mercoledì, ottobre 10, 2012

Proxy: Symantec lancia l’allarme

proxy Symantec, in un recente post sul blog  dal titolo - The Russian Mastermind Behind Backdoor.Proxybox –, ha portato nuovamente alla ribalta l’argomento dell’uso dei proxy pubblici per eludere le restrizioni imposte alla consultazione dei contenuti di siti web (es. per la visione di contenuti Audio/Video). 
L’uso dei proxy pubblici per eludere queste restrizioni è noto da tempo, ma in questo caso il fornitore forniva una lista “adattata” di server proxy. In questa lista, più o meno nascosti, erano presenti dei server, noti anche a Symantec, che avevano il doppio ruolo di proxy e punti di distribuzione di malware. 
I computer che utilizzavano questi proxy/distributori entravano automaticamente a far parte della BotNet dell’autore del malware, a sua volta fornitore del servizio proxy.
Ovviamente questo per un amministratore TMG 2010/ISA Server  è un condizione da valutare e mitigare, ma come? Come rilevare questo tipo di comportamento e bloccarlo sul nascere?

Sul sito del SANS Institute un paio di white paper danno delle indicazioni pratiche sulle strategie da adottare per contrastare questa pratica; non sono indicazioni specifiche per TMG 2010 o ISA, non delle How To ma invece forniscono delle valide linee guida di carattere generale che possono essere utili per valutare la bontà di azioni correttive. Ecco i due documenti:
Detecting Anonymous Proxy Usage Handouts 
Detecting and Preventing Anonymous Proxy Usage

Vi aggiungo anche l’articolo della società Bloox Inc. – azienda specializzata nel filtraggio del traffico Web – che tratta del rischio connesso all’uso dei Proxy SSL nel whitepaper Protecting Your Network Against Risky SSL Traffic; il Proxy SSL è estremamente più insidioso e pericoloso.

E’ bene tener presente che non esiste una soluzione gratuita, pronta all’uso ed integrata all’interno di TMG 2010 o ISA 2006 che risolva questo problema. Abbiamo due soluzioni: 
1-  rivolgersi ai servizi a pagamento (vedi filtri ISAPI)
2- farci in casa una lista nera utilizzando servizi gratuiti presenti in Internet (bella sfida!!).
Per il primo punto vi rimando ad un mio precedente post - TMG 2010: Alternative per il web Filtering.
Per il secondo punto invece, vi segnalo l’articolo su MSDN Blocking Malware Domains in ISA 2006 di Alex Homer, oltre a fornivi il link allo strumento MalwareDomains.com ISA Import di cui vi riporto una screen capture:
MD2ISA_screen1 
Non ho avuto modo di provarlo con TMG 2010, se lo ritenete utile e volete renderlo disponibile alla community, ben lieto di dargli evidenza sul blog.

Per domande, commenti potete scrivere sul blog, sul forum di ISAserver.it oppure via mail a lconte<at>isaserver.it.

A presto
Luca Conte
Fondatore di ISAserver.it
MCSE/MCSA:Security, MCT, MCITP:Windows 2008
MCTS: Windows Virtualization, VMWare VCP
IEEE Member, CS Member
ISA/TMG Server Jumpstart 2012
27/28 Nov – Milano (iscrizioni aperte!)

 

Riferimenti
The Russian Mastermind Behind Backdoor.Proxybox
BotNet
SANS Institute
Detecting Anonymous Proxy Usage Handouts
Detecting and Preventing Anonymous Proxy Usage
Protecting Your Network Against Risky SSL Traffic
Anonymous Proxy: A Growing Trend in Internet Abuse, and How to Defeat It
Blocking Malware Domains in ISA 2006
MalwareDomains.com ISA Import
Donwload ISA Import

Etichette: , , ,

0 Comments:

Posta un commento

<< Home