Seguridad de TI: el Antivirus (Parte II)

Después de haber seleccionado el antivirus de la corporación (se adquirieron lotes de licencias distintos para cada empresa), se procedió a su instalación apoyados por el proveedor (Ingedigit).

Para la instalación decidimos utilizar el mismo servidor que se usaba para WSUS (un HP DL380 con 2Gbytes de memoria RAM y dos discos de 146GBytes sin redundancia) ya que nos pareció que este servidor estaba subutilizado y además así se centralizarían las funciones de “difusión de software”.

En cuanto a la topología se optó por tener un servidor de administración (el ya mencionado) y, en las dos grandes sedes remotas, habilitar las funciones de redistribución de la huella a los servidores de archivos allí presentes.

Se definieron distintas políticas de búsqueda de la huella en las PCs que dependía de su ubicación geográfica, de esta manera las PCs y los servidores en las sedes remotas buscaban sus huellas localmente para así no ocupar el enlace sin necesidad (el ancho de banda tomado por varias PCs buscando sus huellas donde no debían, no es despreciable para nada).

También se implementaron distintas políticas para el scanning periódico de los discos duros locales de las PCs: las PCs que atendían las taquillas del banco eran MUY utilizadas durante los medios días mientras que las demás no. En cuanto a los servidores se tomó en cuenta cuando hacían trabajo nocturno para que no coincidiera con el scanning.

En cuanto a los resultados…

Tuvimos un momento en el cual parecía que las oleadas de virus eran indetenibles y que en cualquier momento el negocio propiamente se iba a ver afectado, sin embargo se tomaron varias medidas simultáneamente que lograron bajar las aguas a su nivel:

1)     Remoción del privilegio de navegación a Internet a los usuarios que no lo necesitaban y restricción al acceso a sitios web a otros usuarios

2)     Incorporación de algunas políticas de seguridad de Windows distribuidas desde el Directorio Activo. En particular se desactivó el “Autorun” en los PenDrives y el “scheduling” ya que son mecanismos muy usados por los virus para reproducirse. Como al año de haber implementado estas medidas, Microsoft nos dio la razón ya que envió un “patch” de seguridad en el cual se desactiva el autorun

3)     Cambio de la herramienta antivirus de eTrust a Kaspersky

4)     Incorporación paulatina de la distribución de patchs de Windows mediante WSUS

Luego que se tomaran estas medidas, rápidamente la cantidad de PCs con virus decayó notablemente y al rato se hizo excepcional y totalmente manejable por HelpDesk. Hay que decir que los servidores estuvieron prácticamente a salvo siempre de los virus, seguramente debido a una política mucho más agresiva en cuanto a la actualización de las mejoras de seguridad de Windows y a que nunca fueron usados para navegar por Internet o se le instalaran programas P2P que hacen un daño tremendo.

Seguridad de TI: el Antivirus (Parte I)

Ya en otra oportunidad comenté sobre aspectos genéricos de Seguridad de TI, en esta me voy a concentrar sobre lo relacionado con el antivirus que se instala en PC y servidores.

En primer lugar hay que responder una pregunta muy importante: hace falta el antivirus en una red de computadoras corporativas? La respuesta es SI.

¿Cuáles son los aspectos a tomar en cuenta a la hora de adquirir una solución de este tipo?

1)     Efectividad. Nosotros tratamos de preparar un laboratorio nuestro para hacer una evaluación del comportamiento de los distintos antivirus para ver cual era el más efectivo… eso es una locura! Lo mejor para ver este aspecto es consultar a varias revistas o sitios web especializados y fiarse de sus criterios.

2)     Pesadez. Tipicamente los antivirus son muy intrusivos y algunos toman tantos recursos de la máquina que enlentecen el trabajo en un forma importante; este aspecto es clave y es fácilmente evaluable por la organización: se instala el antivirus en un ambiente de pruebas y se nota el comportamiento con las aplicaciones del negocio, al momento de actualizar la huella y al momento de hacer el scanning del disco duro local. Además hay que tomar en cuenta la configuración “típica” de los PC de la organización, no la mejor!

3)     Multiplataforma. El antivirus debe servir por lo menos para los distintos sabores de Windows para PC y para servidores (incluyendo las versiones de 64 bits). Idealmente debe servir también para los Linux más populares (Red Hat y Suse), para servidores de correo (Exchange, Dominó, Postfix) y para Proxy, claro que depende de la plataforma de cada organización.

4)     Administración centralizada. En un ambiente corporativo la facilidad de administración centralizada es esencial, se deben contemplar al menos los siguientes aspectos:

a.       Consola que refleje el status de todos los PC con el antivirus instalado (que huella tiene, resultado del último scan, versión instalada, etc.) incluyendo la visualización del log de actividad.

b.       Distribución de políticas distintas para grupos de PCs para sí poder discriminar entre los que necesitan ciertos aspectos habilitados y los que no.

c.       Forzado de acciones. Frente a una epidemia, se debe tener la facilidad de poder obligar a todos los PC para que actualicen su huella de inmediato o que comiencen un scan del disco duro.

d.       Control remoto de los parámetros, sin posibilidad de que el usuario pueda cambiarlos localmente.

5)     Hay otros aspectos de la administración centralizada que son deseables mas no esenciales tales como la instalación remota del antivirus o el manejo del licenciamiento.

6)     Marca. Evidentemente la marca del antivirus debe ser reconocida.

7)     Soporte local. Es mucho mejor si hay un soporte en el país al cual se pueda recurrir a la hora que las cosas se salgan de control o para el aprendizaje inicial.

En mi trabajo tuve la oportunidad de instalar dos soluciones de antivirus:

eTrust. Aún cuando hace algunos años era nombrada como una buena solución (además de pertenecer a una gran casa de software como lo es Computer Associates), rápidamente se quedó atrás y dejó de detectar los virus. Era muy buena del punto de vista de administración centralizada, pero no se hace nada si deja entrar a los virus. Hasta donde yo sé, ya no se comercializa.

Kaspersky. Este software se adoptó en el 2009, en su momento la necesidad que se tenía era la de proteger a las estaciones de trabajo, los servidores y el proxy (se trataba del ISA Server de Microsoft). Se adquirió entonces la suite “Business”, que incluía la protección para móviles, servidores y PCs; la solución que incluía un cliente para el proxy, la “Total”, era mucho más costosa debido a que también tenía el cliente para el sistema de correos (Exchange o Dominó) pero que a nosotros no nos servía ya que usábamos Postfix de Unix (ahora SI soportan esta mensajería en servidores Linux RedHat). Kaspersky resultó ser bastante bueno, se configuraron servidores remotos para la distribución de la huella en otras localidades (y así ahorrar ancho de banda en los enlaces privados) lo cual funcionó perfectamente. Me gustó también el manejo del licenciamiento (da un 20% de margen en la cantidad de licencias) y la interfaz administrativa. No es infalible (como no lo es ninguno) pero tiene un buen tiempo de respuesta frente a las amenazas. El Scanning del disco duro pone la PC bastante lenta, nosotros lo pusimos los viernes al medio día para disminuir la molestia pero siempre se notaba su funcionamiento.

Se contemplaron otras opciones como las de Symantec, McAfee y Panda, pero Kaspersky fue la que nos gustó más y también fue la mejor presentada por el proveedor.

En la próxima entrega la implementación y los resultados.