Los servidores de seguridad, incorporan un antivirus, para protegernos mientras navegamos por internet o escaneando los archivos adjuntos a los emails, pero si entendemos como funcionan algunos malwares o virus, no solo el antivirus nos tiene que ayudar proteger nuestra información ya que vamos a poder activar una serie de medidas para protegernos de los Ransomware:
¿ Que es el RANSOMWARE? Es una forma de malware que se instala sobre un dispositivo y cifra todo su contenido, haciendolo inaccesible para el usuario hasta que pague un rescate ( de una forma muy dudosa, porque aunque se pague no se garantiza en la mayoria de los casos el rescate ).
Los spreads de Ransomware suelen estar disfrazados dentro de lo que parece contenido legítimo, como , por ejemplo, una factura en archivo adjunto, o un archivo comprimido conteniendo fotos o cualquier tipo de archivos que la potencial victima no considere peligrosos para que los ejecute...
Servidor de Seguridad configuración de servicios para protegernos del RANSOMWARE:
- FIREWALL el Ransomware intentará contactar con el llamado servidor de comando y control ( C & C ), que se encargará de generar un par de claves RDA ( privado / público ), almacenando la clave privada y enviando la clave pública a la victima, para impedir las conexiones ( C & C ), deberemos añadir una regla dentro del servicio firewall ( en concreto en Acciones de firewall saliente ) que impida conectar con el servidor de comando por medio de los dos protocolos que usa ( Torrents y TOR ), al impedir las conexiones torrents como vector de infección y las conexiones TOR impediremos que se genere una clave y el virus se active.
- Servicio Prevención de intrusiones no solo puede detectar sino también bloquear el tráfico generado desde el RANSOMWARE , para lo cual debemos activar una de las reglas dentro del servicio ( regla auto/emerging-trojan.rules)
- Servicio Proxy activando varios servcios:
- Filtro de contenidos se puede denegar la posibilidad de navegar por páginas con altas posibilidades de infectarnos como las páginas porno, pirateria...
- Antivirus activandolo para la navegación web y para los emails
- Https proxy, los vectores de infección a menudo usa conexiones HTPPS para propagarse, por lo tanto, el proxy https se puede usar para interceptar conexiones permitir sólo las conexiones légitimas a sitios conocidos mediante ( DNS proxy ). ( RANSOMWARE, alterará la configuración del HOST infectado, para poder contactar a los servidores que redirecciona el RANSOMWARE ), al tener activado el DNS proxy el servidor de seguridad evita e intercepta todas las consultas sobre HOST no legitimos, bloqueando cualquier posibilidad de que el RANSOMWARE se comunique con sus servidores.
Al aplicar y configurar todos estos servicios de seguridad en nuestro servidor, podemos proteger nuestra red de la mayoria de los Ransomware.