Trabajo Final de Seguridad

UNIVERSIDAD NACIONAL AGRARIA DE LA SELVA
FACULTAD DE INGENIERIA EN INFORMATICA Y SISTEMAS
CURSO DE ACTUALIZACIN PROFESIONAL: SEGURIDAD EN

REDES INFORMTICAS
Teora e
Implementacin de
Gateway Anti - Spam.
-
Alvia Gavidia Soto.

Angel Huaripata Sanchez.
Marco Saue Montalvo.
Miguel Angel Timoteo del guila.
2
Curso de
Actualizacin
Profesional
Teria e Implementacin de Gateway AntiSpam

Asunto: Filtrado de Anti-Spam
Seguridad en
Redes
Informticas
TABLA DE CONTENIDOS
Qu ES EL SPAM?5
Por qu ES MALO EL SPAM?6
Usa recursos de otros.6

. Hacen perder tiempo.7
Roban recursos.7
Se engaa al cliente.8
Suele ser ilegal.8
ESTADISTICA DEL PROBLEMA DE LOS SPAMS8

MARCO LEGAL PERUANO SOBRE LOS ATAQUES SPAM11
ART. 5.- Correo electrnico comercial no solicitado. Todo correo

electrnico comercial, promocional o publicitario no solicitado, originado
en el pas, debe contener:o11
ART. 8.- Derecho a compensacin pecuniaria. El receptor de correo

electrnico ilegal podr accionar por la va del proceso sumarsimo
contra la persona que lo haya enviado, a fin de obtener una
compensacin pecuniaria, la cual ser equivalente al uno por ciento
(1%) de la Unidad Impositiva Tributaria por cada uno de los mensajes
de correo electrnico transmitidos en contravencin de la presente
ley, con un mximo de dos (2) Unidades Impositivas Tributarias.11
TECNICAS DE SPAM12
Qu ES UN aNTISPAM?14
Definicin14
Soluciones Antispam15
Soluciones Basados en Reglas15
Ventajas15
Desventajas15
Ejemplo Despliegue en Pasarela16
16
Ventajas17
Desventajas17
Ejemplo de despliegue en pasarela17
Implementar Gestin de Ancho de Banda18
Ventajas18
Desventajas18
19
Deteccin de Spam19
3
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
Tcnicas de usuarios finales20

Direccin munging20
Evitar responder al Spam21
Formularios electrnicos de contacto22
Desactivar HTML en correo electrnico22
Tener disponibles varias direcciones de correo electrnico23
Contraseas buenas23
Denunciar el Spam23
Qu ES UN GATEWAY-ANTISPAM?
Definicin
Ventajas
Gateway Antispam Propietarios
IronPort Series C
IronPort SenderBase
Identifica Amenazas
Tener una Visin Completa
Solicitar la Ms Alta Calidad de Datos
IronPort Image Analysis
Caractersticas:
Phishing - El gran Problema
Prevencin de Prdida de Informacin / Data Loss Prevention
-DLP Defensa Antispam
Defensa ANTI-VIRUS
Virus OutBreak Filters
Tecnologa de Encriptacin PXE
Tratamiento del Contenido
Principales Funcionalidades
Gestin, Supervisin y Reporting
Administracin Centralizada
IronPort Versus Otros Productos del Mercado
Implementacin de IronPort Serie C AntiSpam
Sysmantec Brightmail Gateway
Definicin
Caractersticas de Symantec Brightmail AntiSpam
Detecta ms Spam
Con precisin
Con bajo nivel de administracin
Proteccin de mltiples niveles contra el Spam
Administracin flexible y potente
Otras funciones
Implementacin de Symantec Brightmail Gateway
4
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
Comparando IronPort Anti-Spam y Symantec Brightmail Anti-Spam

Resultados de Tasa de Captura
Resultados de Tasa de Falsos Positivos
Resultados del Desempeo
Sinopsis
Conclusiones
Referencias bibliograficas
INTRODUCCIN
La llegada de Internet a nuestras vidas ha significado una serie de

beneficios de los que mucho se ha hablado y se habla. Pero este enorme
crecimiento de la red tambin ha acarreado una serie de problemas para
sus usuarios, de los que poco se sabe. Para ellos, se est transformando en
moneda corriente verse obligado a recibir en su correo electrnico un
verdadero bombardeo de ofertas de todo tipo.
Esta clase de Correo Electrnico Comercial No Solicitado es conocido en
Internet como "Spam" y se est transformando en un problema serio para
quienes se comunican a travs de la red y para quienes brindan servicios
de acceso a Internet.
5
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
1. QU ES EL SPAM?
"Spam" es la denominacin usada en Internet para el Correo Electrnico
Comercial No Solicitado que est inundando la red. La modalidad que
utilizan estos comerciantes virtuales es enviar un mismo correo electrnico
a grandes listados de usuarios en forma simultnea. El "Spam" cuesta muy
poco dinero a quien lo enva, porque la mayora de los costos son pagados
por los proveedores del sistema de Internet y los propios receptores del
mensaje. La mayora del "Spam" es publicidad comercial, generalmente de
productos o servicios de calidad dudosa, esquemas para hacerse rico
rpido, o para promocionar entradas a sitios de poca relevancia
(generalmente promocionando pornografa u otras propuestas ilegales).
Los Spam son mensajes no solicitados, habitualmente de tipo publicitario,
enviados en cantidades masivas. Aunque se puede hacer por distintas vas,
la ms utilizada entre el pblico en general es la basada en el correo
electrnico
Otras tecnologas de internet que han sido objeto de Spam incluyen grupos
de noticias usenet, motores de bsqueda (spamdexing, para crear la ilusin
de popularidad en ciertas pginas Web), wikis y blogs (blog falso).
El Spam tambin puede tener como objetivo los juegos en lnea, telfonos
mviles a travs de mensajes de texto (Spam sms), los sistemas de
mensajera instantnea (Spam) y ahora la telefona IP (Spit).
Un mensaje electrnico es Spam si:
6
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
La identidad personal del destinatario y el contexto son irrelevantes por
que el mensaje es aplicable por igual a muchos otros destinatarios; y

El destinatario no ha dado permiso de forma demostrable, deliberada,
explcita y sin revocatoria para que se le enve el mensaje; y

La transmisin y recepcin del mensaje aparenta para el destinatario
que provee un beneficio desproporcionado para el remitente.
Figura 1: Cmo es un Spam?
Fuente: Conferencias FIST.Titulo: Tcnicas Anti-Spam.Pagina N 17.

Autor: Germinus
2. POR QU ES MALO EL SPAM?
2.1 Usa recursos de otros.
"Spam" es una forma nica de vender publicidad no deseada, que
obliga al receptor a pagar por recibirla, mucho ms de lo que le cuesta al
remitente enviarla. Para recibir un "Spam", el usuario tiene que pagar por
un servicio de Internet y adems por el uso de la lnea telefnica para
realizar su conexin. Por otra parte, el trfico de centenares de miles de
correos que se ejecuta de una sola vez y casi sin costo para el
remitente, congestiona el uso de los procesadores de las computadoras
7
Curso de
Actualizacin
Profesional
Seguridad en
Redes
Informticas
que prestan los servicios de Internet. Si continuara aumentando

indefinidamente el trfico del "Spam", los proveedores de servicios de
Internet
tendran
que
enfrentar
inversiones
que
encareceran
ampliamente los costos del servicio.
2.2 . Hacen perder tiempo.

Muchos mensajes tienen instrucciones que piden que el receptor
enve un mensaje para remover su nombre de la lista de "Spam". Sin
considerar el absurdo de que alguien tenga que hacer algo para salir de
una lista de la que nunca quiso formar parte, este pedido es
completamente imposible si el volumen aumenta. A menos que los ttulos
sean tan obvios como: "Haga dinero rpido", el usuario siempre debe
perder tiempo en abrir el correo y leer una parte para darse cuenta que
es un "Spam", sin contar el que tambin habra que perder para que den
de baja su nombre de la lista. Si solamente el 1% de los usuarios de
Internet realizara un "Spam" al da al resto de los usuarios, estaramos
recibiendo ms de 1000 "Spams" por da. En ese caso, el tiempo perdido
sera enorme.
2.3 Roban recursos.
Es habitual que la direccin de correo de donde proviene el "Spam"
no sea la misma a la que hay que escribir para comprar sus productos.
Esto es as porque la mayora de las empresas que envan "Spam", lo
hacen violando sistemas inocentes de terceros. Para evitar costos y los
bloqueos contra "Spam", usan una tcnica de "pegar y correr" y lanzan
su correo desde diferentes sitios. Esto ocurre porque es relativamente
fcil violar un sitio para usar su canal de salida y utilizarlo con este
propsito. Los sitios utilizados para este propsito tienen luego todo tipo
de problemas, ya que son rechazados por gran parte de la Internet por
ser fuente de "Spam".
8
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
2.4 Se engaa al cliente.

El costo de anunciar de este modo es tan bajo, que cualquier oferta
justifica el esfuerzo. Por lo tanto, en Internet se acentan todos los
problemas de abuso al consumidor con ofertas engaosas o
directamente falsas, de productos o servicios que suelen ser ficticios
("hgase rico rpido", "obtenga un celular gratis", "Bill Gates le regalar
dinero", etctera). Se apunta a la bsqueda de personas que, por no
estar correctamente informadas de este tipo de prcticas, pueden caer
en los trucos que se les presentan. Como regla general, el tipo de
producto que se ofrece exclusivamente por "Spam" es lo suficientemente
malo como para que no justifique la inversin de una campaa comercial
normal para lanzarlo.
2.5 Suele ser ilegal.
El "Spam" juega con la disparidad de los diferentes marcos legales
de proteccin al consumidor que existen en los pases y la dificultad para
ubicar a quien los enva, convirtindose as es la mejor va para
promocionar productos o servicios ilegales o rechazables, como cadenas
de dinero, acceso a pornografa, difusin de pornografa infantil y otros.
Por otra parte, las prcticas habituales de recoleccin y trfico de
direcciones se basan en el engao a los clientes y en falsas
promociones para conseguir direcciones de usuarios. La existencia de
un mercado de direcciones de usuarios para el "Spam" ha abaratado
enormemente la posibilidad de diseminar virus de todo tipo.
3. ESTADISTICA DEL PROBLEMA DE LOS SPAMS
Figura 2: Distribucin de servidores por MTA
9
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
Fuente: Red Cientifica Peruana.Titulo: Implicacias del

Spam.Pagina N 12 Autor: Jack Daniel Caceres Meza
Figura 3: Host que envan Vs. Hosts reportados como Spam

Figura 4: E-Mail enviado Vs. E-Mail reportado como spam
10
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
DAY

Figura 5: Spam por Pases
Fuente: Conferencias FIST.Titulo: Tecnicas Anti-Spam.Pagina N

10. Autor: Germinus
Figura 6: Spammers por Pases
11
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
Fuente: Conferencias FIST.Titulo: Tcnicas Anti-Spam.Pagina

N 11. Autor: Germinus
4. MARCO LEGAL PERUANO SOBRE LOS ATAQUES SPAM

4.1. ART. 5.- Correo electrnico comercial no solicitado. Todo correo
electrnico comercial, promocional o publicitario no solicitado,
originado en el pas, debe contener:
La palabra "publicidad", en el campo del "asunto" (o subject) del
mensaje.
Nombre o denominacin social, domicilio completo y direccin
de correo electrnico de la persona natural o jurdica que emite
el mensaje.
La inclusin de una direccin de correo electrnico vlido y
activo de respuesta para que el receptor pueda enviar un
mensaje para notificar su voluntad de no recibir ms correos no
solicitados o la inclusin de otros mecanismos basados en
internet que permita al receptor manifestar su voluntad de no
recibir mensajes adicionales.
4.2. ART. 8.- Derecho a compensacin pecuniaria. El receptor de

correo electrnico ilegal podr accionar por la va del proceso
12
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
sumarsimo contra la persona que lo haya enviado, a fin de obtener

una compensacin pecuniaria, la cual ser equivalente al uno por
ciento (1%) de la Unidad Impositiva Tributaria por cada uno de los
mensajes de correo electrnico transmitidos en contravencin de la
presente ley, con un mximo de dos (2) Unidades Impositivas
Tributarias.
5. TECNICAS DE SPAM
Algunas de las tcnicas de propagacin de Spam por la Internet:
Envo de correo - verificacin de la recepcin.

Open relay, open proxies.
Troyanos y computadoras zombis.
Suplantacin (spoofing), camuflaje (munging).
Ataques del tipo DDoS (distributed denial-of-service) contra servicios
DNSBL y otras fuentes anti-spam.
Emplear configuraciones deficientes de servicios DNS.
Emplear dominios caducados.
NDR falso (notificacin de entrega fallida -Non-Delivery Report).
Mensajes con slo un archivo con extensin .jpg o .gif.
Envo alfabtico (mensajes enviados a grupos en orden alfabtico).
Envo horizontal (muchos mensajes enviados a muchos grupos).
Envo vertical (muchos mensajes enviados a un grupo).
Crosspost (un mismo mensaje se enva una vez a varios grupos).
Multi-Post (un mismo mensaje se enva varias veces a varios
grupos).
Hash Buster (contenido vlido mezclado con contenido errtico).
Payload (la parte del Spam que realmente se difunde).
Divisin de la lnea de Asunto del mensaje mediante falsos saltos de
lnea
Subject: =?utf-8?q?Drogas Idnti cas con p?=
=?utf-8?q?equeo valor monetar?=
=?utf-8?q?io!?=
Uso de caracteres nulos (codificacin de tipo Quoted-Printable)
<=00H=00T=00M=00L=00>=00<=00H=00E=00A=00D=00>=00=0D=00=
0A=00<=00M=00E=00=
13
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
Permutar letras en las palabras usadas. El mensaje sigue siendo

legible para el receptor, pero los filtros no reconocen las palabras
usadas
Fnilament lorg predre peso y me aelgro basatnte
Invertir el texto, utilizando la anulacin derecha-a-izquierda ( righttoleft override ) de Unicode, expresada como entidades HTML
(‮ y ‬)
Your B‮na‬k C‮dra‬
Link‮ni‬g
Encapsular una etiqueta <map> con una de tipo HREF, de tal forma
que en lugar de una URL maliciosa aparezca otra legtima:
<A HREF="<URL_LEGTIMA>">
Uso de caracteres ASCII para dibujar el contenido del mensaje.

Figura 7: Spam ASCII
Fuente: IronPort System. Titulo: El E-Mail Seguro Subiendo

el Nivel. Pgina N 7. Autor: Mario Velarde
Uso de etiquetas HTML incorrectas.

Codificacin de URLs.
Empleo de entidades HTML para ocultar determinadas letras
Uso de tinta invisibles.
Incluir el mensaje de spam como archivo adjunto en otro mensaje
vlido.
Uso de CSS (Cascading Style Sheets) en los mensajes de Spam
para ocultar determinadas palabras o partes del mensaje
Spam con imagen 2.0.
14
Curso de
Actualizacin
Profesional
Seguridad en
Redes
Informticas
Figura 8: Spam con imagen 2.0
Fuente: IronPort System. Titulo: El E-Mail Seguro Subiendo el

Nivel. Pgina N 7. Autor: Mario Velarde
6. QU ES UN ANTISPAM?
6.1.
Definicin
El Antispam es lo que se conoce como mtodo para prevenir el
"correo basura" (Spam = correo electrnico basura).
Tanto los usuarios finales como los administradores de sistemas de
correo electrnico utilizan diversas tcnicas contra ello. Algunas de
estas tcnicas han sido incorporadas en productos, servicios y
software
para aliviar la carga que cae
sobre usuarios y
administradores. No existe la frmula perfecta para solucionar el

problema del Spam por lo que entre las mltiples existentes unas
funcionan mejor que otras, rechazando as, en algunos casos, el
correo deseado para eliminar completamente el Spam, con los
costes que conlleva de tiempo y esfuerzo.
Las tcnicas antispam se pueden diferenciar en cuatro categoras:
las que requieren acciones por parte humana; las que de manera
automtica son los mismos correos electrnicos los administradores;
las que se automatizan por parte de los remitentes de correos
electrnicos; las empleadas por los investigadores y funcionarios
encargados de hacer cumplir las leyes.
15
Curso de
Actualizacin
Profesional
6.2.

Seguridad en
Redes
Informticas
Soluciones Antispam
Para combatir el problema en una organizacin se pueden
plantear distintas alternativas en funcin de los requisitos de sta:
Filtrar (se puede hacer en mltiples puntos)

Desplegar una solucin de anti-Spam basada en reglas
(heursticos)
Desplegar una solucin de anti-Spam basada en aprendizaje
estadstico.
Controlar (debe hacerse en la entrada y salida)
Implementar gestin y control de su ancho de banda. Revisin
peridica.
Estas alternativas pueden utilizarse de forma conjunta o
separada para reducir el problema derivado del Spam.
6.2.1. Soluciones Basados en Reglas

Una de las implementaciones iniciales de control de Spam es
la introduccin de sistemas basados en reglas que determinan qu es
Spam y qu no lo es. Habitualmente las reglas estn basadas en
Anlisis del origen del Spam (direcciones IP o direcciones)

para determinar si es lcito:
- Listas negras: Real-Time Block Lists (RBLS), DNS
-
Block Lists (DNSBLS) y XBLs (Xploit bot lists)

Origen del correo (validar el dominio: SPF, Yahoo!
Domain Keys)
Anlisis del contenido:
- De las cabeceras (permite rechazar antes de encolar)
- En el cuerpo del mensaje (una vez encolado)
Bsicamente, si cumple un nmero suficiente de las reglas se califica

como Spam.
6.2.1.1. Ventajas
- La tasa de falsos positivos es relativamente baja
-
(aunque no cero)
Pueden adaptarse manualmente al Spam recibido.
6.2.1.2. Desventajas
16
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
Las reglas deben actualizarse de forma peridica.

Los Spammers siempre intentarn saltrselas.
Los bloqueos con RBLS pueden bloquear sistemas
legtimos (pero mal configurados) quin los gestiona?
(SPEWS).
6.2.1.3. Ejemplo Despliegue en Pasarela

- Bsicamente una solucin basada en reglas es un
motor de inspeccin adicional previo a la entrada de
-
correo (relay adicional)

Habitualmente requiere hablar con Internet para:
Acceder a RBLS o DNSBL
Descargar bases de datos de reglas.
Adems si es el primer punto puede rechazar sin
encolar (ej: greylisting).
Figura 9: Ejemplo de Despliegue en Pasarela
Fuente: Conferencias FIST.Titulo: Tcnicas Anti-Spam.Pgina N 22.

Autor: Germinus
6.2.2. Solucin Basada en Anlisis Estadstico
Para solventar algunas de las desventajas de los sistemas
basados en reglas fijas se han diseado sistemas basados en
aprendizaje estadstico:
Habitualmente basados en filtros bayesianos.

Generan reglas basadas en mensajes
clasificados como Spam.
previamente
17
Curso de
Actualizacin
Profesional
Seguridad en
Redes
Informticas
Aplican probabilidades para determinar si un mensaje es o no
Spam.
Son muy fciles de implementar en los MUAs y se estn
incluyendo de serie en muchos clientes de correo (Mozilla
Thunderbird, Outlook, etc.)
6.2.2.1. Ventajas
- Permite una adaptabilidad mayor al Spam que recibe la
-
organizacin.
Puede detectar caractersticas no evidentes en el
Spam.
Puede detectar Spam para el que no exista una regla
definida.
La adaptacin de los filtros puede hacerse de forma
automtica y sin intervencin.
- Se deben alimentar con una buena fuente de Spam.
- Habitualmente tienen slo en cuenta el contenido de
-
los mensajes.
Puede ser difcil generar reglas para mensajes
basados
en
contenido
no
analizable
(imgenes
embebidas, Java Script)

Tambin es posible contaminarlas.
6.2.2.3. Ejemplo de despliegue en pasarela

Es necesario alimentar a la herramienta para generar las
reglas:
-
Separar mensajes con Spam manualmente.

Establecer buzones para direcciones de correo falsas
que los Spammers intentan utilizar.
Figura 10: Ejemplo de Despliegue en Pasarela
18
Curso de
Actualizacin
Profesional
Seguridad en
Redes
Informticas
Fuente: Conferencias FIST.Titulo: Tcnicas Anti-Spam.Pgina N

25. Autor: Germinus
6.2.3. Implementar Gestin de Ancho de Banda
En ltimo trmino el Spam es un problema que consume
recursos (spool de disco, comunicaciones, etc.) y, aunque se corte en
la
pasarela
un
Spammers
puede
colapsar
la
organizacin
consumiendo todos sus recursos. La nica solucin en este

escenario es introducir sistemas de gestin de ancho de banda:
Priorizar las comunicaciones de los servidores de correo de la
organizacin con otros habituales.

Controlar el trfico de correo y detectar fcilmente un
consumo excesivo de recursos.

Dos posibilidades: sistema genrico de gestin o throttling de
correo.
6.2.3.1. Ventajas
- Permite controlar en tiempo real el consumo de
-
recursos y actuar en consecuencia.

(Si es genrico) Puede utilizarse para gestionar otros
servicios.
Permite identificar rpidamente los servidores con los
que la organizacin se comunica habitualmente
(proveedores de servicio)
Puede ralentizar los ataques y evitar as el consumo de
recursos
19
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
La revisin del consumo debe ser permanente, aunque
se pueden definir polticas.

(Si es genrico) Se trata de un recurso ms orientado a
la gestin de comunicaciones que a la gestin del
servicio (distintas personas).
Un sistema de gestin de ancho de banda para controlar el correo

estara conectado entre el router de salida y los sistemas de
cortafuegos de la organizacin. Se configurara para priorizar
servidores de correo en la entrada y salida.
Figura 11: Despliegue de la Gestin de Ancho de Banda
Fuente: Conferencias FIST.Titulo: Tcnicas Anti-Spam.Pgina N

27. Autor: Germinus
6.3. Como Evitar el Antispam
6.3.1. Deteccin de Spam
El usuario suele tender a ignorar los Spam sin poner ningn
tipo de medio para evitarlo, por la sencilla razn de que desea que le
lleguen todos los correos electrnicos, ya sean "buenos" o "malos",
de esa manera tiene la seguridad de que no pierde (no se le bloquea)
ningn correo de los que se suelen considerar "buenos". Este hecho
de saber diferenciar entre los correos buenos de los malos es el
fundamento de los programas o sistemas Antispam. Mientras algunos
sistemas permiten a los usuarios finales tener cierto control sobre
este equilibrio, la mayora de las tcnicas suelen tener errores por
donde termina entrando la basura, por ejemplo, existen Antispam
cuya tcnica consiste en hacer perder gran cantidad de correos
20
Curso de
Actualizacin
Profesional
Seguridad en
Redes
Informticas
electrnicos basura con la finalidad de reducir el nmero de correos

legtimos.
La deteccin de Spam basado en el contenido del mensaje de correo
electrnico, ya sea mediante la deteccin de palabras clave como
"viagra" o por medios estadsticos, es muy popular. Estos mtodos
pueden ser muy precisos cuando se sintoniza correctamente a los
tipos de correo legtimo que una persona recibe, pero tambin
pueden cometer errores tales como la deteccin de la palabra clave
"cialis" en la palabra "especialista". El contenido tampoco determina
si el Spam estaba destinado a una direccin particular o bien de
distribucin masiva, las dos principales caractersticas de Spam. Un
ejemplo podra ser: si un amigo le enva una broma que menciona
"viagra", los filtros de contenido pueden marcarlo como Spam a pesar
de que no ha sido enviado con ningn tipo de maldad.
Las agrupaciones ms populares son las conocidas como listas
negras, que son listas de direcciones IP de Spammers conocidos,
que abren enlaces, etc, en resumen, zombis de Spam.
Tambin existen los spamtraps, que son direcciones de correo
electrnico invlidas o que no se utilizaron durante mucho tiempo y
que se utilizan para recoger correo basura.
6.3.2.
Tcnicas de usuarios finales

Existen tcnicas que los usuarios finales pueden utilizar
para restringir la disponibilidad de sus direcciones de correo

electrnico, la reduccin o la prevencin de su atractivo para el
Spam.
6.3.3.
Direccin munging
Direccionamiento annimo, o con un nombre y direccin
falsa, es una manera de evitar la direccin de correo electrnico

recolectora, aunque los usuarios deben asegurarse de que la
direccin falsa no es vlida. Los usuarios que quieren recibir correo
21
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
legtimo podrn alterar sus preferencias en sus cuentas de manera

que los usuarios puedan entenderlo, pero los Spammers no pueden.
Por
ejemplo:
podra
joe
joeNOS@PAM.example.net.invalid.
example.net
La
direccin
renombrado
munging,
a
sin
embargo, puede provocar respuestas legtimas a ser perdido. Si la

direccin del usuario es invlida, debera aparentar estar activa, o ser
de otra persona o algn servidor. Otras formas para evitar este
munging es permitiendo a los usuarios ver la direccin real, pero
ocultarlo al correo electrnico recolector con mtodos tales como la
visualizacin de la totalidad o parte de la direccin de correo
electrnica en pginas webs como una imagen, un logotipo de texto
reducido a su tamao normal usando CSS en lnea, o como texto
mezclada con el orden de los caracteres restaurado usando CSS.
6.3.4.
Evitar responder al Spam

Los Spammers solicitan a menudo respuestas respecto al
contenido de sus mensajes, -incluso admiten las respuestas como

"No me spamees"- como la confirmacin de que una direccin de
correo electrnico es vlida. Del mismo modo, muchos mensajes de
Spam contienen enlaces o direcciones que el usuario se dirige a
seguir para ser removido de la lista de correo de Spammers. En
casos extremos, los spams-combatientes han puesto a prueba esos
vnculos, confirmando con ello que no conducen a la direccin del
destinatario, la redireccin, en todo caso, conducen a ms Spam.
Las direcciones de los remitentes son a menudo falsificadas en
mensajes de Spam, incluyendo el uso del destinatario la propia
direccin como la direccin del remitente falsificado, con el fin de
responder al Spam que pueda resultar en entregas o no podr llegar
a inocentes usuarios de correo electrnico cuya direccin han sido
objeto de abusos.
En Usenet, es ampliamente considerado an ms importante para
evitar responder al Spam. Muchos proveedores de software tienen
22
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
que buscar y destruir los mensajes duplicados. Alguien puede ver un

Spam y responder a el antes de que sea cancelado por su servidor,
eso puede tener un efecto de reposting para ellos; al no ser un
duplicado, la copia reposted durar ms tiempo.
6.3.5. Formularios electrnicos de contacto
Los formularios electrnicos de contacto permiten a los
usuarios mediante el envo de mensajes remitir su correo electrnico,
rellenando los formularios en un navegador web. Al solicitar el
servidor web una serie de datos, tambin se puede facilitar con ello la
transmisin de una direccin de correo electrnico. El usuario nunca
ve la direccin de correo electrnico. Los formularios de contacto
tienen el inconveniente de que requieren de un sitio web que apoya a
los scripts del lado del servidor. Tambin son incmodas al remitente
del mensaje ya que no son capaces de utilizar sus clientes preferidos
de correo electrnico. Por ltimo, si el software utilizado para ejecutar
los formularios de contacto que est mal diseado puede convertirse
en herramientas de Spam en su propio derecho. Adems, muchos
Spammers han adoptado para s el uso de formularios de contacto
para enviar Spam a los destinatarios.
6.3.6. Desactivar HTML en correo electrnico
Muchos programas de correo modernos incorporan la
funcionalidad del explorador de Web, tales como la visualizacin de
HTML, URL, y las imgenes. Esto puede exponer al usuario al ataque
incluso con las imgenes Spam. Adems, el Spam escrito en HTML
pueden contener fallos web que permite a los Spammers verificar que
la direccin de correo electrnico es vlida y que el mensaje no ha
sido atrapado en los filtros de Spam. Los programas compilados en
JavaScript se pueden utilizar para dirigir el navegador Web del
usuario a una pgina de publicidad, o para hacer el mensaje de
Spam difcil de cerrar o eliminar. Los mensajes de Spam evitan los
ataques contra las vulnerabilidades de seguridad en el renderizador
23
Curso de
Actualizacin
Profesional
Seguridad en
Redes
Informticas
de HTML, el uso de estos agujeros para instalar el software espa.

(Algunos de los virus son sufragados por los mismos mecanismos).
Los
clientes
de
correo
electrnico
que
no
se
descarga
automticamente y muestran HTML, imgenes o archivos adjuntos,

tienen menos riesgos de ser spameados, al igual que los clientes que
se han configurado para no mostrar estos por defecto.
6.3.7. Tener disponibles varias direcciones de correo electrnico
Muchos usuarios de correo electrnico tienen a veces la
necesidad de dar su direccin a un sitio sin tener la garanta absoluta
de que el sitio no enviar Spam. Una forma de mitigar este riesgo
est en proporcionar una direccin de correo electrnico temporal
que remite los correos a la direccin de su cuenta real, que el usuario
puede desactivar o abandonar. Las direcciones se pueden manipular
manualmente, haciendo que se deshabiliten despus de un tiempo o
tambin deshabilitndola despus de un cierto nmero de mensajes
transmitidos. Los sitios que no actan adecuadamente este tipo de
direcciones se encuentran en estado de ilegalidad.
6.3.8. Contraseas buenas
Algunos sistemas solicitan contraseas reales de remitentes
para as infundirles la confianza de que no se trata de un sitio que
utilizar
su
cuenta
para
realizar envos de
correo
basura.
Normalmente la direccin de correo electrnico y su contrasea se

solicitan en una pgina web, la contrasea ir incluida en el "asunto"
del envo de correo electrnico. Estas contraseas a menudo se
combinan con sistemas de filtrado, para contrarrestar el riesgo de que
un sistema de filtrado accidentalmente identifique una contrasea
como Spam de un mensaje.
6.3.9. Denunciar el Spam
La bsqueda de un Spammers del ISP y la falta de
informacin puede conducir al servidor spamer liquidado. Por
desgracia, suele ser difcil localizar al Spammers, y si bien existen
algunas herramientas en lnea que ayudan, no siempre son las ms
24
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
correctas. Ocasionalmente, los Spammers emplean sus propios

netblocks. En este caso, el abuso de contacto para el netblock el
Spammers puede ser s mismo y puede confirmar su direccin.
Una herramienta til y gratuita que puede utilizarse en la
presentacin de informes de Spam est tambin disponible
(Complainterator). El
Complainterator
enviar
automticamente
generados por una denuncia al secretario del Spam y el registrador

de dominio de sus servidores de nombres.
7. QU ES UN GATEWAY-ANTISPAM?
7.1.
Definicin
Los Gateway Antispam permiten:
La gestin de cuentas de correo electrnico masivo no

solicitado para la frase crucial y las palabras claves dentro de
los contenidos.
Enve correo electrnico masivamente gestin de palabras
para detectar el texto del correo electrnico masivo no
solicitado y filtra opcin del texto para las mismas palabras.

Facultar y desactivar correo electrnico masivo no solicitado
inspecciona el id especfico del remitente.

El bloqueo y filtro de mensajes de correo electrnico
masivamente el cual se bloquea en el portal de acceso.
7.2.
Ventajas
El proceso de analizar los correos en busca de Spam es

puesto fuera de nuestro servidor de correo, por lo que no
afecta el rendimiento de nuestro servidor de correo.

Se puede reemplazar fcilmente en caso de que se necesite
ms potencia, sin tocar la configuracin de nuestro servidor
de correo.
Se puede poner todo un pool, de servidores que se repartan
la carga del filtrado en caso de que nos enfrentemos a un alto
25
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
trfico, sin que sea necesario cambiar la configuracin de
nuestro server de correo.

Puede actuar con cualquier servidores de correo electrnico,
cmo sendmail, exim, postfix, qmail, Microsoft Exchange, etc.,
pues el filtrado se produce durante la sesin SMTP, no al
momento de hacer la entrega del correo al buzn.
7.3.
Soluciones de Gateway AntiSpam
7.3.1. Gateway Antispam Propietarios

7.3.1.1.
IronPort Series C
Creada por pioneros en la mensajera de Internet
procedentes de Hotmail, eGroups, Listbot y Yahoo, IRONPORT

SYSTEMS es hoy en da el primer proveedor de productos y
servicios de infraestructura y seguridad de correo electrnico.
IronPort ha desarrollado una familia de productos basados
en Appliances para Gateway de correo con alto desempeo y
sencillez de uso sin precedentes en el mercado, con un costo total
de propiedad (CTO) muy bajo y se constituyen por si en equipos
Mail Transfer Appliance (MTA) de alta Seguridad de GateWay.
Figura 12: Arquitectura Tecnolgica de IronPort Serie C
26
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
Fuente: www.cisco.com Titulo:IronPort Modelos Serie C.Pagina

N 27. Autor: Company IronPort
Figura 13: La Visin del IronPort Serie C

Figura 14: IronPort Serie C Soluciones
27
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas

7.3.1.1.1. IronPort SenderBase
La red SenderBase de IronPort provee una visin

sin precedentes de las amenazas a la seguridad en todo el
mundo, en tiempo real. SenderBase puede ser utilizado como
un "servicio de reporte de crdito" para correo electrnico,
ofreciendo informacin comprensiva que los proveedores de
Internet (ISPs) y las compaas pueden utilizar para diferenciar
remitentes legtimos de spammers y otros atacantes y le
permite a los administradores de correo electrnico tener una
clara visin sobre quin les enva correo.
7.3.1.1.1.1.
Identifica Amenazas
SenderBase recolecta informacin de 10

veces ms redes que los sistemas de monitoreo de la
competencia, lo que se traduce en ms del 25% del trfico
web y de correo electrnico del mundo. Este volumen
provee una muestra de tamao significativo, resultando en
la inmediata y precisa deteccin hasta de remitentes de
bajo volumen. Un altamente diverso grupo de ms de
100,000 organizaciones, incluyendo las ms grandes redes
del mundo, contribuyen a SenderBase dando informacin a
una increble tasa de 5,000 millones de mensajes por da.
La red SenderBase ofrece a los administradores una
visibilidad de las amenazas de seguridad alrededor del
mundo en tiempo real sin precedentes.
7.3.1.1.1.2.
Tener una Visin Completa
28
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
La amplitud de la informacin es clave al

momento de determinar con certeza una amenaza de
seguridad. Si se observa un conjunto estrecho de datos se
pueden determinar falsos positivos. Por ejemplo, el
volumen es un parmetro muy interesante. Los altos
niveles de correo se correlacionan con el spam, sin
embargo hay instancias legtimas de alto volumen, como
los remitentes que envan alertas de noticias importantes.
Si el volumen fuera la nica mtrica, muchos correos
legtimos seran bloqueados. No obstante, si se examina el
volumen adems de otros parmetros como las quejas de
los usuarios finales, las caractersticas zombis y el pas de
origen, es posible obtener conclusiones ms acertadas.
SenderBase examina el ms amplio rango de datos en la
industria, con ms de 90 parmetros acerca del trfico de
correo electrnico y 20 parmetros acerca del trfico Web.
Los parmetros que se rastrean incluyen volumen global de
envo, niveles de quejas, cuentas "spamtrap", si el DNS del
remitente resuelve adecuadamente y acepta correo de
regreso, pas de origen, informacin de listas negras,
probabilidad de que los URLs aparezcan como parte de un
ataque de spam o virus, estatus de Proxy abierto, uso de
espacio IP no propio, recipientes vlidos e invlidos, y otros
parmetros. Nunca haba sido tan fcil distinguir a los
"buenos" de los "malos" con una sola aplicacin.
7.3.1.1.1.3.
Solicitar la Ms Alta Calidad de Datos
IronPort cuenta con ms de tres aos de

experiencia en el manejo de calidad de datos e integridad.
Desarrollamos el Data Quality Engine para evaluar la
calidad de un conjunto de datos al correlacionar en forma
cruzada diversas fuentes de datos con referencias o
benchmarks conocidas. Este sistema le permite a
SenderBase acceder a fuentes de datos "sucias" y an as
derivar algn valor al balancear adecuadamente los datos
de acuerdo a la calidad. Adems, se realizan calibraciones
peridicas de datos y chequeos manuales.
Figura 15: SenderBase IronPort Serie C
29
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
Fuente: www.cisco.com Titulo:IronPort Modelos Serie C. Autor:

Company IronPort
Ms de 100,000 organizaciones participan en la red IronPort
SenderBase Network, constituyendo as el sistema de
monitoreo de trfico Email y Web ms grande del mundo.
Figura 16: SenderBase IronPort Serie C

Company IronPort
7.3.1.1.2. IronPort Image Analysis
El crecimiento en la disponibilidad de dispositivos
para captura de imgenes agregado a la velocidad de
conexin en Internet y en redes ha permitido a los usuarios
corporativos crear, cargar y compartir imgenes ilcitas en
forma global en cuestin de segundos.
30
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
Simplemente, las compaias se encuentran bajo los siguientes

riesgo por no atajar el tme ade contenido inapropiado en el
lugar de trabajo:
-
Responsabilidad
legal
impuesta
por
regulaciones
Prdida de reputacin e imagen corporativa
Disminucin en la productividad del usuario
Abuso de las redes corporativas
leyes
Para poder lidiar con el problema de la pornografa y muchos

otros temas, las compaias tpicamente implementan un
reglamento llamado Poltica de Uso Aceptable -Acceptable Use
Policy (AUP)-. El sistema de anlisis de imgenes de IronPort
ayuda a las compaias en el cumplimiento de PUA
identificando imgenes ilcitas en la red de correo corporativa.
Los beneficios de esta solucin incluyen:
-
Identificar los transgresores de la Poltica

Educar a lo sospechosos sobre las reglas de la
compaa y leyes locales

Evitar la responsabilidad legal publicando los mejores
esfuerzos para prevenir y corregir el acoso

Preservar la imgen de la compaia
Figura 17: Anlisis de Imgenes
31
Curso de
Actualizacin
Profesional
Seguridad en
Redes
Informticas
Fuente: www.cisco.com Titulo: IronPort Modelos Serie C. Autor:

Company IronPort
7.3.1.1.2.1. Caractersticas:
Deteccin Multi-Capa se activa durante el proceso

de escaneo. IronPort Image Analysis utiliza 11
mtodos diferentes de deteccin en los archivos
adjuntos para generar un veredicto. Los mtodos de
deteccin incluyen avanzadas tcnicas, separacin
de partes del cuerpo y muchas ms
Veredicto Configurable. Las reglas de filtrado de

anlisis
de
imgen
permite
al
administrador
determinar que acciones tomar basado en los

veredictos Clean, Suspect e Inappropriate y
representan un valor numrico asignado por el
algoritmo
para
determinar
la
probabilidad
de
contenido ilcito. Se recomiendan los siguientes

valores, los cuales pueden ser ajustados acorde a
cada empresa:
- Clean: 0 a 49
- Suspect: 50 a 74
- Inappropriate: 75 a 100
Escaneo de imgenes embebidas que permite la
inspeccin de los siguientes tipos de archivos
32
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
embebidos y adjuntos: JPEG, BMP, PNG, TIFF, GIF,

TGA, ICO and PCX.
Integracin de Polticas la cual provee a los

usuarios la capacidad de tomar acciones basadas en
polticas determinadas.
7.3.1.1.3. Phishing - El gran Problema

Phishing es el intento criminal y fraudulento de
adquirir informacin sensible como nombre de usuario,
passwords detalles de tarjetas de credito, creando una
mscara que simula la entidad verdadera en una comunicacin
electrnica que tpicamente es enviada por correo electrnico.
Figura 18: Crecimiento Evolutivo de Ataques Phishing

Company IronPort
Como miembro de Anti-Phishing Working Group (APWG),
IronPort Systems esta dedicado y comprometido en solucionar
la amenaza de Phishing. Los appliances de seguridad de
gateway proveen una primera lnea de defensa en una
aproximacin de seguridad para combatir ese problema en
forma efectiva y total.
33
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
7.3.1.1.4. Prevencin de Prdida de Informacin / Data

Loss Prevention -DLPLa Prdida de Informacin es un muy serio
problema para las compaias dado que el nmero de
incidentes
contina
creciendo.
Sin
importar
si
es
malintencionado o un error involuntario, la prdida de

informacin puede disminuir el valor de la marca, reducir el
valor de la accin y daar el buen nombre y reputacin de la
misma.
Puede ser correo electrnico, mensajera instantnea, correo
web, una forma de sitio web una transferencia de archivos,
las comunicaciones electrnicas que salen de la entidad an
se mantienen sin control en gran medida y no son
monitoreadas en su camino o en el destino generando el
potencial problema que informacin confidencial caiga en
manos equivocadas.
Figura 19: Prevencin de Perdida de Informacin
34
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas

Company IronPort
IronPort soluciona el problema de Prdida de Informacin
utilizando filtros predefinidos para regulaciones HIPAA, GLB,
SOX y varios ms; encriptacin de correo, escaneo de
contenido multi-protocolo de alto desempeo, proteccin web y
de mensajera instantnea y herramientas de administracin
corporativa.
Los MTA de IronPort cuentan con un esquema de servicios
aplicables basados en mdulos por subscripcin por periodos
de uno o tres aos. Cada uno de ellos, cumple funciones
especficas dentro del MTA pero a la vez interactan de forma
tal que cuando se implementan todos los mdulos (situacin
ideal) se obtiene la mxima proteccin en todo el sistema de
correo electrnico corporativo.
7.3.1.1.5. Defensa Antispam
35
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
Los filtros de reputacin de e-mail (E-mail

Reputation Filters) de IronPort crean una primera barrera de
defensa crtica, que bloquea el 80% del spam que entra en la
conexin TCP. En cambio, para el 20% de los mensajes
dudosos es esencial limitar la velocidad y analizar el
contenido de cada uno. Este es el cometido del segundo nivel
de defensa, IronPort Antispam, que se basa en la tecnologa
exclusiva CASE (Context Adaptive Scanning Engine) de
IronPort, que examina el contexto completo de cada mensaje.
La combinacin de la puntuacin atribuida por CASE, de la
nota de reputacin del remitente y de la nota de reputacin
obtenida por el sitio Web al que el e-mail remite al lector,
obtiene resultados ms fiables que las tcnicas convencionales
de filtrado de spam de un solo nivel. La tasa de captura de
IronPort Antispam es superior al 98%, con una tasa de falsos
positivos inferior a 1 sobre un milln. Para las organizaciones
que desean que sus usuarios gestionen su spam, IronPort
propone la Spam Quarantine. Se trata de una cuarentena de
spam que da acceso libre a los usuarios, permitindoles
verificar por s mismos sus mensajes y la eventual presencia
de falsos positivos. Es accesible a travs de un navegador web
o un cliente e-mail y se integra con los sistemas de mensajera
y de directorios existentes en su empresa.
En el marco de la lucha contra los virus en la pasarela de
mensajera, los filtros de ataques de virus (Virus Outbreak
Filters) tambin en este caso permiten un primer nivel de
defensa contra las alertas de virus. Sin embargo, es
igualmente importante desplegar en la pasarela un antivirus
basado en firmas, que permitir verificar el 20% de los
mensajes que son aceptados por los filtros de reputacin.
36
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
Con este objeto, IronPort tambin ha incorporado las firmas

antivirus de Sophos, que se benefician de una administracin y
un reporting unificados. El motor antivirus de Sophos est
estrechamente acoplado a IronPort Virus Outbreak Filters, lo
cual permite analizar los mensajes en modo prueba antes de
liberarlos de la cuarentena. IronPort y Sophos colaboran para
identificar y bloquear los ataques de virus, teniendo como
objetivo la proteccin ptima de sus clientes comunes. Para un
mximo de eficacia, el motor de Sophos opera sobre los
mensajes en memoria. Un mensaje se pone en cola de espera
una sola vez en disco, despus, se examina en mltiples
ocasiones en memoria. Las reglas de Sophos estn totalmente
integradas en los filtros de mensajes de IronPort.
7.3.1.1.6. Defensa ANTI-VIRUS
Los modelos de la Serie C incorporan como

segundo mdulo, proteccin AV, la cual se efecta en forma
interna en el MTA utilizando motores especficos para tal fin de
dos proveedores altamente reconocidos en el mercado como
son MaCafee y Sophos. De esta forma se puede garantizar en
el procentaje ms alto del mercado que los correos que
finalmente llegarn al servidor de correo y al cliente final se
encuentran libres de problemas.
7.3.1.1.7. Virus OutBreak Filters
Como parte del cuarto mdulo, IronPort Virus
Outbreak Filters, integrados en los appliances Serie C, realizan
una evaluacin de las amenazas en los mensajes entrantes y
salientes y ponen en cuarentena los mensajes sospechosos.
Los mensajes se liberan automticamente una vez que las
firmas de los proveedores de anti-virus tradicionales se han
desplegado.
37
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
El motor de exploracin antivirus de Sophos, lder del mercado,

est integrado en los appliances IronPort Serie C para ofrecer
la proteccin contra virus en el gateway ms efectiva hoy en
da. El objetivo de Sophos es ofrecer la solucin antivirus ms
avanzada para clientes corporativos; su motor utiliza diversas
tcnicas para detectar y limpiar las principales formas de virus.
De esta forma la exposicin al Da_Cero se ha reducido en la
gran mayora de los casos a solo minutos, ya que las alarmas
se desplegan en forma automtica a todos los MTA's alrededor
del mundo una vez se detecta alguna amenaza de esta
naturaleza.
7.3.1.1.8. Tecnologa de Encriptacin PXE
El sistema de encriptacin de IronPort -PostX- esta
incorporado dentro del cuarto mdulo aplicable a todos los
modelos. Se constituye en un servicio de la ms alta calidad y
seguridad en procesos de encriptacin de correo electrnico,
con grandes ventajas y caractersticas. Una de ellas es el
hecho de no tener que utilizar o instalar cliente alguno en el
equipo final que recibe el correo encriptado. El proceso es muy
sencillo, una vez se genera un correo encriptado, el
destinatario recibe un correo con instrucciones para registrarse
en CRES -Cisco Registration Service-, procedimiento que una
vez efectuado le permitir al destinatario abrir el correo original
el cual encontrar como un archivo adjunto. CRES nicamente
mantiene el registro de usuario y password de destinatarios,
nunca el correo encriptado o rastro alguno del mismo.
38
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
Figura 20: Funcionamiento de la Tecnologa PXE

Company IronPort
IronPort ofrece la posibilidad a aquellas entidades que
requieren mantener la base de datos de destinatarios de
correo
encriptado
sus
correspondientes
passwords
localmente en sus instalaciones, de implementar en forma

adicional el sistema IronPort Encription Appliance -IEA- el cual
puede integrarse en forma transparente con cualquiera de los
modelos Serie C.
7.3.1.1.9. Tratamiento del Contenido
Los appliances IronPort Serie C ofrecen
capacidades de filtrado rpido, flexible y preciso de los
mensajes, basados en la direccin IP de origen o de destino, el
dominio o la direccin, el encabezamiento, las palabras clave
en el cuerpo del mensaje, archivos adjuntos, reputacin del
remitente, etc.
39
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
Con un MTA de IronPort cualquier entidad podr reducir en

forma dramtica la cantidad de appliances instalados de otras
marcas y dedicados a funciones especficas cada uno, como
se ha demostrado en todos los ISP's usuarios hoy en da de la
tecnologa IronPort.
Figura 21: Tratamiento de Contenidos con IronPort Series C

Company IronPort
7.3.1.1.9.1.
Principales Funcionalidades
Tecnologa MTA avanzada para gestin de
mensajera electrnica.
Defensa Anti-Spam con filtros de reputacin
y IronPort Anti-Spam: ndice rcord en captura
del spam con imgenes (> 97%).

Defensa Anti-Virus con Virus Outbreak
Filtres y Sophos Anti-Virus.

Anlisis de contenido: filtrado y encriptacin
de los mensajes.
40
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
7.3.1.1.10. Gestin, Supervisin y Reporting

IronPort ofrece herramientas muy elaboradas de
gestin, supervisin y reporting que responden a las
necesidades de las grandes multinacionales y de los ISP
(Proveedores de Servicios de Internet) que constituyen su
clientela. Cada appliance est dotado de un sistema exclusivo
de reporting o generacin de informes en tiempo real, Mail
Flow Monitor TM, que vigila las conexiones entrantes o
salientes. A travs de IronPort Mail Flow Monitor y su interfaz
Web, los administradores del sistema pueden visualizar
fcilmente las actividades de sus colas. Los principales
dominios cuyos mensajes se ponen en cola de espera se
presentan con estadsticas. En una misma pgina, el
administrador puede ver el nmero de mensajes en una cola,
el nmero de conexiones abiertas, los mensajes enrutados con
xito y los mensajes de error.
Es posible ampliar detalladamente cada dominio. La pantalla
indica las direcciones IP de todos los registros MX asociados a
ese dominio, el estado (localizable o no) del dominio, el ltimo
intento de conexin y la fecha del mensaje ms antiguo en
cola para este dominio, as como los detalles sobre los
mensajes de error o cdigos de error recibidos de este ltimo.
Esta completa herramienta permite a los administradores
identificar y resolver rpidamente los problemas. Adems, el
sistema autoriza la depuracin por dominio que, al registrar
cada intercambio SMTP para un dominio especificado, permite
al administrador detectar los problemas sin tener que
comprobar un voluminoso archivo log. Para que resulte ms
fcil, se pueden redirigir algunos mensajes hacia un anfitrin
(host) o servidor remoto, incluso, pura y simplemente,
eliminarlos.
41
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
Para el correo electrnico entrante, Mail Flow Monitor indica

los principales remitentes durante un tiempo determinado,
puntundolos en materia de reputacin, de spam y de virus, y
poniendo de manifiesto las anomalas de volumen. A partir de
esta vista resumida, el administrador puede inspeccionar
detalladamente a cualquier remitente sospechoso y obtener su
histrico completo, incluyendo algunos datos de reputacin
procedentes de la red de
IronPort SenderBase. Tambin puede saber si el sistema limita
la velocidad y, en caso afirmativo, cuntos mensajes han sido
frenados (lo que representa una posibilidad nica, ya que la
mayora de los mtodos de limitacin de velocidad solamente
ralentizan una conexin, de modo que no es posible conocer el
volumen de correo electrnico realmente frenado). Si el
administrador
desea
modificar
la
regla
aplicada
automticamente a un remitente determinado, puede hacerlo

con algunos clics a travs del interfaz de Mail Flow Monitor.
Adems de las funciones de reporting y de gestin en tiempo
real de Mail Flow Monitor, IronPort ofrece una herramienta
centralizada de reporting histrico a travs de Mail Flow
CentralTM (MFC), el cual extrae los datos de registros (logs)
de mltiples sistemas y los carga en una base SQL para
obtener potentes anlisis de tendencias sobre las prestaciones
de filtrado de spam, de virus y de contenido. MFC tambin
dispone de una potente herramienta de seguimiento de
mensajes, capaz de buscar el correo electrnico destinado o
procedente de un interlocutor determinado, en funcin del
asunto, del tipo de documento adjunto, etc. Esto aporta una
considerable ganancia de eficacia al administrador, quien
hasta ahora tena que comprobar los logs de tres o cuatro
sistemas distintos para diagnosticar un mensaje. El software
42
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
Mail Flow Central se adapta a las necesidades de la empresa

en trminos de capacidad. Est destinado a funcionar en un
puesto de trabajo o un servidor que se encuentre fuera de la
DMZ (zona desmilitarizada), de forma que el reporting histrico
y el seguimiento no perturben nunca a una mquina DMZ de
produccin. Adems, IronPort publica el esquema bsico de
datos de Mail Flow Central para facilitar la creacin de
peticiones personalizadas.
IronPort se encarga de la vigilancia e-mail y SNMP para las
funciones crticas del sistema. Los eventos relativos al estado
del sistema y la seguridad de las aplicaciones se comunican a
travs de traps SNMP y de alertas e-mail configurables. Todos
los datos del sistema en tiempo real de Mail Flow Monitor
tambin son accesibles a travs de un estado XML en el
sistema. Los ingenieros de IronPort han desarrollado varios
scripts que pueden servir para extraer informaciones de estado
en tiempo real y transmitirlas a una red de vigilancia ms
extensa.
7.3.1.1.11.
Administracin Centralizada
Gracias a la administracin centralizada,
cualquier modificacin realizada en uno de los sistemas puede

ser repercutida por el administrador a otra mquina, a un grupo
de mquinas o al parque entero. Este sistema multi maestro, muy potente y evolucionado, ha sido creado para
responder a las necesidades de las operadoras y grandes
empresas cuyos centros estn dispersados geogrficamente.
El sistema est dispuesto segn una red entramada peertopeer, en la que la configuracin de cada mquina se
almacena en sus homlogas. Esto ofrece una mxima
flexibilidad, ya que basta con realizar los cambios en
cualquiera de las mquinas para desplegarlos despus en todo
43
Curso de
Actualizacin
Profesional
Seguridad en
Redes
Informticas
el parque. En caso de fallo de una mquina, se atribuye una

direccin
IP
una
nueva
se
pone
en
contacto
automticamente con sus homlogas para reconfigurarse.

Todas las informaciones de configuracin del sistema tambin
estn disponibles en forma de un archivo XMI que sirve de
copia de seguridad permanente. Todas las modificaciones
estn consignadas por el administrador y existen tres niveles
de acceso: slo lectura, administrador y super usuario.
7.3.1.1.12. IronPort Versus Otros Productos del Mercado
Figura 22: IronPort Series C Vs Soluciones de Competencias

-
Ratio mas bajo de falsos positivos (1 en 1 milln)

Cero administracin
Figura 23: IronPort Series C Vs Otros Productos
44
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
Fuente: IronPort System. Titulo: Cisco and Todays Email and

Web Threat Landscape. Pgina N 17. Autor: Company
IronPort
7.3.1.1.13. Implementacin de IronPort Serie C AntiSpam
Figura N 24: Interfaz de Bienvenida de IronPort C150
Fuente:https://ironportantispam.gmu.edu/login?referrer=https%3A
%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco and
Todays Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.00 a.m
Figura N 25: Autentificacin Username: admin, password: masongarson
45
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
46
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
Figura N 26 : Interfaz Principal del IronPort C150
47
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
Figura N 27: Menu Securety Services (Anti-Spam)
48
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
Figura N 28: Menu Item Anti-Spam ---> IronPort Anti-Spam
Figura N 29: Subinterfaz IronPort Anti-Spam
49
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
Figura N 30: Activar el Botn Enable
50
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
51
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
Figura N 31: Subinterfaz IronPort Commit Changes
52
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
Figura N 32: Activar el Boton Commit Changes
53
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
Figura N 33: Subinterfaz Uncommitted Changes
Figura N 34: Ir a Men Mail Policies
54
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
Figura N 35: Ir a Men Mail Policies
55
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
Figura N 36: Activar el Submenu Incoming Mail Policies
56
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
Figura N 37: Subinterfaz Incoming Mail Policies
57
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
Figura N 38: Activar el Link Anti-Spam ---> Disable
58
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
59
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
Figura N 39: Subinterfaz Mail Policies: Anti-Spam
Figura N 40: Activar el Ckeck: Use selected Anti-Spam service (s)
60
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
Figura N 41: Activar el Ckeck: Use selected Anti-Spam service (s)
61
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
Figura N 42: Activar el Ckeck: Use selected Anti-Spam service (s) ,

verificar el Add Text to Subject.
62
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
Figura N 43: Activar el combobox y seleccionar los Items.
63
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
Figura N 44: Activar el combobox y seleccionar el Item Drop.
64
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
Figura N 45: Verificar las activaciones de los Checks.
65
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
Figura N 46: Verificar las activaciones de los Checks.
66
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
Fuente:https://ironportantispam.gmu.edu/login?referrer=https
%3A%2F%2Fironport-antispam.gmu.edu%2FSear. Titulo: Cisco
and Todays Email and Web Threat Landscape. Autor: Company
IronPort. Fecha: 7/06/2010.Hora: 1.26 a.m.
Figura N 47: Verificar la activacin del Link: IronPort Anti-Spam,

Positive: Drop, Suspected.
67
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
Figura N 48: Activar el Bottom Commit Changes
68
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
Figura N 49 : Subinterfaz Uncommited Changes
69
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
Figura N 50: Subinterfaz Uncommited Changes
70
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
7.3.1.2.
Sysmantec Brightmail Gateway
71
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
7.3.1.2.1. Definicin
Symantec Brightmail Gateway ofrece seguridad para
la mensajera entrante y saliente con proteccin antivirus y
Antispam efectiva y precisa, filtrado de contenidos avanzado,
prevencin contra la prdida de datos y cifrado del correo
electrnico.
Atrapa ms del 99% del Spam con menos de un falso positivo
por milln, utilizando actualizaciones automticas y en tiempo
real, anlisis de la reputacin de IP locales y globales, y la
elaboracin de informes completos a fin de ofrecer proteccin
rentable contra las nuevas amenazas para la mensajera.
Symantec
Brightmail
Gateway
ofrece
una
seguridad
galardonada de los sistemas de mensajera que protege los

mensajes entrantes y controla los mensajes salientes con las
siguientes caractersticas:
Figura N 51: Caracteristicas de Symantec Brightmail
Figura N 51: Caracteristicas de Symantec Brightmail
72
Curso de
Actualizacin
Profesional

7.3.1.2.2. Caractersticas
de
Seguridad en
Redes
Informticas
Symantec
Brightmail
AntiSpam
Se implementa en el gateway de Internet. Por ello, el
correo electrnico es ms seguro y productivo, y ofrece a las
empresas defensa contra amenazas y spam de tipo avanzado.
7.3.1.2.2.1.
Detecta ms Spam
Esta premiada solucin aprovecha una serie
de eficaces tecnologas, sus centros de operaciones

distribuidos por todo el mundo, una red patentada de
deteccin de spam o correo no deseado y un mecanismo
de entrega de filtros en tiempo real.
7.3.1.2.2.2.
Con precisin
73
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
La identificacin errnea de mensajes

legtimos como si fueran Spam ocasiona la prdida de
oportunidades de negocios y de productividad del usuario
final. Gracias a que Symantec Brightmail AntiSpam ofrece
el ndice de precisin ms alto del mercado, los usuarios no
pasan por alto los mensajes importantes de correo
electrnico. Las protecciones incluyen el control diario de la
precisin de Symantec y la revisin automtica de todos los
posibles falsos positivos.
7.3.1.2.2.3.
Con bajo nivel de administracin

Muchas soluciones antispam aumentan an
ms la carga de los administradores. Sin embargo,

Symantec Brightmail AntiSpam se actualiza de forma
constante y automtica con la proteccin ms reciente, sin
necesidad de que los administradores ajusten o regulen los
filtros.
Figura N 52: Cmo Funciona?
74
Curso de
Actualizacin
Profesional

7.3.1.2.2.4.
Seguridad en
Redes
Informticas
Proteccin de mltiples niveles contra el
Spam
o Ms de 17 tecnologas de filtrado diferentes,
incluidas las firmas de propietario y heurstica
o Umbral de spam ajustable para personalizar
los niveles de eficacia y precisin
o Filtros basados en idiomas para bloquear
spam que no sea en espaol
o Filtros antifraude para proteger
contra
mensajes falsos que buscan datos personales

(phishing) y fraude por correo electrnico
7.3.1.2.2.5.
Administracin flexible y potente
75
Curso de
Actualizacin
Profesional
Seguridad en
Redes
Informticas
o Centro de control basado en Web que ofrece

administracin
centralizada
de
varios
servidores, administracin con base en roles y

alertas del sistema
o Polticas
de
correo
personalizadas
compatibles con acciones flexibles, como

marcado o cuarentena de mensajes, para
distintos grupos de usuarios
o Diversas cuarentenas: cuarentena basada en
Web
para
usuarios
administradores,
cuarentena
o Exchange para usuarios de Microsoft Outlook,
cuarentena Domino para usuarios de Lotus
Notes
o Compatible con LDAP
7.3.1.2.2.6. Otras funciones
o Informes: las estadsticas
de
filtrado
consolidadas en todos los servidores ofrecen

una visin del rendimiento y tendencias de
filtrado de spam
o Proteccin integral
contra
amenazas:
la
proteccin antivirus opcional analiza y limpia

los mensajes infectados con virus y gusanos
de propagacin masiva
o Control de spam segn
usuario:
los
complementos y las herramientas mejoran los

clientes de correo electrnico como Microsoft
Outlook y Lotus Notes con funciones que
combaten el spam
o Filtrado de contenido: las listas de remitentes
bloqueados/permitidos
personalizados
permiten
los
que
filtros
los
76
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
administradores adapten el filtrado a las

necesidades de la organizacin
7.3.1.2.3. Implementacin de Symantec Brightmail Gateway
Figura N 52: Interfaz de Validacin de Usuario
Fuente: Symantec Brightmail AntiSpam. Autor: Company

symantec. Fecha: 20/06/2010.Hora: 4:25 p.m.
Figura N 53: Ingresar User Name: Admin, Password:123456
Fuente: Symantec Brightmail AntiSpam. Autor: Company

symantec. Fecha: 20/06/2010.Hora: 4:28 p.m.
Figura N 54: Interfaz Principal, seleccionar la lista del combobox la opcin:
Inbound Email Message Sumary
77
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
Fuente: Symantec Brightmail AntiSpam. Autor: Company symantec. Fecha:

20/06/2010.Hora: 4:30 p.m.
Figura N 55: Interfaz Principal, seleccionar la lista del combobox la opcin:
Past 7 days

20/06/2010.Hora: 4:31 p.m.
Figura N 56: Subinterfaz de Status
78
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas

20/06/2010.Hora: 4:32 p.m.
Figura N 57: Subinterfaz de Reports
79
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas

20/06/2010.Hora: 4:33 p.m
Figura N 58: Subinterfaz de Protocols

20/06/2010.Hora:4:35 p.m.
Figura N 59: Subinterfaz de Reputation
80
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas

20/06/2010.Hora:4:37 p.m.
Figura N 60: Subinterfaz de Spam

20/06/2010.Hora:4:39 p.m.
Figura N 61: Subinterfaz de Virus
81
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas

20/06/2010.Hora:4:40 p.m.
Figura N 62: Subinterfaz de Compliance

20/06/2010.Hora:4:41 p.m.
Figura N 63: Seleccionar la Subinterfaz de Reputation para configurar los links
82
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas

20/06/2010.Hora:4:42 p.m.
Figura N 64: Seleccionar el Link Symantec Global Bad Sender

20/06/2010.Hora:4:45 p.m.
Figura N 65: Subinterfaz Symantec Global Bad Sender , activar el check
Enable Symantec Bad Sender detection
83
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas

20/06/2010.Hora:4:46 p.m.
Figura N 66: Subinterfaz Symantec Global Bad Sender, activar la actions del
Check Reject SMTP connection y seleccionar el link Connections Classification

20/06/2010.Hora:4:48 p.m.
Figura N 67: Subinterfaz Connection Classification, activar el Enable
Connection Classification
84
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas

20/06/2010.Hora:4:49 p.m.
Figura N 68: Subinterfaz Connection Classification, activar el Enable
Connection Classification

20/06/2010.Hora:4:50 p.m.
Figura N 69: Activar el Check del Link Fastpass
85
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas

20/06/2010.Hora:4:51 p.m.
Figura N 70: Seleccionar el Bottom Edit

20/06/2010.Hora:4:52 p.m.
86
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
Figura N 71: Activar el Check Enable Fastpass y seleccionar el Bottom Show

Advanced

20/06/2010.Hora:4:53 p.m.
Figura N 72: Seleccionar la Subinterfaz Spam

20/06/2010.Hora:4:56 p.m.
87
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
Figura N 73: Seleccionar el Link Spam or Suspected Spam Delete Message

20/06/2010.Hora:4:59 p.m.
Figura N 74: Subinterfaz Email Spam Policy

20/06/2010. Hora: 5: 02 p.m.
88
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
Figura N 75: Subinterfaz de Spam Message Quarantine

20/06/2010. Hora: 5: 08 p.m.
Figura N 76: Activar el Bottom Release

20/06/2010. Hora: 5: 10 p.m.
89
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
Figura N 77: Subinterfaz Spam Policies, activar el Check del Link Failed
Source attack validatiom reject message y Activar el Bottom Edit

20/06/2010. Hora: 5: 12 p.m.
Figura N 78: Subinterfaz Email Spam Policy Activar el Check de Actions y
Reject messages faling bounce attack validation

20/06/2010. Hora: 5: 14 p.m.
90
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
Figura N 79: Seleccionar el Link Instant Messaging

20/06/2010. Hora: 5: 17 p.m.
Figura N 80: Subinterfaz Instant Messaging Spim Policies, Activar el link
Incoming Spim

20/06/2010. Hora: 5: 19 p.m.
91
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
Figura N 81: Subinterfaz Instant Messaging Spim Policies, Activar el Check

Actions y Delete The Message

20/06/2010. Hora: 5: 21 p.m.
Figura N 82: Subinterfaz Reports, seleccionar del combobox la opcion Spam

20/06/2010. Hora: 5: 23 p.m.
92
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
Figura N 83: Subinterfaz Reports, activar los Checks Graph y Table

20/06/2010. Hora: 5: 24 p.m
Figura N 83: Subinterfaz Reports

20/06/2010. Hora: 5: 24 p.m
93
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
7.3.2. Comparando IronPort Anti-Spam y Symantec Brightmail

Anti-Spam
7.3.2.1. Resultados de Tasa de Captura
La tasa de captura de Spam se mide como el nmero de
mensajes de Spam bloqueados, divididos entre el nmero total de
mensajes recibidos. Durante un periodo de un mes finalizado el 19 de
Octubre, IronPort Anti-Spam captur un promedio de 97.1% del spam,
comparado con 93.7% de Symantec Brightmail. Esto significa que el
usuario final promedio que utiliza Brightmail recibi aproximadamente el
doble de Spam (6.7%) comparado con los usuarios de IronPort AntiSpam (2.9%).
IronPort AntiSpam catch
rate
Symantec Brightmail Anti
Spam catch rate
97.1 %
93.7 %
Estas estadsticas se calcularon con base a una muestra aleatoria de

mensajes de Spam recibidos por cuentas de correo spamtrap, o
Atrapa-Spam, administradas por IronPort. La tasa de captura de
Symantec Brightmail tambin fue correlacionada estrechamente con la
cantidad de Spam por imgenes recibida. Como muestra la figura 1, la
94
Curso de
Actualizacin
Profesional
Seguridad en
Redes
Informticas
tasa de captura de Symantec Brightmail (en rojo) se desplom

significativamente a principios de Octubre, cuando increment el
porcentaje de Spam con imgenes insertadas (en amarillo).
7.3.2.2. Resultados de Tasa de Falsos Positivos
Producto
Tasa de Falsos
Positivos
IronPort AntiSpam
catch rate
Symantec Brightmail
Anti Spam catch rate
Postini
CipherTrust
Barracuda
0.0003
% Relativo de
IronPort AntiSpam
N/D
0.0017
630 %
0.0034
0.0041
0.0110
1241%
1511%
4085%
La tasa de falsos positivos se mide como el nmero de correos

legtimos clasificados errneamente como Spam, dividido por el
nmero total de correos legtimos recibidos.
Mantener una baja tasa de falsos positivos es frecuentemente el
factor ms importante al seleccionar la solucin Anti-Spam,
debido a la naturaleza de misin crtica del correo electrnico.
Basndonos en las pruebas (hecha por una tercera persona, una
firma independiente) de 10,000 mensajes, IronPort Anti-Spam
tiene la ms baja tasa de falsos positivos entre las cinco marcas
examinadas - 1/6 de los falsos positivos que muestra Symantec
Brightmail.
95
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
7.3.2.3. Resultados del Desempeo
El desempeo (o rendimiento) es importante para la mayora de

los clientes ya que determina el nmero de sistemas que deben
utilizarse para manejar el volumen de correo electrnico de una
organizacin. Entre mayor sea el desempeo del motor de
bsqueda de anti-spam, menor el nmero de sistemas
requeridos para manejar el volumen de correo electrnico actual
y sus incrementos futuros. El escaneo anti-spam es uno de los
procesos ms intensivos en cuanto a consumo de recursos en la
seguridad de correo electrnico debido a la necesidad de
analizar numerosos atributos en un mensaje. Esto significa que
cualquier incremento en el rendimiento del motor de bsqueda
anti-spam se traducir en un incremento en el rendimiento
general del sistema. El desempeo del anti-spam se mide por el
nmero de mensajes escaneados en un perodo establecido de
tiempo slo con la funcin anti-spam habitada en el appliance
de IronPort. La figura 2 muestra el nmero de mensajes
escaneados por hora con el equipo IronPort C60 en diferentes
lapsos de tiempo durante los ltimos dos aos. Con el
lanzamiento del IronPort AsyncOS 4.7.0, IronPort escane
48,720 mensajes por hora contra los 25,260 de Symantec
Brightmail una diferencia de 93%.
96
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
Los resultados fueron calculados escaneando un conjunto

idntico de mensajes aleatorios (del cuerpo de correos
electrnicos de IronPort) con una distribucin de 50% de spam,
45% de correos legtimos y 5% de mensajes infectados por virus.
Tome en cuenta que las pruebas 4.7.0 fueron comparadas con el
motor Symantec Brightmail 6.0.3. Los resultados preliminares
contra la versin IronPort AsyncOS 5.0 y el motor Symantec
Brightmail 6.0.4 muestran un incremento en el rendimiento de
aproximadamente 17%.
7.3.2.4. Sinopsis
Las pruebas de Messaging Media Labs indicant que IronPort
Anti-Spam deja pasar 57% menos Spam que Symantec
Brightmail, tiene una menor tasa de falsos positivos y
aproximadamente el doble de rendimiento.
Los resultados reales pueden variar, dependiendo del perfil
especfico de correo electrnico del cliente, no obstante, estos
resultados son consistentes con la mayora de los clientes que
han evaluado ambas soluciones durante los ltimos tres meses.
97
Curso de
Actualizacin
Profesional
8. CONCLUSIONES
Seguridad en
Redes
Informticas
98
Curso de
Actualizacin
Profesional

Seguridad en
Redes
Informticas
9. REFERENCIAS BIBLIOGRAFICAS
Fuente: IronPort System. Ttulo: El E-mail Seguro Subiendo el Nivel.
Autor: Mario Velarde. Fecha de visita: 07/06/2010. [EN LNEA].
Fuente: IronPort Company.Ttulo: Presentacin del appliance de
seguridad e-mail IronPort. Autor: IronPort Serie C. Fecha de Visita:
10/06/2010. [EN LNEA].
Fuente: Red Cientfica Peruana. Ttulo: Implicancias del Spam.
Autor: Jack Daniel Cceres Meza. Fecha de Visita: 12/06/2010. [EN
LNEA].
Fuente: http://www.messagingnews.com. Titulo: Comparando
IronPort Anti-Spam y Symantec Brightmail Anti-Spam. Autor:
Messaging Media. Fecha de Visita: 15/04/2010. [EN LNEA].
%2F%2Fironport-antispam.gmu.edu%2FSear /. Titulo: Configuracin
de IronPort C150. Autor: ironPort.theacademy.ca. Fecha de Visita:
18/04/2010. [EN LNEA].
Fuente:
http://www.youtube.com/watch?v=aTttbrZpCYA.
Titulo:
Tecnologas de Symantec Brightmail AntiSpam. Fecha de Visita:
20/06/2010. [EN LNEA].
Fuente: http://www.symantec.com/la/empresas/. Titulo: Symantec
Brightmail AntiSpam. Fecha de Visita: 20/06/2010. [EN LNEA].
Fuente: http://www.xentic.com.pe. Titulo: Symantec
AntiSpam. Fecha de Visita: 21/06/2010. [EN LNEA].
Brightmail
Fuente: http://www.symantec.com/la/ventas_empresariales/ Titulo

Soluciones Symantec Brightmail AntiSpam. Fecha de Visita:
20/06/2010. [EN LNEA].
Fuente: http:// www.cisco.com / Titulo IronPort Modelos Serie.
Autor: Company IronPort. Fecha de Visita: 22/06/2010. [EN
LNEA].
Fuente: Conferencias FIST Titulo Conferencias FIST.Titulo: Tcnicas
Anti-Spam. Autor Germinus. Fecha de Visita: 22/06/2010. [EN
LNEA].

Trabajo Final de Seguridad

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Trabajo Final de Seguridad

Uploaded by

Copyright:

Available Formats

UNIVERSIDAD NACIONAL AGRARIA DE LA SELVA

FACULTAD DE INGENIERIA EN INFORMATICA Y SISTEMAS

CURSO DE ACTUALIZACIN PROFESIONAL: SEGURIDAD EN

Alvia Gavidia Soto.

Teria e Implementacin de Gateway AntiSpam

Usa recursos de otros.6

ESTADISTICA DEL PROBLEMA DE LOS SPAMS8

ART. 5.- Correo electrnico comercial no solicitado. Todo correo

ART. 8.- Derecho a compensacin pecuniaria. El receptor de correo

Teria e Implementacin de Gateway AntiSpam

Tcnicas de usuarios finales20

Teria e Implementacin de Gateway AntiSpam

Comparando IronPort Anti-Spam y Symantec Brightmail Anti-Spam

La llegada de Internet a nuestras vidas ha significado una serie de

Teria e Implementacin de Gateway AntiSpam

Teria e Implementacin de Gateway AntiSpam

La identidad personal del destinatario y el contexto son irrelevantes por

que el mensaje es aplicable por igual a muchos otros destinatarios; y

explcita y sin revocatoria para que se le enve el mensaje; y

Figura 1: Cmo es un Spam?

Fuente: Conferencias FIST.Titulo: Tcnicas Anti-Spam.Pagina N 17.

Teria e Implementacin de Gateway AntiSpam

Asunto: Filtrado de Anti-Spam

que prestan los servicios de Internet. Si continuara aumentando

ampliamente los costos del servicio.

2.2 . Hacen perder tiempo.

Teria e Implementacin de Gateway AntiSpam

2.4 Se engaa al cliente.

Teria e Implementacin de Gateway AntiSpam

Fuente: Red Cientifica Peruana.Titulo: Implicacias del

Fuente: Red Cientifica Peruana.Titulo: Implicacias del

Teria e Implementacin de Gateway AntiSpam

Fuente: Red Cientifica Peruana.Titulo: Implicacias del

Figura 5: Spam por Pases

Fuente: Conferencias FIST.Titulo: Tecnicas Anti-Spam.Pagina N

Teria e Implementacin de Gateway AntiSpam

Fuente: Conferencias FIST.Titulo: Tcnicas Anti-Spam.Pagina

4. MARCO LEGAL PERUANO SOBRE LOS ATAQUES SPAM

4.2. ART. 8.- Derecho a compensacin pecuniaria. El receptor de

Teria e Implementacin de Gateway AntiSpam

sumarsimo contra la persona que lo haya enviado, a fin de obtener

Envo de correo - verificacin de la recepcin.

Uso de caracteres nulos (codificacin de tipo Quoted-Printable)

Teria e Implementacin de Gateway AntiSpam

Permutar letras en las palabras usadas. El mensaje sigue siendo

Uso de caracteres ASCII para dibujar el contenido del mensaje.

Fuente: IronPort System. Titulo: El E-Mail Seguro Subiendo

Uso de etiquetas HTML incorrectas.

Asunto: Filtrado de Anti-Spam

Figura 8: Spam con imagen 2.0

Fuente: IronPort System. Titulo: El E-Mail Seguro Subiendo el

para aliviar la carga que cae

administradores. No existe la frmula perfecta para solucionar el

Teria e Implementacin de Gateway AntiSpam

plantear distintas alternativas en funcin de los requisitos de sta:

Filtrar (se puede hacer en mltiples puntos)

6.2.1. Soluciones Basados en Reglas

Anlisis del origen del Spam (direcciones IP o direcciones)

Block Lists (DNSBLS) y XBLs (Xploit bot lists)

Bsicamente, si cumple un nmero suficiente de las reglas se califica

Teria e Implementacin de Gateway AntiSpam

Las reglas deben actualizarse de forma peridica.

6.2.1.3. Ejemplo Despliegue en Pasarela

correo (relay adicional)