Tenemos Fortigate 100D que tiene perfiles de antivirus habilitados como SMPT, POP3 e IMAP.
¿Cómo se puede asegurar que el antivirus funciona como se esperaba?
Por ejemplo, parece que Fortigate ya tiene una firma para el malware "Locky" pero una de nuestras PC está infectada.
Entonces, ¿cuál es el mejor enfoque para probar la eficacia del firewall interno?
La prueba de si la detección está configurada correctamente se puede hacer usando el virus de prueba EICAR . Este virus es inofensivo por sí mismo, pero cualquier detección de malware debería poder detectarlo, incluso si no tiene firmas actuales.
Por supuesto, esto solo le dirá si el firewall está configurado correctamente. No le proporciona información sobre la efectividad de la protección, es decir, qué tan bien protege contra el malware existente y qué tan rápido alcanzará el nuevo malware. Ningún firewall es capaz de ofrecerle una protección completa sin importar lo que digan, ya que también necesitan ponerse al día con nuevas variedades de malware. Para saber qué tan rápido reacciona el vendedor ante nuevos ataques, no puede creer reclamos de marketing, pero tiene que preguntar a otros que hayan usado los productos o a investigadores independientes.
Aparte de eso, el análisis en dichos firewalls (UTM, NGFW ...) a menudo se puede omitir fácilmente. Las pequeñas modificaciones del tráfico suelen ser suficientes para hacer que dichos cortafuegos sean ciegos. En caso de tráfico web, puede verificar las reclamaciones de marketing utilizando mi sitio de prueba de evasor de HTTP con su navegador (consulte estos detalles sobre cómo funciona). Y aunque no tengo una herramienta de análisis automatizada similar para SMTP, POP, IMAP, etc., he hecho investigación similar para correos electrónicos que también muestra formas sencillas de omitir el análisis.
Lea otras preguntas en las etiquetas firewalls penetration-test antivirus