App Para Bloquear Aplicaciones En Mi Pc
Christian Erdmann
Este ejemplo demuestra cmo usar las polticas y los servicios de seguridad de WatchGuard para bloquear efectivamente las aplicaciones evasivas. Este ejemplo se centra en cmo evitar el uso de una aplicacin de proxy, Ultrasurf, que es un buen ejemplo de una aplicacin evasiva. Usted podra utilizar una estrategia similar para bloquear otros tipos de aplicaciones evasivas en su red.
Esta configuracin se basa principalmente en Application Control y WebBlocker, pero tambin describe cmo configurar correctamente las polticas de salida DNS, HTTP, HTTPS y TCP-UDP. Esta configuracin de ejemplo tambin incluye algunos de los mensajes de registro que indican las acciones de las polticas y los servicios configurados.
Muchas aplicaciones de evasin de proxy utilizan un conjunto similar de estrategias para intentar conectarse a sus servidores. Tpicamente, la aplicacin primero enva consultas DNS para intentar encontrar un servidor. Luego intenta conectarse al servidor en el puerto HTTP 80 y luego en el puerto HTTPS 443. Algunas aplicaciones intentan construir un tnel SSL en el puerto estndar 443 u otro puerto, como TCP 53 u otro puerto seleccionado dinmicamente. Si todo esto falla, la aplicacin podra intentar conectarse a servidores de respaldo ubicados en centros de datos populares y frecuentemente permitidos, como Microsoft o Amazon Web Services. Otra estrategia incluye intentos de descargar otro archivo ejecutable mientras la aplicacin contina intentando conectarse repetidamente a un servidor.
Para detectar este tipo de aplicaciones, debe configurar proxies y servicios con la configuracin adecuada, y habilitar la generacin de registros para los informes. Tambin es importante monitorear regularmente los archivos de registro y los informes para estar al da con las nuevas tendencias en la actividad de la red, a medida que las actualizaciones de esas aplicaciones estn disponibles.
Esta configuracin de ejemplo utiliza una topologa de red bsica para demostrar cmo el Firebox puede filtrar todo el trfico entre los clientes en la red de confianza y la Internet pblica. Todos los clientes de red deben usar el Firebox como su default gateway (puerta de enlace predeterminada).
Los primeros paquetes enviados por la aplicacin evasiva suelen ser paquetes UDP DNS en el puerto 53. Para las solicitudes DNS no permitidas por la poltica de proxy DNS, puede configurar el proxy en Descartar o Denegar las solicitudes, o bien, Bloquear el origen de las solicitudes. La opcin ms segura y eficiente es Descartar las peticiones. Esto hace que la aplicacin espere antes de rendirse e intentar con otra estrategia, y tambin ahorra recursos de firewall. Si usted decide Bloquear, tenga en cuenta que, si bien este puede ser un mtodo muy eficaz para bloquear cualquier trfico que se origine del cliente cuando usa un servidor DNS Pblico, tambin puede bloquear todo el acceso a Internet desde ese cliente. En una red con un servidor de dominio interno, la accin Bloquear en el proxy DNS puede bloquear el acceso a Internet para todos los usuarios de la red.
Si su poltica de DNS para el trfico TCP-UDP en el puerto 53 permite el trnsito de Cualquiera de confianza a Cualquiera externo, podra permitir que la aplicacin construya un tnel a su servidor en el puerto TCP 53 y puede evadir la deteccin si no ha aplicado Application Control a esa poltica. Es por eso que, en esta configuracin de ejemplo, la poltica DNS saliente permite las conexiones de Cualquiera de confianza al alias PUBLIC DNS. Este alias incluye un pequeo grupo de servidores DNS pblicos de confianza. Podra usar una poltica de filtro de paquetes en lugar de una poltica de proxy para definir el destino de los paquetes DNS permitidos. Esto puede ahorrar recursos en el firewall.
La configuracin de ejemplo incluye un perfil de Application Control llamado ESTRICTO. Para prevenir conexiones desde Ultrasurf y otras aplicaciones similares, esta Accin de Application Control est configurada para Descartar conexiones para todas las aplicaciones en la categora Servicios de tunelizacin y proxy. Para una proteccin ms completa, esta accin tambin restringe las aplicaciones en las categoras Servicios de transmisin de medios, Redes punto a punto, Juegos en lnea y Redes sociales. Esas categoras adicionales no son necesarias para bloquear Ultrasurf. Su eleccin de qu categoras de aplicaciones permitir depende de las polticas de su compaa.
Para denegar aplicaciones desconocidas, usted debe ser explcito sobre qu aplicaciones estn permitidas, de modo que la accin predeterminada de Descartar pueda activarse cuando una aplicacin no coincida.
Para prevenir Ultrasurf y otras aplicaciones de tnel y proxy, seleccione la accin Descartar para la categora Servicios de tunelizacin y proxy en la Accin de Application Control. La Accin de Application Control ESTRICTO se aplica a todas las polticas que manejan conexiones salientes para la navegacin web.
Esta configuracin se establece para Permitir conexiones a un sitio si la URL no est categorizada. Para aumentar la proteccin contra URL desconocidas, que con frecuencia estn involucradas en ransomware, usted puede cambiar esta accin a Denegar. Sin embargo, es probable que la configuracin de Denegar provoque falsos positivos si los proveedores locales, los clientes y los socios de su compaa tienen sitios web que no estn categorizados por WebBlocker. Si usa la accin Denegar para las URL no categorizadas, algunos sitios a los que desea permitir el acceso podran bloquearse. Si esto sucede, puede agregar excepciones de WebBlocker para esos sitios y enviarlos para su revisin en la seccin WebBlocker del Portal de Seguridad de WatchGuard.
El Proxy HTTP est configurado con ajustes estrictos y seguros. La accin de proxy HTTP est configurada con la accin Escaneo AV para todas las Rutas URL, Tipos de Contenido y Tipos de Contenido del Cuerpo permitidos.
La configuracin de Tipos de Contenido de Cuerpo tambin niega la descarga de archivos ejecutables, dll y CAB, a menos que provengan de un sitio de excepcin, como *.windowsupdate.com. Esto bloquea especficamente los intentos de la aplicacin proxy para descargar e instalar otros archivos ejecutables que pueden intentar llegar a su destino cuando los primeros intentos de evadir el proxy HTTP no tienen xito. Tambin es la manera ms fcil de evitar descargas de malware en general.
Despus de revisar informes y mensajes de registro en su Log Server, Report Server o Dimension, puede decidir inspeccionar solo algunas categoras que podran representar un riesgo de descarga de malware, una filtracin de datos o donde el control de productividad es un factor clave (por ejemplo, Juegos de Facebook y otras aplicaciones de Facebook).
Para proteger su red, recomendamos que configure las polticas para permitir el trfico saliente en una lista de puertos de salida especficos de orgenes y destinos especficos. Si es posible, evite los alias Cualquiera Externo o Cualquiera como un destino en las polticas. Si an no ha determinado todos los puertos y destinos para el trfico que desea permitir, puede usar el Proxy TCP-UDP para permitir e inspeccionar el trfico TCP y UDP saliente a cualquier destino externo. En la accin de proxy TCP-UDP, puede permitir HTTP y HTTPS y negar cualquier protocolo innecesario.
Las aplicaciones evasivas y el malware con frecuencia intentan usar el cifrado SSL en un puerto dinmico o no estndar como una estrategia para evadir el firewall. Este trfico evadira los proxies DNS, HTTP y HTTPS descritos anteriormente, porque esas polticas solo manejan el trfico en los puertos 53, 80 y 443.
En la configuracin de ejemplo, la accin de proxy TCP-UDP permite conexiones HTTP y HTTPS y usa las mismas acciones de proxy que las polticas de proxy HTTP y HTTPS para inspeccionar el trfico. Esta accin de proxy niega todos los protocolos que no sean HTTP y HTTPS.
Para probar la efectividad de esta configuracin contra Ultrasurf, lanzamos Ultrasurf en un cliente en la red de confianza y capturamos los mensajes de registro que se muestran a continuacin. Para probar esta configuracin, usamos estos pasos:
Si un usuario encuentra otra manera de instalar el cliente Ultrasurf, como desde una unidad USB u otra fuente, podemos ver una serie similar de intentos despus de que se ejecute por primera vez. Este es un ejemplo del mensaje de registro que muestra que la funcin de inspeccin de contenido proxy HTTPS detect y neg el trfico HTTP no vlido:
Un minuto despus, el Proxy HTTPS neg una conexin porque Application Control detect que Ultrasurf est en uso. El mensaje de registro muestra la categora de la aplicacin, el nombre de la aplicacin y el comportamiento de la aplicacin:
Cuando la conexin no llega a los centros de datos de Amazon, vimos estos mensajes de registro cuando el cliente Ultrasurf intent conectarse a otros servidores Ultrasurf ubicados en diferentes centros de datos:
Puede aplicar el mismo tipo de estrategias de configuracin para proteger contra el malware avanzado y otras aplicaciones evasivas. Para ello, configurara otros servicios de seguridad, como APT Blocker, RED e IPS. El monitoreo regular de los mensajes de registro y los informes puede ayudarlo a identificar nuevas amenazas para que pueda actualizar la configuracin a medida que evolucionan las amenazas y los comportamientos de las aplicaciones.
Las aplicaciones potencialmente no deseadas (PUA) son una categora de software que puede hacer que su equipo funcione lentamente, muestre anuncios inesperados o, en el peor de los casos, instale otro software que pueda ser inesperado o no deseado. PUA no se considera un virus, malware u otro tipo de amenaza, pero puede realizar acciones en puntos de conexin que afecten negativamente al rendimiento o al uso del punto de conexin. El trmino PUA tambin puede hacer referencia a una aplicacin que tenga mala reputacin, segn la evaluacin de Microsoft Defender para punto de conexin, debido a determinados tipos de comportamiento no deseado.
d3342ee215