la solución de Symantec Brightmail Gateway se puede realizar en un Appliance Físico o en un Appliance Virtual (VMWARE), en este entorno nos enfocaremos en la instalación sobre un Appliance Virtual. (para mayor detalle en cuanto a los modelos de Appliance existentes, consultar el Apéndice Modelos de Appliance ).
Sistema Operativo
Linux Red Hat
Hardware
VMWARE Desktop
512 GB RAM (Recomendado 1GB)
20 MB de espacio en disco
4
CONFIDENCIAL
Esparza Oteo 37
Guadalupe INN México D. F. 2282 4150 FAX 5089 0520
Componentes de Symantec Brightmail Gateway
COMPONENTES DE Brightmail Gateway
La herramienta Symantec Brightmail Gateway está integrada por 2 componentes; el Control Center y el Scanner; de acuerdo al ambiente en el cual será implementada la solución, se puede realizar la instalación de estos componentes de varias formas.
Scanner. El Scanner es el componente encargado de realizar el procesamiento y filtrado de la totalidad de correo que pasa a través de él. En una instalación dentro de una empresa puede haber más de un Scanner instalado.
Control Center. El Control Center es una consola de administración basada en Web, esta consola es utilizada para la configuración y administración del filtrado de correo, configuraciones del sistema de filtrado, reportería, y otras funcionalidades. A diferencia del componente Scanner, en una instalación únicamente puede haber instalado un Control Center desde el cual se monitorearán y configurarán la totalidad de los Scanners instalados. El Control Center provee un status general de todo el sistema de filtrado del Symantec Brightmail Gateway, permite la visualización de los logs y permite la generación de reportes personalizados. Otra función del Control Center es la de almacenar la cuarentena de Spam y la cuarentena de los correos sospechosos de Virus, en donde se almacenan los correos de Spam y los correos con archivos infectados respectivamente.
De acuerdo a los requerimientos y necesidades del cliente, el Control Center y el Scanner pueden ser instalados en un mismo Appliance o en Appliances diferentes.
5
CONFIDENCIAL
Esparza Oteo 37
Guadalupe INN México D. F. 2282 4150 FAX 5089 0520
Instalación de SMS For SMTP
INSTALACIÓN DE LA SOLUCIÓN
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
Configuración de Password
Usuario: admin
Password: symantec
Configuración de FQDN
Dirección IP
Máscara de Red
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
Configuración de segunda Dirección IP (Opcional).
Máscara de Red.
Configuración de Ruta Estática (opcional)
Default Gateway.
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
6
CONFIDENCIAL
Esparza Oteo 37
Guadalupe INN México D. F. 2282 4150 FAX 5089 0520
Configuración de DNS s de la herramienta, se pueden dar de alta hasta 3.
Especificación del Rol del Appliance.
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
Revisión de parámetros de configuración.
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
Reinicio de Appliance
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
7
CONFIDENCIAL
Esparza Oteo 37
Guadalupe INN México D. F. 2282 4150 FAX 5089 0520
CONFIGURACIÓN INICIAL
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
Inicio de sesión vía Web
https://host:41443
Aceptamos el acuerdo de licencia para comenzar con la configuración inicial.
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
Al acceder por primera vez a la consola de administración se deberán de instalar las licencias de activación del producto.
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
8
CONFIDENCIAL
Esparza Oteo 37
Guadalupe INN México D. F. 2282 4150 FAX 5089 0520
No se recomienda realizar en este punto la actualización de versiones en caso de aplicar.
Configuramos una dirección de correo a la cual llegarán las notificaciones de la herramienta.
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
Configuración de hora en el equipo.
Configuración de idioma y codificación
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
Determinamos si la herramienta filtrarácorreo entrante, saliente o ambos.
Especificamos la dirección y puerto que tendrá la herramienta para el filtrado de entrada.
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
9
CONFIDENCIAL
Esparza Oteo 37
Guadalupe INN México D. F. 2282 4150 FAX 5089 0520
Configuramos que la herramienta reciba conexiones provenientes de cualquier dirección IP (recomendado).
Agregamos los dominios para los cuales se realizará el filtrado, y la dirección a donde será entregado el correo una vez filtrado.
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
Especificamos la dirección y puerto que tendrá la herramienta para el filtrado de salida.
Determinamos de qué direcciones aceptará conexiones la IP de salida.
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
Determinamos la dirección a la que serán entregados los correos una vez filtrado.
Configuración del Relay de la herramienta (Default recomendado).
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
10
CONFIDENCIAL
Esparza Oteo 37
Guadalupe INN México D. F. 2282 4150 FAX 5089 0520
Revisamos los parámetros de configuración, y con esto se finaliza la configuración inicial.
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
___________________________________
11
CONFIDENCIAL
Esparza Oteo 37
Guadalupe INN México D. F. 2282 4150 FAX 5089 0520
Políticas de Filtrado de Contenido
Una política de Filtrado de Contenido está conformada los siguientes elementos:
Nombre de Política. Con este nombre aparecerá listada nuestra política de filtrado de contenido, por lo que se recomienda que sea lo más descriptiva posible.
Dirección en la que la Política aplicará. En esta parte determinaremos si la política para el correo entrante, para el correo saliente, o tanto para el correo entrante como para el correo saliente.
Grupo de clientes al que aplica la Política. Una política de filtrado de contenido puede ser aplicada a un solo usuario, a un grupo de usuarios o a todo un dominio. El grupo Default comprende la totalidad de usuarios del o de los dominios filtrados en la herramienta, este grupo no puede ser eliminado.
Condiciones que deberá cumplir el correo. En este apartado se configurarán las condiciones y/o características que deberá de cumplir un correo para que sea susceptible a la política de filtrado.
Acciones que tomará la herramienta. En este paso se deberá de seleccionar la acción que realizará la herramienta de filtrado en caso de que algún correo cumpla con las condiciones establecidas, algunas de las acciones a configurar son: eliminar el correo, enviar el correo a la cuarentena, notificar al administrador, agregar una nota en el correo, etc.
12
CONFIDENCIAL
Esparza Oteo 37
Guadalupe INN México D. F. 2282 4150 FAX 5089 0520
Dirección de la Política
La dirección de la política se refiere al sentido en que la política entrará en vigor.
Generalmente se configuran políticas de entrada para realizar filtrado de correos por tipo de archivo, por peso del correo, por origen del correo etc. En cambio las políticas de filtrado de salida se configuran para evitar la pérdida de información sensitiva de la empresa.
Condiciones de la Política
Las condiciones de una política de filtrado serán las características con las que deberá cumplir un correo para que pueda ser sujeto de aplicar la política de filtrado.
La herramienta Symantec Brightmail Gateway ofrece una gran variedad de condiciones a configurar, entre ellas se encuentra el tamaño del archivo adjunto, contenido en alguna parte del correo, incluso dentro del archivo adjunto, asunto del correo, etc.
13
CONFIDENCIAL
Esparza Oteo 37
Guadalupe INN México D. F. 2282 4150 FAX 5089 0520
Acciones Configurables
Una vez determinadas las condiciones que deberá de cumplir un correo, se deberá determinar la acción que tomará la herramienta, entre las acciones configurables se encuentran: eliminar el correo, enviar el correo a cuarentena, enviar una notificación, etc. Lo cual permite un filtrado más granular y flexible en el correo entrante y correo saliente (en caso que aplique).
Recursos para las Políticas
Los recursos de las políticas no son más que herramientas de ayuda , para la configuración de políticas de filtrado de contenido en la parte de condiciones; a continuación se listan estas opciones y se describen de forma breve.
Annotations. Las anotaciones son fragmentos de texto que se anexan al inicio o al final de los correos que han coincidido con alguna de las condiciones configuradas en la política de filtrado de contenido, tienen la funcionalidad de informar al usuario que ha violado alguna política interna.
14
CONFIDENCIAL
Esparza Oteo 37
Guadalupe INN México D. F. 2282 4150 FAX 5089 0520
Attachment Lists. Las listas de adjuntos, como su nombre lo dicen son listas en las que se darán de alta las extensiones de los archivos que estarán bloqueados o permitidos en las políticas de filtrado de contenido, además se pueden realizar listas de adjuntos por Trae File Type , lo cual permite que aunque se cambie la extensión de un archivo bloqueado, la herramienta es capaz de determinar por los encabezados el tipo de archivo.
Dictionaries. Los diccionarios nos permiten dar de alta palabras para que cuando la palabra o frase configuradas sea detectada en alguna parte del correo (asunto del correo, cuerpo del mensaje), o incluso en algún archivo adjunto, se ejecute la acción configurada en la política.
15
CONFIDENCIAL
Esparza Oteo 37
Guadalupe INN México D. F. 2282 4150 FAX 5089 0520
Notifications. Finalmente las notificaciones como su nombre lo dice permiten enviar una notificación vía correo electrónico al administrador de la herramienta, al autor del correo y/o al destinatario, para informar que su correo violó alguna política de filtrado de contenido.
Patterns. Son expresiones regulares las cuales pueden ser usadas en la configuración de políticas de filtrado de contenido, se puede hacer uso de 3 tipos de patrones: Basic, Premium y Custom
o Basic. Patrones predefinidos, incluidos con el licenciamiento básico, no editables.
o Premium. Patrones predefinidos en el módulo de Premium Content Control (PCC). Realizan validación adicional a las expresiones regulares para reducir los falsos positivos. No pueden ser eliminados o editados.
o Custom. Patrones creados por el administrador de Symantec Brightmail Gateway.
16
CONFIDENCIAL
Esparza Oteo 37
Guadalupe INN México D. F. 2282 4150 FAX 5089 0520
Records. Utilizados en la creación de políticas de filtrado de contenido de Información Estructurada (Structured Data). Utiliza la tecnología de detección llamada Structured Data Detection.
17
CONFIDENCIAL
Esparza Oteo 37
Guadalupe INN México D. F. 2282 4150 FAX 5089 0520
Mejores Prácticas
A continuación se listan una serie de recomendaciones y mejores prácticas para el óptimo desempeño de la herramienta Symantec Brightmail Gateway.
Realizar de forma periódica la revisión de las colas de entrega.
El servidor deberá de tener salida a los siguientes servicios: http, https, FTP y SMTP.
No habilitar la parte de Directory Harvest Attack al menos que la herramienta se tenga sincronizada con un servidor LDAP.
Se recomienda que el nombre del Host MTA tenga el mismo nombre que el registro MX del dominio que se estará filtrando.
Realizar el cambio en las políticas de Spam y Suspect Spam para que las acciones a tomar sean eliminar y enviar a la cuarentena respectivamente, ya que por default únicamente se modifica el Asunto del correo y son entregados de forma normal al usuario final.
18
CONFIDENCIAL
Esparza Oteo 37
Guadalupe INN México D. F. 2282 4150 FAX 5089 0520
Ejercicios Prácticos
Creación de un Diccionario Personalizado Objetivo: Mostrar al estudiante la forma de configurar un diccionario personalizado en la herramienta, para posteriormente utilizarlo en una Política de Filtrado de Contenido.
1. En la consola de administración ir a la siguiente ruta: Compliance > Dictionaries.
2. Una vez en el menú de Dictionaries, dar click en el botón de Add para crear nuestro diccionario personalizado.
3. En la pantalla desplegada configuraremos el nombre de nuestro diccionario PRUEBA y agregaremos la palabra Viagra para posteriormente realizar una política de filtrado con este diccionario.
4. Guardamos nuestro diccionario personalizado y nos aparecerá listado en la pantalla de Dictionaries.
19
CONFIDENCIAL
Esparza Oteo 37
Guadalupe INN México D. F. 2282 4150 FAX 5089 0520
Política de Filtrado de Contenido por diccionarios Objetivo: Configurar y probar el filtrado por un diccionario personalizado.
1. En la consola de Symantec Brightmail Gateway vamos a la siguiente ruta: Compliance > Email.
2. En la ventana de políticas de filtrado de contenido, damos click en el botón de Add para crear una política nueva.
3. En la pantalla mostrada a continuación seleccionamos la opción de Blank para generar una política en blanco.
4. Click en Select para pasar al siguiente Menú.
5. Una vez ubicados en la pantalla de la nueva política configuraremos los siguientes parámetros:
Policy Name: POLÍTICA DE DICCIONARIOS.
Apply to: Inbound and Outbound Messages.
Wich of the following conditions must be met: Any Click en Add para configurar la condición.
20
CONFIDENCIAL
Esparza Oteo 37
Guadalupe INN México D. F. 2282 4150 FAX 5089 0520
En la pantalla desplegada a continuación seleccionaremos la opción de Text in the Subject, Body or Attachments: En el combo buscaremos el diccionario creado en el paso anterior. Click en Add Condition.
Una vez configurada la condición, se definirá la acción que tomará la herramienta.
21
CONFIDENCIAL
Esparza Oteo 37
Guadalupe INN México D. F. 2282 4150 FAX 5089 0520
Actions: Delete the Message.
Apply to the Following Policy Groups: Default.
4. Guardar los cambios.
22
CONFIDENCIAL
Esparza Oteo 37
Guadalupe INN México D. F. 2282 4150 FAX 5089 0520
Búsqueda de Correos en la Herramienta Objetivo: Determinar la disposición de un correo dentro de la herramienta y localización del mismo
1. En la pestaña de Status seleccionamos la opción de Message audit. Logs.
2. En los filtros configuraremos los siguientes parámetros para generar el reporte:
Host: All Scanners.
Mandatory Filter: Recipient.
Mandatory Filter Value: [email protected]
Time Range: Past Hour.
3. Damos click en Display Filtered para generar el reporte requerido y determinar la disposición del correo.
4. Con la información obtenida podemos determinar el paradero de los correos procesados por la herramienta Symantec Brightmail Security.
23
CONFIDENCIAL
Esparza Oteo 37
Guadalupe INN México D. F. 2282 4150 FAX 5089 0520
Generando Reportes Ejecutivos Objetivo: Demostrar al usuario la forma de generar reportes varios dentro de la herramienta para corroborar la efectividad de la herramienta.
1. En la pestaña de Reports configuraremos los siguientes parámetros para nuestro reporte:
Report Type: Email Messages Direction: Inbound Time Range: Past 24 hours Group by: Hour Display: Graph y Table
2. Click en Run para generar un reporte de todo el correo procesado en el último día.
3. Revisar el reporte generado por la herramienta.
24
CONFIDENCIAL
Esparza Oteo 37
Guadalupe INN México D. F. 2282 4150 FAX 5089 0520
Apéndice
MODELOS DE APPLIANCE
8340
ORGANIZACION SMB (Arriba De 1000 usuarios) INSTALACIÓN TIPICA Control Center /Scanner TAMAÑO 1 Unidad de Rack FUENTE DE PODER Sencilla CPU Procesador Sencillo DISCO DURO / RAID 2 x 80GB Serial ATA RAID 1 NIC 2 Puertos Ethernet
8360
ORGANIZACION Enterprise / Large Enterprise INSTALACIÓN TIPICA Scanner Dedicado o Control
Center Dedicado TAMAÑO 1 Unidad de Rack FUENTE DE PODER Redundante, hot-plug, auto-
switching, UPS CPU Procesadores Dual Multi-Core DISCO DURO / RAID 2 x 146GB Serial Attach SCSI (hot-
swappable) RAID 1 NIC 2 Puertos Ethernet
8380
ORGANIZACION Enterprise / Large Enterprise INSTALACIÓN TIPICA Control Center Dedicado TAMAÑO 2 Unidades de Rack FUENTE DE PODER Redundante, hot-plug, auto-
switching, UPS CPU Procesadores Dual Multi-Core DISCO DURO / RAID 6x300GB Serial Attach SCSI (hot-
swappable) RAID 10 NIC 3 Puertos Ethernet
25
CONFIDENCIAL
Esparza Oteo 37
Guadalupe INN México D. F. 2282 4150 FAX 5089 0520
Material de Referencia
Mejores prácticas para el control del Spam http://service1.symantec.com/support/ent-gate.nsf/854fa02b4f5013678825731a007d06af/4f9a58bddb664cc88025749d003d7d0a?OpenDocument
Mejores prácticas cuando se tiene una amenaza mass-mailer http://service1.symantec.com/support/ent-gate.nsf/854fa02b4f5013678825731a007d06af/3f562791ef08204c882575d800632e6e?OpenDocument
Mejores Prácticas para la configuración del Control Center y del Control Center SMTP host http://service1.symantec.com/support/ent-gate.nsf/854fa02b4f5013678825731a007d06af/b8441b89388bae228825734c00828ed3?OpenDocument
Mejores Prácticas para mejorar el rendimiento de la herramienta http://service1.symantec.com/support/ent-gate.nsf/854fa02b4f5013678825731a007d06af/0807afc69e27c5bd802574880041b717?OpenDocument
Mejores Prácticas al integrar Microsoft Active Directory como servidor de LDAP http://service1.symantec.com/support/ent-gate.nsf/854fa02b4f5013678825731a007d06af/71c87a72a47fc4968825734c00828f41?OpenDocument
Mejores Prácticas en la configuración de Passwords http://seer.entsupport.symantec.com/docs/322154.htm
Envío manual de correo Spam y Falsos positivos a Symantec Security Response Center http://service1.symantec.com/support/ent-gate.nsf/854fa02b4f5013678825731a007d06af/72007e542947aa388825734c00828c35?OpenDocument
Bloqueo de correos provenientes de su mismo dominio (spoofing) http://service1.symantec.com/support/ent-gate.nsf/854fa02b4f5013678825731a007d06af/742035c3ff90c70e802575040051de75?OpenDocument
Actualizaciones de Software de Language Pack http://service1.symantec.com/support/ent-gate.nsf/854fa02b4f5013678825731a007d06af/efe2c24008565e8588257582007e36b6?OpenDocument
Troubleshooting de Message Queue http://seer.entsupport.symantec.com/docs/320064.htm
Cómo agregar espacio en disco a un Appliance Virtual http://service1.symantec.com/support/ent-gate.nsf/854fa02b4f5013678825731a007d06af/b734dcf61f0392b6802575e80044036c?OpenDocument
Configurando Sender Authentication http://seer.entsupport.symantec.com/docs/322079.htm
26
CONFIDENCIAL
Esparza Oteo 37
Guadalupe INN México D. F. 2282 4150 FAX 5089 0520
Notas para la actualización a la versión 8.0.2 http://service1.symantec.com/support/ent-gate.nsf/854fa02b4f5013678825731a007d06af/5bf9769d7b3f56a9882575b60080754f?OpenDocument
Plantillas de Políticas de Filtrado de Contenido http://seer.entsupport.symantec.com/docs/321845.htm
