Digamos que tengo un servidor llamado A que aloja un sitio web de carga que está conectado a la conexión de red B. Digamos que uno de mis clientes carga varios archivos .rar de 1 MB (que contienen partes de malware) y cuando los descomprimo Reconstruyo el malware. ¿Hay alguna forma de detectar las partes de malware antes de descomprimir los archivos?
¿Puedo tener un firewall / dispositivo que verifique todos los archivos entre A y B y los bloquee?
¿Es esto técnicamente posible?
Por lo general, el análisis funciona solo a nivel de una sola descarga y es muy difícil hacerlo de manera diferente. El firewall no tiene conocimiento de que una descarga específica sea solo una parte de una sesión de descarga más grande y donde el resto de los datos se puedan descargar para un análisis completo.
Pero dependiendo del formato del archivo, el firewall podría al menos detectar que es parte de una descarga más grande o que este es un formato de datos desconocido. Y podría tener una lista blanca de qué tipos de datos están permitidos y datos desconocidos o archivos parciales no forman parte de esta lista blanca. En este caso, es posible que el firewall no pueda analizar la descarga en busca de malware, pero puede decidir bloquear la descarga porque el contenido no está en la lista blanca.
Este tipo de situación también ocurre con los aceleradores de descargas o la reanudación de las descargas, en cuyo caso el firewall también vería solo una descarga parcial. Algunos firewalls se ocupan de este caso cambiando la solicitud del cliente para que resulte en una descarga completa que luego puede ser analizada por el firewall.
En general, este es un problema sin solución. Considere la situación en la que un usuario carga archivos zip cifrados: solo puede descomprimirlos si tiene la contraseña para cada uno. Sin esa contraseña, puede ver el nombre del contenido, pero nada más.
Cada uno de estos archivos puede ser perfectamente legítimo: tal vez sean documentos de Word. Su firewall puede ver que son documentos de Word, pero no lo que son los contenidos. Es posible que incluso puedas adivinar las contraseñas de algunos de estos archivos zip y descomprimir los documentos de Word para descubrir que realmente son documentos de Word válidos. Sin embargo, los documentos de Word son, en versiones modernas, archivos zip en sí mismos, que esencialmente pueden contener cualquier cosa. Su servidor de seguridad no tendría la posibilidad de encontrar eso sin conocer la contraseña del archivo zip externo, y luego inspeccionar el contenido del archivo interno también.
Esta no es la única combinación que permitirá que archivos arbitrarios pasen la mayoría de los cortafuegos. Considere enviar un documento de Word que contenga una cadena de texto Base64, que, al decodificar, es un binario malicioso. Independientemente de los trucos que creas para evitar que los archivos se introduzcan en tu entorno, es posible pensar en formas de evitarlos.
Una mejor manera de lidiar con este problema es permitir la entrada de datos, pero imponer el uso de la detección de malware en el acceso. Esto se activa tan pronto como un archivo se descifra o reconstruye, y lo elimina o bloquea el acceso a él. También tiene la ventaja de trabajar contra el malware introducido por medio de los servidores de seguridad de bypass: memorias USB, dispositivos móviles enchufados, archivos transferidos a computadoras portátiles mientras están en otras redes.
Lea otras preguntas en las etiquetas firewalls malware antivirus antimalware