Buenas practicas de seguridad sobre NGFW (Palo Alto Networks)

En el blog de Netics, iremos comentando aquellas configuraciones que con más frecuencia nos encontramos y que no son lo que parecen.

Para empezar esta serie, y con las vistas puestas en proteger las sesiones de correo electrónico, haremos mención a dos protocolos de correo veteranos: IMAP y POP3.

También revisaremos el funcionamiento de la protección de smtp en el contexto de los firewalls de nueva generación de Palo Alto.

PRIMER ERROR CONCEPTUAL EN LOS PROTOCOLOS DE CORREO  POP3 E IMAP :

         -ACCIÓN BLOCK=ALERT (NO HAY BLOQUEO EN SESIONES DE POP3 O IMAP)

El primer elemento que puede inducir a confusión es “la letra pequeña”. Palo Alto Networks indica en su documentación, claramente,   que los perfiles de seguridad con protecciones para POP3/IMAP nunca cortan o bloquean la conexión, por ejemplo, ante la detección de un virus adjunto al correo.

En caso de que el NGFW intente eliminar el adjunto, y teniendo en cuenta que la inspección se realiza en tiempo real, la sesión POP3 o IMAP se vería afectada.

En el siguiente párrafo de la documentación de Palo Alto Networks se indica que los protocolos IMAP/POP3 y también  SMTP tienen preconfigurada la acción “Alert”.

Pero atención, porqué también observamos en la documentación de la certificación CNSE el siguiente párrafo:

En consecuencia, para los protocolos IMAP y POP3 no podemos bloquear los posibles virus adjuntos, puesto que la sesión modificada evitaría, por ejemplo, la descarga del adjunto y el cliente de correo electrónico probaría una y otra vez la descarga del correo “intervenido”.

PROTOCOLO SMTP:

ACCIÓN “BLOCK” = CODIGO 541 SMTP

En el caso del SMTP, la acción de "block" en un perfil de antivirus, aplicado por ejemplo a un servidor de correo electrónico, devolverá un código de error SMTP denominado “message rejected”. Este mensaje es muy habitual cuando un correo es  considerado"spam", aunque en este caso el motivo pueda ser la detección de un fichero con un virus.  

Así pues, el remitente será notificado de la imposibilidad de entregar un determinado mensaje de correo electrónico.

Adicionalmente, hacer notar que los perfiles “default” suelen estar con las acciones en “Alert”. Nos encontramos muchos entornos en los que el administrador del NGFW creía erróneamente que el perfil “alert” bloqueaba la amenaza y enviaba una “alerta”.

EN SÍNTESIS:

La estrategia de protección frente a infecciones provenientes de los protocolos de correo pueden abordarse con diferentes soluciones. Por un lado, con el Next Generation Firewall podremos tener visibilidad de los virus y amenazas que se cursan mediante estos protocolos, pero es importante mencionar que se deben usar perfiles de seguridad bien ajustados y combinar la detección de amenazas, actividad de DNS sospechosa y dedicar tiempo a revisar las conexiones del tipo "unknown", entre otras medidas.

Usando la visibilidad que nos ofrece el NGFW deberíamos evitar la descarga directa en nuestra red corporativa de mensajes de correo que procedan de servidores de correo externos a nuestra organización, es decir que no sean de nuestro dominio de correo,  mediante clientes que usen IMAP y POP3.

Por otro lado, podemos habilitar la descarga de correo mediante “webmail” y haciendo uso del descifrado de sesiones SSL, y también de perfiles de protección debidamente configurados, podremos detectar y, ahora sí, “bloquear” las amenazas comentadas.

La protección en el “Endpoint” es otro factor muy importante, entendiendo que se protegen con un antivirus las estaciones de trabajo y los servidores corporativos.

En consecuencia, no debemos esperar una protección de una sola aproximación contra virus y amenazas que provengan del correo electrónico, lo razonable es disponer de diversas líneas de protección, en la red, en las estaciones de trabajo y obviamente en los servidores.

Podéis encontrar más información sobre la estrategia de protección para troyanos y ransomware en este enlace: