Lamentablemente, nuestra organización no puede controlar quienes acceden a Internet o monitorear su tráfico; cualquier persona, con tan sólo conectarse a Internet puede acceder a cualquier otro equipo conectado, empleando casi cualquier aplicación o protocolo; frente a ello definir los limites entre lo ‘externo’, a lo cual todos pueden acceder y lo ‘interno’, a lo cual solo accederán usuarios con privilegios es de crucial importancia al momento de realizar el diseño de nuestra infraestructura. ISA Server; ayuda en esta tarea mediante las siguientes funcionalidades.

Firewall

Un Firewall es un dispositivo que aplica un filtro entre 2 segmentos de red, dejando pasar solo el trafico autorizado; esto se
consigue mediante el empleo de ‘Reglas de filtrado de trafico’, que definen los paquetes autorizados a pasar, dicho filtrado puede ser por tipo de Protocolo (HTTP, FTP, SMTP, etc ), fuente (Direccion IP o segmento de Red) o destino del paquete (Direccion IP o segmento de Red).

Asimismo Isa permite un filtrado en la capa de aplicación, característica sumamente importante en la actualidad dado que existen
muchas aplicaciones (como Kazaa, Messenger, etc.) que aprovechan el hecho de que prácticamente todas las organizaciones permiten el trafico a través de HTTP (puerto 80) para poder conectarse a Internet y emplean dicho protocolo. El filtrado en la capa de aplicación bloquea el tráfico en el puerto 80 basándose en métodos HTTP, empleado para bloquear ciertas aplicaciones; o firmas, empleada para bloquear virus, código malicioso o aplicaciones.

Asegurar el Acceso a Internet (Proxy)

Internet es una fuente crítica de información y comunicación, permitir el acceso del personal a ella es inevitable, por lo que,
asegurarnos de que dicha conexión sea segura y no sea mal empleada debe ser una tarea primordial, esto se logrará si:

• Los usuarios pueden acceder sólo a los sitios web y tipos de recursos autorizados por la organización, empleando un navegador u otra aplicación. Evitando que los usuarios accedan a sitios altamente riesgosos en Internet o consuman gran ancho de banda al acceder a recursos de gran tamaño.
• La conexión a Internet no revela información que pueda servir para iniciar un ataque; datos como el nombre de la computadora, el usuario, la dirección Ip y otros deben permanecer ocultos.
• Los datos que son transferidos desde y hacia Internet, muchas veces confidenciales, tanto personales (números de tarjetas de crédito, passwords de cuentas) como organizacionales (información confidencial, códigos fuentes, información financiera, etc.) deben mantenerse asegurados cuando dejen nuestra red interna.

ISA Server puede ser usado para asegurar conexiones de clientes accesando a recursos en internet. Para activar esto, debemos configurar los equipos clientes para que accedan a Internet a través de l equipo donde se ubica el ServidorISA esto hace q Isa opere como un servidor Proxy entre los clientes e Internet:

Cuando algún cliente haga una petición a algún servidor Web, la petición ira primero al servidor Isa y este lo retransmitirá a su
destino; del mismo modo, la respuesta del servidor web llegara primero al servidor isa y este entregara la información al equipo cliente. La comunicación entre los equipos clientes e Internet será siempre indirecta. Además esta funcionalidad también permite filtrar las peticiones y respuestas, basados en información como nombre de usuario, IP del cliente, protocolo y contenido de la respuesta, por lo que es posible restringir que usuarios pueden acceder con que aplicaciones pueden acceder y el tipo de información a la que pueden acceder.

Un cursor o icono animado es una imagen construida por una serie de cuadros, para dar la ilusión de movimiento. La animación es el resultado de ir cambiando un frame por otro, en una secuencia repetitiva. Las extensiones usadas para este tipo de archivo son .ANI, .ICO. y .CUR.

Muchos sitios en Internet usan cursores animados para mejorar el atractivo de las páginas web y de esta manera mantener y aumentar el número de visitantes.

Windows es propenso a un desbordamiento de memoria cuando procesa estos archivos, si los mismos han sido modificados maliciosamente. El sistema no valida correctamente el tamaño del archivo especificado en la información del mismo, produciéndose el error. El Explorador de Windows es vulnerable a este fallo porque al abrir una carpeta analiza los archivos allí contenidos. También lo es cuando se selecciona un cursor animado para el sistema operativo.

Internet Explorer se ve afectado cuando procesa un archivo .ANI en una página HTML.

También es afectado Mozilla Firefox, al interpretar estos archivos, permitiendo la ejecución maliciosa de código.

Un atacante que se aproveche del fallo, puede causar una denegación de servicio o la ejecución de código remoto. Las características de esta vulnerabilidad permiten usar múltiples vectores de ataque para lograr su objetivo, e infectar o paralizar el ordenador.

Ha sido publicado por Microsoft un aviso de seguridad relacionado con este fallo. No se ha publicado ninguna actualización que lo solucione, a pesar de que el problema era conocido desde diciembre de 2006.

Lo más grave de todo esto, es que la vulnerabilidad está siendo activamente utilizada para la ejecución e instalación de troyanos en forma oculta, la mayoría a través de sitios de Internet que han sido comprometidos.

Actualmente NOD32 detecta la mayoría de estos códigos maliciosos como Win32/TrojanDownloader.Ani.G.

El software afectado es:

• Microsoft Windows 2000
• Microsoft Windows XP
• Microsoft Windows Server 2003
• Microsoft Windows Vista

Se recomienda no abrir enlaces no solicitados ni visitar sitios web con cursores animados.

Debido a que puede propagarse con el uso de código HTML, un factor mitigante es leer los mensajes de correo electrónico en formato solo texto. Otro factor que ayuda es usar el formato clásico cuando se examinan carpetas en el explorador de Windows.

El panel de Vista Previa en el Outlook Express es afectado automáticamente por la vulnerabilidad sin intervención alguna del usuario.

Los usuarios de Windows Vista no se ven afectados mientras no contesten o reenvien el mensaje sospechoso de provocar el fallo.