El beneficio de proteger Linux Monográfico de Sophos Marzo de 2006 Linux ya no se limita únicamente a un grupo reducido de usuarios incondicionales; es cada vez más popular como plataforma de servidores en las empresas. Este documento hace hincapié en los peligros de una interacción entre sistemas Linux desprotegidos y Windows u otras plataformas. Este monográfico analiza asimismo la vulnerabilidad de los entornos informáticos mixtos frente a amenazas cada vez más complejas. También describe cómo Sophos Anti-Virus® responde a los desafíos técnicos de la protección de Linux, basándose en su amplia experiencia con plataformas múltiples para ofrecer una protección integrada. Una herramienta evolutiva para las empresas gubernamentales y educativas conlleva implicaciones de seguridad nada desdeñables. El sistema operativo Linux ha evolucionado notablemente desde que Linus Torvalds produjera la primera versión del kernel de Linux, o “núcleo” del sistema operativo en 1991. Las reglas de código abierto bajo las que se publican todos los kernel de Linux han hecho que su desarrollo sea constante y entusiasta, y el resultado es una gran cantidad de aplicaciones útiles para todos los consumidores. La amenaza para las organizaciones Linux ya no es sólo del dominio exclusivo de un puñado de usuarios dedicados, sino que está siendo adoptado con igual entusiasmo por las grandes empresas e instituciones gubernamentales. Las herramientas de administración, los paquetes de soporte y el servicio en general que ofrecen los principales distribuidores de Linux, como Red Hat, SUSE y TurboLinux, han vuelto Linux mucho más accesible para las empresas. Linux está demostrando ser una herramienta comercial muy popular y se usa cada vez más en elementos de gran importancia tales como servidores de correo, de archivos y de impresión, y el alojamiento de páginas Web. Se prevé que el uso de Linux en las redes de las empresas se siga expandiendo durante los próximos años. Según los analistas de IDC, los ingresos globales del mercado de hardware para servidores y estaciones, y paquetes de software Linux alcanzarán los 35.700 millones de dólares en 2008. Se prevé que el uso de Linux en empresas siga creciendo durante los próximos años. No obstante, es probable que el uso se sitúe principalmente a nivel del servidor. Linux está siendo utilizado en ordenadores personales e incluso portátiles, pero la mayoría de las empresas prefieren adoptar una solución multiplataforma, con Linux en los servidores y Windows o Mac en las estaciones de trabajo. Desde el punto de vista de la seguridad, tradicionalmente la percepción era que Linux es una plataforma más complicada de utilizar pero más segura que Windows u otros sistemas. Sin embargo, el uso creciente de distribuciones comerciales de Linux en redes corporativas, Los virus de Windows pueden ocultarse en ordenadores Linux sin protección y expandirse al resto de la organización cuando ambos sistemas interactúan, lo que provocaría un daño significativo. Los virus de Windows en servidores Linux también pueden llegar a las redes de otras empresas, lo que no sólo dañaría la reputación y la credibilidad de su organización, sino que también podría implicar responsabilidades legales. La propagación de código malicioso desde y hacia sistemas Linux se produce a través de protocolos Web y de correo electrónico, así como en unidades compartidas de red como Samba y NFS. Los virus de Windows pueden ocultarse en ordenadores Linux sin protección y expandirse al resto de la organización. ¿Cuál es el grado de vulnerabilidad de los ordenadores Linux? Es una pregunta que cabe plantearse, dado que la gran mayoría de virus, gusanos, programas espía y troyanos están diseñados para los sistemas Windows. Esto se debe principalmente a que Microsoft domina el mercado. Pero si Linux continúa expandiéndose como sistema operativo de uso generalizado, terminará inevitablemente atrayendo la atención de los autores de virus, sobre todo de aquellos con una motivación económica, que además tendrán acceso libre al código fuente de Linux. Finalmente, el uso de múltiples sistemas operativos aumenta la complejidad de cualquier estructura informática. Esto puede suponer un riesgo a la hora de proteger su red contra amenazas cada vez más complejas. Un ejemplo reciente es Bofra, una amenaza híbrida que combina características de gusanos, virus y spam. Según se realicen las migraciones de las redes hacia Linux, será extremadamente importante que su antivirus forme parte de una solución integrada que pueda proporcionar un amplio espectro de protección en todos los niveles y plataformas. Monográfico de Sophos Los problemas de la protección de Linux La complejidad de las amenazas en un entorno multiplataforma se ve agravada por los desafíos técnicos que supone proveer una protección fiable para los entornos Linux. Las tres cuestiones técnicas destacables son el escaneado en acceso, los diferentes kernel y la personalización del sistema. Escaneado en acceso El escaneado en demanda y el escaneado programado ya no son suficientes para proteger los sistemas Linux. Las amenazas actuales pueden propagarse a través de la red en cuanto se accede a un archivo infectado, ya sea por acción directa del usuario o desde alguna función automática del sistema. Por esta razón, el escaneado en acceso es vital. No obstante, proporcionar escaneado en acceso para Linux ha sido históricamente una tarea compleja, incómoda y engorrosa, puesto que el programa antivirus debe conectarse directamente al kernel del sistema. Las amenazas pueden propagarse por la red desde un sistema Linux en cuanto se accede al archivo infectado. La solución es una herramienta que tiene diferentes denominaciones, como módulo, extensión, interfaz o mecanismo de intercepción de archivos. Existen módulos de intercepción de archivos de código abierto disponibles para Linux que suelen venir incorporados en los programas antivirus. No obstante, aunque estos módulos son herramientas útiles y flexibles, pueden presentar limitaciones en términos de fiabilidad y rendimiento, como por ejemplo la imposibilidad de escanear sistemas de archivos como LSM, Syscall y VFS. Diferentes kernel Hay muchos distribuidores de Linux, que suelen ofrecer más de una versión de sus productos. Por ejemplo, un mismo distribuidor puede proponer diferentes versiones según sean para uso profesional o doméstico. Estos programas se actualizan periódicamente para añadir funcionalidades o corregir problemas de estabilidad y seguridad. Ofrecer soporte técnico sobre el programa antivirus para tal cantidad de versiones de kernel puede suponer un auténtico desafío. La mayoría de los fabricantes antivirus tienen dificultades a la hora de responder al ritmo de las actualizaciones y prefieren ignorar los parches intermedios y esperar a una actualización completa del kernel antes de invertir recursos en el soporte, lo que es claramente inaceptable y perjudicial en un entorno corporativo. Personalización del sistema Una de las muchas ventajas del sistema Linux es la facilidad con la que se puede adaptar y modificar para adecuarlo a las necesidades de un entorno de red específico. En algunas organizaciones, el kernel se personaliza por ejemplo para usar sus propias aplicaciones. En cualquier caso, para muchos fabricantes de programas antivirus esto hace que sea muy difícil o imposible el seguir proporcionando soporte. La solución de Sophos Sophos Anti-Virus para Linux se basa en nuestros 20 años de experiencia en protección multiplataforma. Sophos fue el primer fabricante de seguridad informática en ofrecer protección para usuarios de UNIX. Sophos Anti-Virus para Linux ha sido diseñado para proporcionar una protección fiable en complejas redes multiplataforma, enfrentándose a los desafíos de seguridad y diseño que supone Linux. •Sophos Anti-Virus para Linux incorpora un módulo de intercepción de archivos único, diseñado para proporcionar un escaneado en acceso de alto rendimiento y con un impacto mínimo en el sistema. Sophos Anti-Virus para Linux sienta nuevas bases en rapidez, fiabilidad, estabilidad y escalabilidad. También escanea sistemáticamente los sistemas de archivos distribuidos, lo que garantiza una protección completa para redes. • El escaneado en acceso de Sophos Anti-Virus para Linux está basado en la tecnología Decision Caching™ que escanea sólo los archivos nuevos o que han sido modificados desde el último escaneado, lo que supone un mayor rendimiento. • Sophos soporta un amplio abanico de distribuciones de Linux y versiones de kernel. Cuando uno de los fabricantes de Linux compatibles con Sophos Anti‑Virus lanza una actualización de su kernel, Sophos actualizará el módulo para dicho kernel y su actualización se descargará automáticamente a la red. • Sophos Anti-Virus para Linux puede recompilarse de forma automática para seguir siendo compatible con el nuevo kernel cuando éste se actualice, ofreciendo una protección ininterrumpida incluso antes de que la nueva versión de Sophos Anti-Virus esté disponible. Esta funcionalidad también permite a Sophos Anti‑Virus adaptarse a un kernel personalizado de manera automática.* Sophos Anti-Virus para Linux también actualiza automáticamente la red con las últimas identidades de virus. Este proceso se lleva a cabo de dos maneras: • En los entornos Linux puros: mediante el uso de servidores Linux en cascada y actualizaciones directas desde Sophos como vemos en el gráfico 1a. • En los entornos multiplataforma: mediante una combinación de la herramienta de actualización centralizada, EM Library™, y los directorios de instalación central (CID), como vemos en el gráfico 1b. Para la gestión y la administración podrá elegir entre una interfaz Web gráfica o la línea de comandos. Sophos localiza * Si recompila Sophos Anti-Virus en una distribución Linux que no está soportada por Sophos o con un kernel personalizado, Sophos se reserva el derecho de no proporcionar soporte técnico en estos sistemas. El beneficio de proteger Linux y desinfecta el código malicioso en acceso, en demanda o de manera programada usando los comandos “at” o “cron”. La velocidad creciente a la que surgen las nuevas amenazas también se combate mediante la tecnología Genotype™, que forma parte del motor de detección de Sophos y protege contra las familias de virus antes incluso de que exista una protección específica. 1a Servidor Linux Estaciones Linux Servidor Linux Estaciones Linux Servidor Linux 1b Estación Windows EM Library Servidor Linux CID Estación Linux Gráfico 1: Sistema de actualización automática de Sophos Anti-Virus para Linux en redes Linux (1a) y en redes multiplataforma (1b). Gestión integrada contra las amenazas Las soluciones de Sophos abarcan la totalidad de la infraestructura informática. Nuestra experiencia en la protección tanto de la pasarela de correo como del punto final nos permite ofrecerle la mejor defensa contra virus, gusanos, troyanos, programas espía y spam, en servidores, estaciones de trabajo y portátiles. Dado que Sophos se centra exclusivamente en las necesidades de las empresas, las organizaciones que utilizan Sophos Anti-Virus para Linux disponen de un servicio técnico 24 horas. Este soporte técnico está además respaldado por SophosLabs™, nuestra red global de centros de análisis de amenazas que lleva a cabo una tarea constante de investigación e identificación de amenazas de virus y spam. Conclusión El aumento de la utilización de Linux en las redes corporativas implica que las cuestiones de seguridad relativas a Linux pasan a ser una amenaza real y creciente para las empresas. El mayor peligro reside en la complejidad creciente tanto de las amenazas como de los entornos informáticos, ya que hay virus para Windows que pueden ocultarse en “portadores” Linux. Sophos Anti-Virus para Linux da respuesta a estas problemáticas con una solución que protege redes complejas e incluye funciones de escaneado en acceso, actualización automática y una interfaz de administración muy intuitiva. Gracias a nuestros 20 años de experiencia, nuestra capacidad de investigación y desarrollo, nuestra sólida tecnología y nuestro enfoque multiamenaza y multiplataforma, Sophos le ofrece la mejor solución integrada para el control de amenazas en un entorno corporativo. Para obtener más información sobre Sophos y sobre cómo nuestros productos pueden proteger su empresa, visite www.esp.sophos.com. Fuentes 1 The Linux Marketplace – Moving From Niche to Mainstream [prepared for OSDL], IDC Software Consulting, 14 de diciembre 2004 (www.osdl.org/docs/ linux_market_overview.pdf) Acerca de Sophos Sophos es el líder mundial en soluciones integradas de control de amenazas para empresas, educación y gobiernos. Nuestros productos, caracterizados por su gran precisión y facilidad de uso, protegen a más de 35 millones de usuarios en más de 150 países. Con más de 20 años de experiencia, Sophos cuenta con dedicados técnicos antivirus y anti-spam, y con una red global de análisis de amenazas, para responder con rapidez ante cualquier nueva amenaza – por compleja que resulte – y garantizar así el más alto nivel de satisfacción del cliente. Boston, EE.UU. • Mainz, Alemania • Milán, Italia • Oxford, GB • París, Francia Singapur • Sydney, Australia • Vancouver, Canadá • Yokohama, Japón © Copyright 2006. Sophos Plc. Todas las marcas registradas reconocidas por Sophos. Ninguna parte de esta publicación puede ser reproducida,almacenada o transmitida de ninguna forma, ni por ningún medio, sin la previa autorización escrita por parte del propietario. www.esp.sophos.com