La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Gira Seguridad 2005 Microsoft TechNet Con la participación de: y José Parada Gimeno Evangelista Microsoft TechNet Chema Alonso MVP Windows Server Security.

Presentaciones similares


Presentación del tema: "Gira Seguridad 2005 Microsoft TechNet Con la participación de: y José Parada Gimeno Evangelista Microsoft TechNet Chema Alonso MVP Windows Server Security."— Transcripción de la presentación:

1

2 Gira Seguridad 2005 Microsoft TechNet Con la participación de: y José Parada Gimeno Evangelista Microsoft TechNet Chema Alonso MVP Windows Server Security

3 Agenda I Introducción Técnicas Hacker de envenenamiento en redes de datos Spoofing ARP DNS Hijacking Phising Mail Spoofing Contramedidas Hacking I. Protección de servidores. Cifrado y autenticado de conexiones. IpSec Hardering de Servidores.

4 Agenda II Contramedidas Hacking II. Protección de Servicios de correo. Conexiones seguras con RPC/HTTPS VPNs Evolución de las VPNs VPNs Seguras con MPLS Hosting de Aplicaciones en VPNs con MPLS Soluciones con ISA Server 2004 sobre las VPNs de ONO. Tecnicas Hacker de Spamming. Técnicas Eurísticas, Bayesianas y Finger Printing Contramedidas Spaming

5 Introducción Motivos Impacto Análisis de Incidentes Análisis de Vulnerabilidades

6 ¿Que es Seguridad? Seguridad, es un termino relativo y no absoluto ¿Que es lo que esta seguro? ¿Contra quien se esta seguro? ¿Contra que se esta seguro? ¿Hasta cuando se esta seguro? ¿Que intensidad de ataque se puede resistir? Por lo tanto sin un contexto el termino Seguridad no tiene sentido

7 ¿Porque Atacan? Motivos Personales Desquitarse Fundamentos políticos o terrorismo Gastar una broma Lucirse y presumir Motivos Financieros Robar información Chantaje Fraudes Financieros Hacer Daño Alterar, dañar or borrar información Deneger servicio Dañar la imagen pública

8 Motivos La tecnología tiene fallos. Es muy fácil hacerlo. No hay conciencia clara del delito Porque MOLA!!

9 Incidentes Reportados al CERT Data Source: CERT (

10 Vulnerabilidades por Años Data Source: CERT (

11 Source: Company web sites Trustix1.5Debian Windows XP Sun (OS) Mandrake8.x RedHat7.2Windows2000EnGardeSuSE Problema de la Industria IT Vulnerabilidades en Sistemas Operativos

12 Source: Company web sites Windows 2003 OpenBSD Windows XP Windows 2000 SuSESUNMandrakeRedHatDebian Problema de la Industria IT Vulnerabilidades en Sistemas Operativos

13 Fuentes Debian: Mandrake: Microsoft: Open BSD: Sun: Suse: RedHat:

14 Vulnerabilidades

15 Problema de la Industria IT Vulnerabilidades en Sistemas Operativos - Agosto 2004

16 Sofisticación de los Ataques vs. Conocimientos requeridos

17 Técnicas Hacker de Envenenamiento en Redes de Datos Con la participación de: y José Parada Gimeno Evangelista Microsoft TechNet Chema Alonso MVP Windows Server Security

18 El Modelo OSI 1.Fisico 2. Conexión 3. Red 4. Transporte 5. Sesión 6. Presentación 7. Aplicación

19 ARP, RARP En Realidad Cuatro capas son suficientemente representativas 1. interface 2. Red 3. Transporte 4. Aplicación IP, ICMP, IGMP TCP, UDP, IPsec HTTP, FTP, TFTP, telnet, ping, SMTP, POP3, IMAP4, RPC, SMB, NTP, DNS, … 8-5. usuario

20 Técnicas de Spoofing Las técnicas spoofing tienen como objetivo suplantar validadores estáticos Un validador estático es un medio de autenticación que permanece invariable antes, durante y después de la concesión.

21 Niveles Afectados SERVICIO RED Dirección IP ENLACE Dirección MAC Nombres de dominio Direcciones de correo electrónico Nombres de recursos compartidos

22 Tipos de técnicas de Spoofing Spoofing ARP Envenenamiento de conexiones. Man in the Middle. Spoofing IP Rip Spoofing. Hijacking. Spoofing SMTP Spoofing DNS WebSpoofing.

23 Técnicas de Sniffing Capturan tráfico de red. Necesitan que la señal física llegue al NIC. En redes de difusión mediante concentradores todas las señales llegan a todos los participantes de la comunicación. En redes conmutadas la comunicación se difunde en función de direcciones. Switches utilizan dirección MAC.

24 Sniffing + Spoofing Hijacking (Secuestro) Y Envenenamiento Técnicas Combinadas

25 Nivel de Enlace: Spoofing ARP Suplantar identidades físicas. Saltar protecciones MAC. Suplantar entidades en clientes DHCP. Suplantar routers de comunicación. Solo tiene sentido en comunicaciones locales.

26 Dirección Física Tiene como objetivo definir un identificador único para cada dispositivo de red. Cuando una máquina quiere comunicarse con otra necesita conocer su dirección física. Protocolo ARP No se utilizan servidores que almacenen registros del tipo: Dirección MAC Dirección IP. Cada equipo cuenta con una caché local donde almacena la información que conoce.

27 Sniffing en Redes de Difusión PC HACKER PC 1 PC 2 PC 3 PC 4 Sniffer Datos PC 4 filtrafiltra

28 PC HACKER PC 1 PC 2 PC 3 PC 4 Sniffer Datos PC 4 MAC 1 MAC 2 MAC H MAC 3 MAC 4 Puerto 1 MAC 1 Puerto 2 MAC 2 Puerto 6 MAC H Puerto 11 MAC 3 Puerto 12 MAC 4 Sniffing en Redes Conmutadas

29 Envenenamiento de Conexiones: Man in the Middle La técnica consiste en interponerse entre dos sistemas. Para lograr el objetivo se utiliza el protocolo ARP. El envenenamiento puede realizarse entre cualquier dispositivo de red.

30 Envenenamiento de Conexiones:Man in the Middle PC 1 IP 1 MAC 1 PC 2 IP 2 MAC 2 PC H IP H MAC H IP 2 – MAC H IP 1 – MAC H CACHE ARP IP 2 – MAC H CACHE ARP IP 1 – MAC HCONEXIÓNPC2 REENVÍO A HOST

31 Ataque ARP M an I n T he M iddle ¿Quien tiene ? esta en 99:88:77:66:55: esta en 00:11:22:33:44:55: esta en 99:88:77:66:55:4 4

32 Man in the Middle Sirve como plataforma para otros ataques. DNS Spoofing. WebSpoofing. Hijacking. Sniffing Se utiliza para el robo de contraseñas.

33 Demo Envenamiento entre hosts. Robo de contraseñas. DNS Hijacking. Phising (WebSpoofing). HTTPS Spoofing.

34 Protección contra Envenenamiento Medidas preventivas. Control físico de la red. Bloqueo de puntos de acceso. Segmentación de red. Gestión de actualizaciones de seguridad. Protección contra Exploits. Protección contra troyanos.

35 Protección contra Envenenamiento Medidas preventivas. Cifrado de comunicaciones. IPSec. Cifrado a nivel de Aplicación: S/MIME. SSL. Certificado de comunicaciones.

36 Medidas preventivas. Utilización de detectores de Sniffers. Utilizan test de funcionamiento anómalo. Test ICMP. Test DNS. Test ARP. Protección contra Envenenamiento

37 Frase vs. Passwords

38 Las 4 leyes fundamentales de la protección de datos Autentica en todas partes. Valida Siempre. Autoriza y audita todo. Cifra siempre que sea necesario.

39 Cifrado y autenticado de conexiones con IPSec en redes Windows Con la participación de: y José Parada Gimeno Evangelista Microsoft TechNet Chema Alonso MVP Windows Server Security

40 Cifrado de Comunicaciones IPv4 no ofrece cifrado de comunicaciones a nivel de red y transporte. Solo se puede garantizar la no interceptación de la información en líneas privadas. Los entornos son abiertos. Movilidad. La privacidad de la información es una necesidad

41 Cifrado de Comunicaciones La elección de la protección debe cumplir: –No anular otras defensas. –Permitir autenticación integrada. –No suponer un coste excesivo en: –Rendimiento. –Adquisición. –Implantación. –Mantenimiento.

42 Cifrado de Comunicaciones Soluciones: –Red : IPv6 -> IPSec. –Transporte: –TLS –SSL –Aplicación: –HTTP-s –FTP-s –S/MIME –SSH. –Datos: Cifrado información.

43 IPSec - Definición IPSec es unprotocolo que sirve para proteger las comunicaciones entre equipos. Ofrece las siguientes características: –Autenticación –Integridad –Confidencialidad (cifrado)

44 IPSec - Objetivos Proteger el contenido de las cabeceras IP contra ataques activos y pasivos mediante : –Autenticación de la cabecera. –Cifrado del contendio. Defender los equipos contra ataques de red: –Filtrado de conexiones (sniffing). –Autenticación de conexiones.

45 IPSec - Funcionamiento Dos grupos de protocolos distintos –Protocolos de gestión de claves: –IKE ( Internet Key Exchange) y sus asociados ISAKMP y OAKLEY KEY) –Protocolos de autenticación, cifrado y manipulación de paquetes: –AH ( Autentication Header ) –ESP ( Encapsulating Security Payload )

46 IKE - Funcionamiento IKE tiene dos modos de funcionamiento. Modo Principal y Modo Rápido. –Centraliza la gestión de asociaciones (SA) para reducir el tiempo. –Genera y gestiona las claves usadas para securizar la información.

47 IPSec – Proceso de Cifrado El proceso de cifrado está compuesto de dos protocolos. –Autenticación de cabecera (AH) –Cifrado de Tráfico (ESP)

48 Cabecera de Autenticación Authentication Header (AH) ofrece: –Autenticacion. –Integridad. Funcionalidades –Kerberos, certificados o los secretos compartidos pueden ser utilizados para autenticar el tráfico. –La integridad se calcula con algoritmos SHA1 o MD5 que calculan el Integrity Check Value (ICV)

49 IPSec – Cabecera AH. Autenticidad de los datos Integridad de los datos Contra la retransmisión Protección contra la suplantación Encab. IP AH Encab. TCP/UDP Datos de aplicaciones Firmado Encabezados de autenticación

50 Cabecera ESP Encapsulating Security Payload (ESP) ESP ofrece: –Confidencialidad. ESP puede ser utilizada sola o combinada con AH. Multiples algoritmos de cifrado –DES – claves de cifrado de 56-bit –3DES – claves de cifrado de 168-bit Multiples algoritmos de firmado. –SHA1 – 160-bit digest –MD5 – 128-bit

51 Cabecera ESP Nuevo encab. IP ESP Hdr Cifrado Firmado Autenticación del origen Cifrado de los datos Contra la retransmisión Protección contra la suplantación Carga de seguridad de encapsulación Encab. IP original Encab. TCP/UDP Datos de aplicaciones Fin. ESP Aut. ESP

52 IPSec - Firewalls IPSec se enruta como tráfico IPv4. En firewalls debe ser activado el reenvio IP para: –IP Protocol ID 50 (ESP) –IP Protocol ID 51 (AH) –UDP Port 500 (IKE) El tráfico IPSec que pasa por un firewall no puede ser inspeccionado.

53 filters filters SA Establishment NIC TCPIP Application Server or Gateway IPSecDriver IPSecPolicyAgent IKE (ISAKMP) IPSecDriver IPSecPolicyAgent NIC TCPIP App or Service client IKE Responder IKE Initiator UDP port 500 negotiation 1 IKE SA 1 IKE SA 2 IPSec SAs IP protocol 50/51

54 IPSec - Modos de trabajo El sistema IPSEC puede trabajar en dos modos: –Modo de transporte: donde el cifrado se realiza de extremo a extremo. –Modo túnel donde el cifrado se realiza únicamente entre los extremos del túnel.

55 Modos IPSEC Cifrado Modo de túnel Proporciona cifrado y autenticación sólo entre los puntos finales del túnel Cifrado Modo de transporte Proporciona cifrado y autenticación de extremo a extremo

56 IPSEC - Coste de cifrado Disminución del rendimiento que es proporcional al hardware del sistema. –Tiempo de negociación IKE – aproximadamente 2-5 segundos inicialmente –Session rekey < 1-2 segundos Pérdida de la capacidad de filtrado de paquetes. Recursos destinados a la solución de problemas. Concienciación técnica de su necesidad y su uso.

57 IPSec en Windows Se configura mediante políticas –Almacenadas en el Directorio Activo o en en Registro Local del Servidor. –Controlan la entrada y salida de paquetes permitidos. Las Politicas IPSec están formadas por listas de reglas. –Están compuestas de asociaciones de acciones y protocolos. –Se definen a nivel de protocolo o a nivel de puerto. –Acciones permitidas: –Bloquear. –Permitir. –Pedir seguirdad. –Se aplica el filtro más permisivo.

58 IPSec - Políticas Podrán utilizarse políticas por defecto o las creadas manualmente. El sistema proporciona 3 políticas por defecto que van a determinar diferentes comportamientos de la máquina con respecto a IPSEC. –Cliente. –Servidor. –Servidor seguro.

59 IPSec - Política de cliente. Modo de solo respuestas. Un sistema en modo cliente responde a peticiones que le realicen en IPSEC. No inicia conversaciones en modo IPSEC, solamente en claro.

60 IPSec - Política de servidor. Intenta establecer comunicaciones cifradas, pero si la otra máquina no tiene configurado IPSEC la comunicación se establece en claro. Este modo está definido por 3 reglas que determinan el comportamiento general del sistema a las peticiones IP, ICMP y el resto de tráfico.

61 IPSec - Política Servidor Seguro El equipo solo puede establecer comunicaciones seguras. La política establece 3 reglas, para el tráfico de peticiones IP, ICMP y el resto de tráfico.

62 IPSEC - Reglas Las reglas IPSEC determinan el comportamiento del sistema en la transmisión de la información. Las reglas están compuestas por los siguientes objetos: –Filtros. –Acción de filtros. –Método de autentificación.

63 IPSec - Filtros En la configuración de los filtros hay que especificar los siguientes parámetros: –Determinar la posibilidad o no de establecer un túnel de comunicación. –Qué redes o equipos se van a ver afectados. –El método de autentificación para la transmisión. –Métodos de seguridad. –Las acciones de filtrado.

64 IPSec - Autenticación Kerberos –Requiere tiempo de sincronización. –Solo dentro del bosque. Certificados –Requiere la implementación de PKI. –CRL está deshabilitado por defecto. Secretos Compartidos. –Tan seguro como sea el secreto. –En entornos grandes es dificil de mantener.

65 IPSec - PKI Autodespliegue Se puede configurar un entorno de autodespligue de certificados digitales para equipos : –Instalando una Entidad Certificadora Raiz integrada. –Activando la Petición de Certificado Automático en la CPO del dominio.

66 IPSec – Excepciones. IPSec en Windows 2000 no securiza por defecto el siguiente tráfico : –Broadcast –Multicast –RSVP –IKE –Kerberos Windows 2003 por defecto securiza todo el tráfico excepto IKE. Es posible configuarlo como en Windows 2000 –IPSec Default Exemptions Are Removed in Windows Server 2003 –http://support.microsoft.com/default.aspx?scid=kb;EN-US;810207http://support.microsoft.com/default.aspx?scid=kb;EN-US;810207

67 IPSEC- Monitorización IPSecmon IP Security Monitor MMC Snap-In

68 IPSec - Despliegue GPO Despliegue centralizado desde el Directorio Activo. Configuración posible mediante plantillas. Domain OU Site GPO

69 Políticas de Grupo

70 Demo – Configuración IPSec

71 Endurecimiento de Servidores Windows 2003 Plantillas de Seguridad Con la participación de: y José Parada Gimeno Evangelista Microsoft TechNet Chema Alonso MVP Windows Server Security

72 Endurecimiento El aumento de ataques en las redes han hecho necesarias implementar medidas para fortificar los servicios de las empresas. Entre las medidas caben destacar las actualizaciones de los sistemas y la fortificación de los servidores desde la configuración de la seguridad interna mediante plantillas.

73 Plantillas de seguridad Proporcionan los mecanismos para incrementar la seguridad sobre los equipos. Son ficheros que proporcionan la capacidad para simplificar la implantación de seguridad en equipos. Incrementan o modifican las directivas que se están aplicando.

74 Aplicación de Plantillas Las plantillas pueden aplicarse por importación en políticas locales o mediante el uso en GPO. Mediante la herramienta de configuración de seguridad. Mediante línea de comando con la ejecución del comando Secedit.

75 Componentes de las Plantillas de Seguridad Las plantillas de seguridad controlan los siguientes aspectos de una máquina: –Cuentas de usuario. –Auditorías. –Derechos de usuarios. –Opciones de seguridad. –Visor de sucesos. –Grupos restringidos. –Servicios. –Claves de registro. –Sistema de ficheros.

76 Herramientas de Gestión de Plantillas La administración de las plantillas puede ser realizada desde: –La consola Plantillas de seguridad. –Consola configuración y análisis de la seguridad. Ambas herramientas son añadidas como complementos de MMC.

77 Herramientas de Plantillas Administrativas.

78 Configuración y Análisis de la Seguridad. Es una herramienta con doble objetivo: –Proporcionar los mecanismos para comparar la seguridad de una máquina con una base de datos de análisis. –Configurar una máquina con la información de una base de datos creada a través de plantillas.

79 Análisis y configuración.

80 Resultante de políticas. Sistema complementario de los anteriores que evalúa no solo plantillas de seguridad sino GPO. Presenta dos herramientas: –RSoP. Herramienta gráfica. –GPRESULT. Línea de Comando.

81 Demo: Aplicación de Plantillas de Servidores Analísis de Seguridad

82 ¡Descanso! Con la participación de: y

83 RPC sobre HTTPs Con la participación de: y José Parada Gimeno Evangelista Microsoft TechNet Chema Alonso MVP Windows Server Security

84 RPC Sobre HTTP Las llamadas a procedimiento remoto son una de las metodologías de comunicaciones entre máquinas. Outlook 2003 se conecta a Exchange 2003 mediante el protocolo RPC. El establecimiento de RPC sobre HTTP, proporciona 3 niveles de seguridad adicionales sobre las ofrecidas por RPC.

85 Seguridad Proporciona seguridad y autentificación a través de Internet Information Server. Proporciona encriptación SSL. Permite restricciones e inspecciones de información a nivel de RPC proxy.

86 Arquitectura En el procedimiento de una comunicación RPC/HTTPS intervienen los siguientes componentes: –Cliente RPC/HTTPS. –Proxy/Firewall RPC (enrutador). –Servidor RPC.

87 Implementaciones. Microsoft proporciona 2 versiones de implementación de RPC/HTTP. –Versión 1. –No permite el establecimiento de una sesión SSL sobre el RCP Proxy. –No permite autentificación sobre RPC/Proxy. –No opera en granja de servidores. –Versión 2. –Permite SSL. –Soporta autentificación sobre RPC/Proxy. –Opera en granja de servidores.

88 Sistemas operativos. PlataformaSoporteImplementación Windows Server 2003 Cliente, servidor y Proxy RPC Soporta RPC sobre HTTP v1 y RPC sobre HTTP v2. RPC Proxy soporta RPC sobre HTTP v2 cuando se está ejecutando IIS en modo 6.0. RPC Proxy soporta RPC sobre HTTP v1 y RPC sobre HTTP v2 cuando IIS se ejecuta en modo IIS 5.0. Windows XP con SP1 o SP2 Cliente y Servidor Soporta RPC sobre HTTP v1 y RPC sobre HTTP v2 en modo cliente y servidor. No soporta PROXY RPC. Windows XP Cliente y servidor Soporta RPC sobre HTTP v1 solamente en modo cliente y servidor. Windows 2000 Cliente, Servidor y Proxy RPC Soporta programas servidor RPC sobre HTTP y Proxy RPC sobre diferentes equipos. Solamente presenta soporte solo sobre HTTP v1. Windows NT 4.0 with SP4 Cliente, Servidor y Proxy RPC Programas servidor RPC sobre HTTP y Proxy RPC deben ser ejecutadas en la misma máquina. Presenta soporte solo sobre HTTP v1. Windows 95/98Cliente No soporta servidor HTTP sobre RPC. Windows 95 deben tener instalados los componentes DCOM 95 v1.2 o posteriores

89 Ventajas. Soporta una plataforma para transmitir información segura a través de Internet. Permite el enrutamiento de la información a través de una red de forma segura. Proporciona una plataforma de integración de antivirus y antispam para la inspección de tráfico. Evita el uso de licencias e implantaciones VPN.

90 Inspección de tráfico. Con la arquitectura de RPC sobre HTTP antivirus y antispam pueden implementarse en los siguientes niveles: –Cliente. Por ejemplo Outlook –Proxy RPC. Por ejemplo IIS 6.0/ISA Server –Servidor RPC. Por ejemplo Exchange 2003.

91 Configuración Proxy RPC Instalar IIS. Instalar servicios RPC/HTTP desde componentes de Windows. Configuración del servicio virtual RPC en IIS. Activar seguridad en el servicio para utilizar RPC/HTTPS

92 Exchange Exchange soporta el servicio RPC sobre HTTPS. Puede integrarse en la arquitectura Front – End / Back – End. El servidor Front – End podría funcionar como: –Servidor RPC Proxy. –Servidor RPC recibiendo y enviando peticiones a un servidor Proxy.

93 Exchange como servidor RPC

94 Demo: Conexión RPC/HTTPs Outlook 2003 – Exchange 2003

95 MPLS y Hosting de aplicaciones. Interacción con ISA Server Con la participación de: y Julio César Gómez Martín

96 Indice ¿Quién es ONO? Evolución de las VPNs VPNs de Nivel 2 VPNs de Nivel 3. IPSec VPNs Seguras con MPLS Hosting de Aplicaciones con MPLS Soluciones con ISA Server 2004 sobre las VPNs de ONO ISA Server 2004 como Proxy ISA Server 2004 como Firewall

97 ¿Qué es ONO? ONO es la mayor compañía de comunicaciones integradas por banda ancha para particulares y una de las principales para empresas en España Servicios de –televisión + teléfono + internet al mercado residencial (en las demarcaciones con concesión de cable) –servicios y aplicaciones sobre redes IP para empresas (en toda España) Licencias de cable en la Comunidad Valenciana, Mallorca, Castilla La Mancha, Murcia, Santander, Cádiz y Huelva. En febrero de 2004, ONO completó la compra del 61% de Retecal, el operador de telecomunicaciones por cable de Castilla y León.

98 Conectividad ITS: Tránsito Internet Housing: Alojamiento de servidores ASP Exchange e-Baan: ASP Baan (ERP) Streaming Video Hosting Gestionado: Dedicado, compartido Plataforma de negocio Infraestructura Portfolio de servicios VIP: Redes Privadas Virtuales SIG: Acceso a Internet Garantizado Wall: Firewall Gestionado ISP virtual: ISP virtual

99 Indice ¿Quién es ONO? Evolución de las VPNs –VPNs de Nivel 2 –VPNs de Nivel 3. IPSec VPNs Seguras con MPLS Hosting de Aplicaciones con MPLS Soluciones con ISA Server 2004 sobre las VPNs de ONO –ISA Server 2004 como Proxy –ISA Server 2004 como Firewall

100 Definición de VPN Conexiones realizadas sobre una infraestructura compartida Funcionalidad similar (¿mejor?) que una red privada real: –comportamiento (servicio garantizado) –seguridad (integridad datos, confidencialidad) –Seguridad ð aislamiento

101 Evolución de las VPNs VPN de Nivel 3. IPSec Túneles GRE y sobre todo IPSec Autenticación y cifrado de los datos en Internet Encaminamiento basado en IP del túnel Aceleración de cifrado por HW y SW Túneles GRE y sobre todo IPSec Autenticación y cifrado de los datos en Internet Encaminamiento basado en IP del túnel Aceleración de cifrado por HW y SW VPN de Nivel 2 Frame Relay y ATM Definición estática de Circuitos Virtuales (PVCs) Encaminamiento basado en DLCI Escalabilidad y Flexibilidad Limitadas Frame Relay y ATM Definición estática de Circuitos Virtuales (PVCs) Encaminamiento basado en DLCI Escalabilidad y Flexibilidad Limitadas

102 Evolución de las VPNs VPN de Nivel 3. MPLS Combina los niveles 2 y 3 empleando paquetesetiquetados componente derouting de envío Separación de la componente de routing de la de envío Seguridad Seguridad inherente: diferencia y aísla el tráfico VPN generando redes privadas reales Comportamiento Comportamiento de la red: ingeniería tráfico Combina los niveles 2 y 3 empleando paquetesetiquetados componente derouting de envío Separación de la componente de routing de la de envío Seguridad Seguridad inherente: diferencia y aísla el tráfico VPN generando redes privadas reales Comportamiento Comportamiento de la red: ingeniería tráfico

103 Indice ¿Quién es ONO? Evolución de las VPNs –VPNs de Nivel 2 –VPNs de Nivel 3. IPSec VPNs Seguras con MPLS Hosting de Aplicaciones con MPLS Soluciones con ISA Server 2004 sobre las VPNs de ONO –ISA Server 2004 como Proxy –ISA Server 2004 como Firewall

104 Esquema básico funcionamiento 3.Los Routers de Backbone (P) conmutan los paquetes mediante la etiqueta de los paquetes 2. El Router de Borde (PE1) recibe un paquete, marca el paquete con una etiqueta y lo introduce en la red 4. El Router de Borde destino (PE2) elimina la etiqueta y entrega el paquete Delegación Sede Central 1b.- A partir de esta información LDP genera el mapeo de destinos mediante Labels 1a.- Mediante los protocolos de routing Existentes (e.g. OSPF), establecemos los destinos mas apropiados dentro de la red PE PP P P

105 Esquema básico funcionamiento Cliente 1 Cliente 2 Cliente 3 Router PE Router P Backbone MPLS MP-iBGP IGP IS-IS Routing VPN

106 Generación de una VPN Tablas de envío (VRF) para cada VPN en el PE permiten encaminar el tráfico a cada miembro de una VPN Router PE P-Router Tabla de Routing GLOBAL Tabla de Routing GLOBAL Sede #1 Cliente 1 Sede #2 Cliente 1 Sede #3 Cliente 1 Sede #1 Cliente 2 Tabla de Routing Virtual para Cliente 1 Router Virtual para el Cliente 1 Tabla de Routing Virtual para Cliente 2 Router Virtual para el Cliente 2

107 Generación de una VPN Identidad VPN mediante un distintivo de ruta de 64-bit (Route Distinguisher - RD) RD asignado por el operador, desconocido por el cliente RD + dirección IP cliente = dirección IP-VPN, globalmente unívoca Empleo de Route Tarjet (RT) que definen las rutas a importar y exportar de las VRFs Tablas de envío (VRF) para cada VPN en el PE permiten encaminar el tráfico a cada miembro de una VPN

108 Plan de direccionamiento PE-Router XPE-Router YP-Router Z VPN A CPE VPN A /24 CPE VPN B VPN B /24 PE-Router V Actualización MP-iBGP Red= /24 Next Hop= PE-Router X Actualización MP-iBGP Red= /24 Next Hop= PE-Router Y

109 VPN A CPE VPN A VPN B CPE VPN B /24 PE-Router XPE-Router YP-Router Z PE-Router V Plan de direccionamiento Actualización MP-iBGP RD:100:27 Red= /24 Next Hop= PE-Router X Actualización MP-iBGP RD:100:26 Red= /24 Next Hop= PE-Router Y

110 Simplicidad de configuración PE MPLS Backbone PE ! interface FastEthernet0 ip address speed auto ! interface serial0 ip address no ip directed-broadcast no ip route-cache ! ip route serial0

111 PE MPLS Backbone PE ip vrf vpn_cliente rd 12457:5 route-target export 12457:5 route-target export 12457:5 route-target import 12457:5 route-target import 12457:5 ! interface Serial1/1/1 no ip directed-broadcast no ip proxy-arp ip address ip vrf forwarding vpn_cliente ! router bgp address-family ipv4 vrf vpn_cliente redistribute static exit-address-family ! ip route vrf vpn_cliente Simplicidad de configuración

112 Indice ¿Quién es ONO? Evolución de las VPNs VPNs de Nivel 2 VPNs de Nivel 3. IPSec VPNs Seguras con MPLS Hosting de Aplicaciones con MPLS Soluciones con ISA Server 2004 sobre las VPNs de ONO ISA Server 2004 como Proxy ISA Server 2004 como Firewall

113 Visibilidad todos con todos Sede Central VPN Cisco CPE PaP 2Mb Cisco CPE ADSL 4Mb PaP 1Mb Cisco CPE Delegaciones VPN Internet Centralizado INTERNET Red MPLS ONO Conexión SIG con router en Housing. ©Conexión al Backbone IP ©Alta flexibilidad y escalabilidad ©NAT y Servicio Wall Clase C

114 Cable CPE ADSL CPE Agrupacion de VPNs Visibilidad parcial entre VPNs RED ONO (MPLS) Delegaciones TIPO Acceso ADSL/PaP/Cable/RDSI Sede Central (Servicios Centrales) Sede 1 CLIENTE A Sede 1 CLIENTE B Router CPE

115 Visibilidad parcial entre VPNs ip vrf vpn_C rd 12457:56 route-target import 12457:100 route-target export 12457:100 route-target import 12457:101 route-target import 12457:102 ip vrf vpn_A rd 12457:3 route-target export 12457:101 route-target import 12457:101 route-target import 12457:100 ip vrf vpn_B rd 12457:55 route-target export 12457:102 route-target import 12457:102 route-target import 12457:56

116 Servidores de Aplicaciones Internas (INTRANET) Servidor Correo Microsoft ISA Server Hosting de Aplicaciones sobre MPLS Sede Central VPN Delegación 1 Delegación 2 Delegación 3 Red MPLS

117 Hosting de Aplicaciones sobre MPLS ip vrf vpn_cliente rd 12444:406 export map direcciones_loopback route-target export 12444:406 route-target import 12444:406 route-target import 12457:1 ! interface GE-WAN8/2 no ip address negotiation auto mls qos trust dscp ! interface GE-WAN8/2.300 description Conexion con HOSTING cliente encapsulation dot1Q 300 ip vrf forwarding vpn_cliente ip address mls qos trust dscp ! router bgp address-family ipv4 vrf vpn_cliente_s redistribute connected redistribute static

118 Indice ¿Quién es ONO? Evolución de las VPNs VPNs de Nivel 2 VPNs de Nivel 3. IPSec VPNs Seguras con MPLS Hosting de Aplicaciones con MPLS Soluciones con ISA Server 2004 sobre las VPNs de ONO ISA Server 2004 como Proxy ISA Server 2004 como Firewall

119 Gestión de Redes a través de Objetos de Red Soporta cualquier Nº de Redes Pertenecia dinamica a la Red Reglas y Políticas por Red Perimetro2 LAN1 Perimetro1 Internet VPN

120 Reglas de Acceso Permitir Denegar Permitir Denegar Usuarios Red Destino IP Destino Sitio de Destino Red Destino IP Destino Sitio de Destino Protocolo IP Port/Tipo Protocolo IP Port/Tipo Red Origen IP Origen Red Origen IP Origen Schedule Tipo de contenido Schedule Tipo de contenido Las reglas de acceso siempre definen: acción en traficó del usuario del origen al destino con condiciones

121 Porque usar un Servidor Proxy? Mejora la seguridad en el acceso a internet: Autenticación de Usuarios Filtrado de peticiones de cliente Inspección de contenido Log del acceso de los usuarios Esconder los detalles de la red interna. Autenticación de Usuarios Filtrado de peticiones de cliente Inspección de contenido Log del acceso de los usuarios Esconder los detalles de la red interna. ISA Server Web Server Mejora el rendimiento en el acceso a Internet.

122 Servidor Proxy Directo. ISA Server Web Server Esta… El usuario permitido? El Protocolo permitido? El destino permitido?

123 Servidor Proxy inverso? 3 3 Web Server DNS Server ISA Server ¿Esta… la peticíón permitida? el Protocolo permitido? el Destino permitido?

124 Cacheo en ISA Server La cache del servidor ISA almacena una copia del contenido web solicitado en memoria o en el disco duro. Nos proporciona: Mejora de Rendimiento la información se almacena localmente en el servidor ISA. Reduce el ancho de banda no hay trafico adicional hacia internet. Escenarios posibles en modo Cacheo: Cacheo Directo Servidores Web de Internet Cacheo Inverso Servidores Web internos

125 Componentes TCP/IP afectados Dirección destino: 0003FFD329B0 Dirección fuente: 0003FFFDFFFF Dirección destino: 0003FFD329B0 Dirección fuente: 0003FFFDFFFF Physical payload Nivel de enlace Destino: fuente: Protocolo: TCP Destino: fuente: Protocolo: TCP IP payload Nivel de red Puerto destino: 80 Puerto origen: 1159 Nº secuencia: ACK: Puerto destino: 80 Puerto origen: 1159 Nº secuencia: ACK: TCP payload Nivel de transporte Nivel de transporte HTTP, Método de petición: Get HTTP, Versión del protocolo: =HTTP/1.1 HTTP Host: =www.contoso.com HTTP, Método de petición: Get HTTP, Versión del protocolo: =HTTP/1.1 HTTP Host: =www.contoso.com Nivel de aplicación Nivel de aplicación

126 Web Server ISA Server Packet Filter Packet Filter ¿Que es el filtrado de paquetes? Está … lá dirección fuente permitida? lá dirección destino permitida? el protocolo permitido? sl puerto de destino permitido?

127 ¿Que es el filtrado de paquetes? Web Server ISA Server Web Server Reglas de conexión Crear la regla de conexión Es el paquete parte de la conexión?

128 ¿Que es el filtrado por aplicación? ISA Server Respuesta al cliente Está permitido el método? Está la respuesta permitida en contenido y métodos? Web Server

129 Funcionalidades IDS ISA Server Alerta al administrador Ataque de escaneo de puertos Excedido el límite del escaneo de puertos

130 Filtrado del tráfico de red en ISA Server 2004 TCP/IP Ingenieria Firewall Servicios de Firewall Filtrado de Aplicaciones Filtrados Proxy WEB Reglas De Ingenier ia Reglas De Ingenier ia Filtrados WEB Filtrado por estado y protocolo Filtrado por estado y protocolo Filtrado por aplicación Modo Kernel Bomba de datos Modo Kernel Bomba de datos Filtrado de paquetes 1 1

131 Resumen: Implementing ISA Server 2004 como Firewall En un entorno de Hosting de aplicaciones con MPLS: Determinar el perímetro de configuración de Red Configurar las reglas sobre las distintas redes Configurar la política del sistema Configurar la detección de intrusiones Configurar las reglas de acceso Configurar los servicios y políticas de anunció WEB Determinar el perímetro de configuración de Red Configurar las reglas sobre las distintas redes Configurar la política del sistema Configurar la detección de intrusiones Configurar las reglas de acceso Configurar los servicios y políticas de anunció WEB

132 Reglas de publicación de servicios ISA Server Las reglas de publicación aplican a los servidores: Redireccíonar la petición a la red interna (DMZ) Comunicaciones basadas en protocolo y puerto Las reglas de publicación aplican a los servidores: Redireccíonar la petición a la red interna (DMZ) Comunicaciones basadas en protocolo y puerto Publicar el contenido usando múltiples protocolos Filtrado a nivel de aplicación para protocolos con filtros de aplicación en ISA Publicar el contenido usando múltiples protocolos Filtrado a nivel de aplicación para protocolos con filtros de aplicación en ISA Soporte para encriptación Logar dirección IP de clientes Soporte para encriptación Logar dirección IP de clientes

133 Muchas Gracias

134 Técnicas de detección de SPAM Con la participación de: y Jacobo Crespo Sybari Software

135 AGENDA 1.Presentación 2.Herramientas de Filtrado de Contenido 3.Filtros AntiSpam en MS Exchange Server Intelligent Message Filter en Exchange 2003 – Demo 5.Advance Spam Manager – SpamCure – Demo

136 ¿Quienes Somos? 1.Fabricante de Seguridad orientado a Mensajería: Correo Electrónico (Exchange) Portales para publicación de documentos (Sharepoint Portal Server) Servidores de Mensajería Instantánea (Live Communication Server) 2.Que ofrece: Hasta 8 motores de AV Simultáneos Control del contenido enviado en el correo (palabras, adjuntos, tamaño,…) Soluciones Antispam (borrado, etiquetado,….) Auditoria sobre la utilización del (Productividad, almacenamiento, ancho de banda) 3.En US desde el año 1994 y en España desde el año 2000 con mas de 600 clientes

137 Referencias

138 ¿Por qué Antispam? 1.Circulan al día 2.3 billones de mensajes SPAM 2.Un buzón de correo normal recibe al día 75 correos de los cuales el 52% es SPAM 3.Se ha cuantificado que el coste por año por empleado del SPAM es de Los costes directos del SPAM son: Transmitir esos mensajes – Reduce el ancho de banda Almacenar esos mensajes – Aumenta el coste de almacenamiento Borrar o leer esos mensajes – Reduce la productividad del empleado 1.ROI Protección Antispam por dos años para 50 empleados = x 50 empleados = de coste de Spam anual x2 = Protección Antispam por dos años para empleados = x empleados = de coste de Spam anual x2 =

139 Filtrado de Contenido 1.Evita que cierto tipo de palabras y tópicos sean enviados hacia o desde los usuarios 2.Sin embargo, es ineficiente para controlar el SPAM Requiere una atención continua del Administrador (horas por día) Algunos simples trucos lo hacen vulnerable Ejemplos: $ave, V*i*a*gr*a, Chë ρ Existen 105 variantes solo para la letra A! Genera muchos falsos positivos Imposible de utilizar en ciertas industrias

140 Filtrado de Contenido V G R A, \./iagra, Viiagra, V?agr?, V--i--a--g--r-a, V!agra, V1agra, VI.A.G.R.A, vIagr.a, via-gra, Via.gra, Vriagra, Viag*ra, vi-agra, Vi-ag.ra, v-iagra, Viagr-a, V^I^A^G^G^A, V'i'a'g'r'a', V*I*A,G,R.A, VI.A.G.R.A..., Viag\ra!, V-i:ag:ra, V'i'a'g'r'a, V/i;a:g:r:a, V i a g V+i\a\g\r\a, Viag[ra, V?agra, V;I;A*G-R-A, V-i-a- g-r-a, V*I*A*G*R*A, \/^i^ag-ra, VlAGRA, V\i\a.g.r.a, v_r_i_a_g_r_a, V\i\a:g:r:a, V^i^a^g^r^a, Viag(ra.

141 RBLs (Real Time Black Holes) Las RBLs son listas de supuestos spammers y sus dominios/direcciones IP –Ejemplos: SpamCop, MAPS, SPEWS, Dorkslayers Generalmente es manejado por voluntarios, por lo cual no existe una auditoría, y a menudo bloquean mas de la cuenta –Algunos ISPs son agregados, aún cuando envían correos legítimos –Borrarse de estas listas puede llevar desde días a meses Requiere la utilización de muchas listas blancas para no generar falsos positivos

142 Análisis Heurístico Utiliza una técnica que busca miles de características y/o palabras para identificar SPAM y asignar una calificación –El nivel de SPAM debe ser ajustado periódicamente Es utilizado en muchos productos antispam Muy conocido por los spammers –Sitios Web de spammers permiten verificar el spam contra motores heurísticos Aumentar el nivel de detección = Aumentar los falsos +

143 Filtros Bayesianos 1.Sistema de aprendizaje basado en análisis estadísticos de vocabulario Listas de palabras buenas y malas 2.Necesita intervención del usuario para que sea efectiva 3.Puede ser muy efectiva para usuarios individuales 4.Es atacado deliberadamente por los spammers Incluyendo palabras buenas Generalmente con palabras escondidas dentro de código HTML

144 Ejemplo de palabras aleatorias para evitar filtros Bayesianos Filtros Bayesianos

145 Checksums 1.Crea un fingerprint de ejemplos de spam conocido 2.La Base de Datos se actualiza periódicamente 3.Es reactivo Por definición, el fingerprint es creado tras identificar el correo como spam 4.Es posible evitarlo con una técnica llamada hash busting – agregando diferentes caracteres dentro del mensaje

146 Ejemplo de hash busting para evitar la técnica de checksums Ejemplo de Hash busting

147 Curiosidades 1.Los Spammers están continuamente creando trucos y técnicas para evitar las diferentes tecnologías de detección… 2.Algunos Ejemplos…..

148 Filtros AntiSpam en MS Exchange Server 2003 Con la participación de: y Jacobo Crespo Sybari Software

149 Problemática 1.Plataforma Relay de correo: El ataque se produce cuando un usuario malicioso vulnera la seguridad de la plataforma para enviar correo masivo a través de nuestro servidor. 2.Receptor de Correo Spam: Se reciben correos que cargan el rendimiento, reducen la productividad de los empleados y generan gastos directos (sistemas de backup, conexiones GPRS, ancho de banda, soporte...)

150 Problemática Técnica Relay Pasarela SMTP Exchange Front-End Relay Buzones Exchange Back-End No Relay

151 Soluciones Exchange Server Opciones de Seguridad para no admitir Relay y, por tanto, no ser plataforma de correo Spam. Bloqueo de Relay por defecto para todos los clientes no autenticados. Bloqueo por dominios. Bloqueo por usuarios. Bloqueo por máquinas.

152 Soluciones Exchange Server Opciones para detener el correo Spam recibido: Filtro de Remitente. Filtro de Destinatario. Nuevo. Listas Autenticadas. Nuevo. Filtro de Conexión en tiempo real. Nuevo. Filtros de Junk . Nuevo. IMF. Nuevo.

153 Soluciones Exchange Server Filtro de Remitente. (Filtro Estático) Bloquea los mensajes que proceden de determinados usuarios. 2.Filtro de Destinatario (Filtro Estático) Bloquea los mensajes que van dirigidos a determinados destinatarios.

154 Soluciones Exchange Listas Autenticadas Se discrimina solo a usuarios autenticados para enviar mensajes a listas de correo.

155 Soluciones Exchange Filtros de Conexión Exchange Server 2003 comprueba en tiempo real si un servidor que está enviando correo está almacenado en una base de datos de servidores nocivos. 2.Implantación de Filtros de Conexión Implantamos en un servidor DNS una zona de consulta para almacenar los servidores bloqueados. Ej.[bloqueados.midominio.com ] Añadimos registros del tipo Configuramos un filtro para que se consulte la zona anterior cada vez que se recibe una conexión de servidor Host

156 Se recibe una conexión desde un servidor de correo El servidor DNS contesta si existe o no ese registro. Se deniega la conexión El servidor FrontEnd consulta la zona DNS de bloqueo. Filtro de Conexión Se envian los mensajes al servidor de BackEnd Servidor BackEnd Servidor FrontEnd Servidor DNS

157 Soluciones Exchange Filtros Junk en Cliente Opciones de Outlook 2003 El cliente tiene la opción de configurar los correos nocivos El Servidor y SW de terceros (Antigen) catalogan los mensajes para entrar en la carpeta de Junk- En conexiones de pago por transferencia permite ahorrar costes

158 Intelligent Message Filter & Advance Spam Manager Con la participación de: y Jacobo Crespo Sybari Software

159 Dos Motores 1.Microsoft IMF Utiliza la tecnología SmartScreen Conjunto detallado de reglas que son comparadas con el correo entrante 2.Sybari/Antigen ASM Integra el motor de detección de spam SpamCure Utiliza una combinación de Bullet Signatures y el motor STAR

160 Tecnología SmartScreen 1.IMF distingue entre los mensajes de correo legítimos y el correo comercial no solicitado u otro tipo de correo electrónico no deseado 2.Hace un seguimiento de más de características de correo electrónico basadas en datos de cientos de miles de suscriptores del servicio MSN® Hotmail® que participaron voluntariamente en la clasificación de millones de mensajes de correo electrónico 3.Ayuda a filtrar el correo no deseado antes de que llegue a la bandeja de entrada del usuario

161 1.Base de datos utilizada para almacenar las características de los correos catalogados como Spam se actualiza con nueva información de patrones del origen de la muestra, lo que hace que el filtro sea más eficaz y actual 2.Permite llevar a cabo una evaluación más precisa de la legitimidad de un mensaje de correo electrónico entrante Tecnología SmartScreen

162 1.IMF evalúa el contenido de los mensajes en busca de modelos reconocibles y les asigna una clasificación basada en la probabilidad de que el mensaje sea correo comercial no solicitado o correo no deseado 2.La clasificación se almacena en una base de datos con el mensaje como una propiedad llamada nivel de confianza de correo no deseado (SCL) 3.Los administradores configuran dos umbrales que determinan la forma en que IMF controla los mensajes de correo electrónico con diferentes niveles de SCL SCL – Nivel de Confianza del correo no deseado

163 Demo: Intelligent Message Filter (IMF)

164 ASM Antigen Advanced Spam Manager Con la participación de: y Jacobo Crespo Sybari Software

165 Bullet Signatures 1.BD Bullet signatures es creada y revisada por un grupo de expertos 2.Los Bullet signatures son una combinación de atributos únicos de un spammer en particular Un conjunto de datos extraídos de la cabecera, del campo asunto y del cuerpo del mensaje Funciona tanto para spam actual como futuro Creados para conseguir características únicas del mensaje que no puedan estar presentes en correos legítimos No puede ser falseado por técnicas como el Hash Busting

166 STAR Engine 1.El motor STAR busca trucos y técnicas específicas de los spammers Spammer Tricks Analysis and Response 2.Utiliza los Bullet Signatures para buscar métodos específicos de spamming 3.Se actualiza automáticamente cuando se lanza una nueva versión del motor 4.Desde el comienzo está diseñado para soportar cualquier idioma, incluso los de doble byte.

167 Uno + Uno = TRES 1.Supongamos que recibimos correos de SPAM 2.Si el IMF analiza primero, el total de correos de SPAM se reduciría a un total de 1500 (85% de detección) 3.A partir de ahí, SpamCure escanea el correo restante y detectaría el 95% de los Lo que reduce a 75 los correos de SPAM que recibiríamos

168 Combinando Tecnologías 1.El motor IMF analiza los correos en primer lugar 2.Se aplica una clasificación SCL a cada correo 3.Después pasa por ASM, que también analiza el mensaje 4.ASM nunca reducirá la clasificación de IMF

169 Resumen 1.Dos sistemas de detección de spam para lograr una mayor efectividad 2.Mínima intervención humana 3.Fácil de instalar y configurar 4.Integración entre cliente y servidor 5.Ratio de detección del 99%, mucho mayor que la que pueda ofrecer cualquier tecnología por sí misma

170 Demo: Advance Spam Manager. Tecnología SpamCure

171 Referencias 1.LSSI : 2.MS ISA Server 2004: 3.Exchange Server Message Screener: 5.Technet: 6.Sybari: 7.Informática 64

172 ¿ Preguntas ?

173 Contactos Jacobo Crespo - Sybari Software Chema Alonso - Informática 64 José Parada Gimeno - Microsoft

174 Contacto local CDROM, S.A. –Servicios de Sistemas y Telec. –Microsoft Certified Partner –Area de Seguridad de los S.I. Jose Luis Yago

175

176 Próximas Acciones


Descargar ppt "Gira Seguridad 2005 Microsoft TechNet Con la participación de: y José Parada Gimeno Evangelista Microsoft TechNet Chema Alonso MVP Windows Server Security."

Presentaciones similares


Anuncios Google