Microsoft IT Security Gestión de la Seguridad dentro de la red corporativa de Microsoft

Necesidades de Seguridad en la Infraestructura de la Empresa Chema Alonso

Servicios en la Empresa Active Directory Servidores de Aplicaciones CRM, ERP, B2C, B2B … Servidores Web Servidores de Bases Datos Servidores de Comunicaciones Correo electrónico, charlas Servidores documentales Repositorios documentales Exchange Aplicaciones de WorkFlow

Retos de Infraestructura Mantenimiento y actualización de sistemas. Soporte del máximo posible de clientes. Soporte de clientes móviles. Accesos Remotos. Flexibilidad del sistema. Alta disponibilidad de servicios. Máxima funcionalidad. Seguridad.

Objetivos de Seguridad Confidencialidad. Interceptación. Accesos no autorizados. Suplantación. Integridad. Protección de sistema y elementos. Disponibilidad. Denegaciones de Servicio Defacement.

Arquitectura de Seguridad Mail Front-end, Web, Aplicativos Cliente Maiboxes, AD, BBDD Servidores Back-End Servidores Front-End DMZ NIDS HIDS Clientes Externos Vpn Ras Servicios Públicos Wap ….. Wireless. 802.11b 802.1x Lan Privada

Retos de Infraestructura en Seguridad Protección de servidores. Seguridad en los clientes remotos. Acceso Wireless en red privada. Protección de transmisión de la información en cualquier medio. Control de la información fuera de los repositorios documentales. Técnicas hacker. Amenazas Viricas, Troyanos, Spam,…

Ejemplo de Arquitectura ¿Cuál es la solución que aplica Microsoft?

Agenda Microsoft y su entorno Informática de Confianza Modelo de Respuesta a Incidentes Acceso Remoto (RAS) & Smart Card Seguridad en la red Wireless de MS Seguridad en Exchange y Outlook

Misión de OTG Poner a disposición de de nuestros usuarios internos, clientes y partners de forma proactiva la infraestructura de IT y aplicaciones, que les permitan trabajar en cualquier momento y en cualquier lugar excediendo sus expectativas Rick Devenuti. CIO & VP

El Entorno de Microsoft 72,000 mailboxes 150,000+ PCs >9,000 servers 110 Microsoft Exchange Messaging Servers Stockholm Benelux Dublin Munich Chicago TVP Redmond Les Ulis Milan Madrid Chofu & Otemachi Silicon Valley Charlotte Los Colinas 400+ supported Microsoft sites worldwide Dubai >400 apps 26M voice calls per month 55K employees 5K contractors 17K vendors Singapore Sao Paulo Johannesburg Sydney 4.5M+ e-mail messages per day internally 8m  Internet

La Situación actual de MS Microsoft es uno de los objetivos preferidos 100k+ intentos de ataques por mes 125k+ mensajes en cuarentena por mes 225k dispositivos conectados a la red 300k conexiones vía RAS conexiones por semana Retos La Cultura interna de MS Comprobaciones internas de aplicaciones Liderazgo Tecnológico

Agenda Microsoft y su entorno Informática de Confianza Modelo de Respuesta a Incidentes Acceso Remoto (RAS) & Smart Card Seguridad en la red Wireless de MS Seguridad en Exchange y Outlook

El Entorno y sus Peligros Intellectual Property Theft Unauthorized Access Intrusions Internet Home LANs E-mail gateways Criminal /CI Use of Online Services PPTP/RAS Servers Remote Users Proxies Direct Taps Extranet Labs CDCs, RDCs Tail Sites Internet Data Centers CorpNet 3rd Party Connections PSS EVN Virus Denial of Service Phreaking Malicious Code

Objetivo del Grupo “Information Security” Un entorno de TI compuesto por servicios, aplicaciones e infraestructura que a la vez da privacidad y seguridad sin dejar de tener una alta disponibilidad Requisitos: No se puede comprometer mi identidad Los recursos son seguros y están disponibles Mis datos y comunicaciones son privadas Roles y Responsabilidades claramente definidos Responder a tiempo a las amenazas y/o riesgos

Informática de Confianza. Trustworthy Computing Mitigate risk to the infrastructure through implementation of four key strategies 1. Secure the Network Perimeter Secure Wireless Smart Cards for RAS Secure Remote User Next Generation AV Messaging Firewall Direct Connections IDC Network Cleanup 2. Secure the Network Interior Eliminate Weak Passwords Acct Segregation Patch Management NT4 Domain Migration Network Segmentation Smart Cards for Admin Access Regional Security Assessment 3. Secure Key Assets Automate Vulnerability Scans Secure Source Code Assets Lab Security Audit 4. Enhance Monitoring and Auditing Network Intrusion Detection Automate Security Event Analysis Use MOM for Server Integrity Checking

Primer nivel de seguridad: Asegurar el perímetro de la red Utilizar redes Wireless seguras Utilizar un sistema de detección de intrusiones/ataques en la red efectivo Asegurar las conexiones remotas de los usuarios Obstaculizar la entrada de Virus en el perímetro externo de la red

Segundo nivel de seguridad: Asegurando el interior de la red Controlar las aplicaciones y programas disponibles para los usuarios Eliminar contraseñas débiles Eliminar las cuentas de administración compartidas Utilizar controladores de dominio seguros Hacer obligatorio el uso de software de Antivirus y actualizaciones de seguridad.

Asegurando el Interior de la red. Segmentación de la red Eliminar o reducir el riesgo: Parque de ordenadores gestionado por OTG Segmentar los entornos controlados e incontrolados Restringir los niveles de acceso a la red Enfoque de la segmentación de la red: Evitar que los sistemas incontrolados se conecten a los sistemas controlados Utilizar IPsec para soportar los requisitos de seguridad

Tercer Nivel de Seguridad: Asegurar los activos críticos Aplicaciones Corporativas: Gran número de aplicaciones desarrolladas internamente. +400 Asegurar estas aplicaciones y su información es complejo Las aplicaciones corporativas se ejecutan en un entorno complejo (operativo y legal) Código de Producto e información Confidencial

Cuarto Nivel de Seguridad: Monitorización y Auditorias Responsabilidades del grupo de Monitorización Uso de herramientas de monitorización para aumentar la seguridad. Uso de herramientas públicas: Microsoft Baseline Security Analyzer (MBSA) and HFNetChk Monitorización distribuida Desarrollo de utilidades propias para identificar y corregir problemas

Agenda Microsoft y su entorno Informática de Confianza Modelo de Respuesta a Incidentes Acceso Remoto (RAS) & Smart Card Seguridad en la red Wireless de MS Seguridad en Exchange y Outlook

Gestión de incidentes Graves Problemas típicos: Todos los grupos que participan en la resolución del incidente operan de manera independiente. La respuesta es básicamente táctica y no hay una estrategia coordinada Las respuestas no son consistentes. Estas pueden ser distintas en función de los grupos que participan. Se obvian interdependencias entre grupos clave (PR, comunicaciones internas, etc)

Metodología de Seguridad de OTG Dedicated staff Training Security—a mindset and a priority Employee education People Planning for security Prevention Detection Reaction Process Baseline technology Standards, encryption, protection Product security features Security tools and products Technology

Prevención de incidentes Monitorizar Auditorias de los sistemas Detección de intrusiones Establecer una defensa sólida Asegurando a los clientes de acceso remoto

Mantenimiento de Seguridad en Servidores Chema Alonso

Expedientes de Seguridad Expedientes de seguridad de sw comercial. Bug, Exploit, patch, fix Expedientes de seguridad de sw própio Necesidad de aplicación de procedimientos internos. Desbordamientos de Buffer. Cross-Site Scripting Inyecciones de código.

Problema de la Industria IT Vulnerabilidades en Sistemas Operativos - 2003 20 40 60 80 100 120 Windows 2003 OpenBSD Windows XP Windows 2000 SuSE SUN Mandrake RedHat Debian Source: Company web sites

Source: Company web sites Trustix 1.5 Debian Windows XP Sun (OS) Mandrake 8.x 20 40 60 80 100 120 RedHat 7.2 Windows 2000 EnGarde SuSE Problema de la Industria IT Vulnerabilidades en Sistemas Operativos - 2002

Microsoft Security Response Center Response Team Update Cliente Amenaza Grupo de producto Descubrimiento vulnerabilidad Timpacto Triesgo Microsoft Security Response Center Riesgo Impacto tiempo

Número de dias transcurridos entre la publicación del update de seguridad y el impacto del virus Win32 Linux/Unix Nombre del Virus Slammer BugBear Slapper Ramen Klez Lion Scalper Nimda CodeRed Blaster Riesgo Impacto tiempo

Actualizaciones Críticas Boletines de Seguridad Windows Update SU SMS 2003

Plan de respuesta a los incidentes Security Scan/Audit Internal Web Site Information on incident received Operations User External Web Site Support Decision to begin Incident Response Plan Quick guide to determining the significance of incident Severity of the event Overall business impact Criticality of vulnerable/attacked assets Public availability of information Scope of exposure Public relations impacts Extent of use of groups outside of security Response Phase Evaluate Situation Isolate and Contain Response Team Assembled Establish First Course of Action Analyze and Respond Ongoing evaluation and response revisions Trigger Phase Alert Others as Required Revise/Improve Response Process De-escalation: Return to Normal Operations Post-Incident Review Begin Remediation

Agenda Microsoft y su entorno Informática de Confianza Modelo de Respuesta a Incidentes Acceso Remoto (RAS) & Smart Card Seguridad en la red Wireless de MS Seguridad en Exchange y Outlook

Servicio de Acceso Remoto (RAS) Las soluciones de MS incluyen: Direct Dial RAS PPTP VPN Más de 175 puntos de acceso remoto en todo el mundo Utilizado por más de 70,000 empleados Más de 300,000 conexiones cada semana Acceso a los sistemas de correo corporativo, intranet, internet y servidores de datos

Asegurando el Perímetro de la red. Estrategia para el Acceso Remoto Malicious Users Malicious Software Threat 2 Factor Authentication Enforce Remote System Security Configuration Requirement Smart Cards for RAS Connection Manager and RAS Quarantine Solution

RAS - Requisitos Para conectarse a la red corporativa un usuario tiene que tener: Una tarjeta Smartcard Windows XP Personal firewall Activado Última versión de antivirus (eTrust) Últimas actualizaciones de seguridad El software “Connection Manager”

Componentes de la solución SMART CARD Hardware RFID Badge 32k chip Windows for Smart cards PC Smart card reader Client Software Server Software Cryptographic Service Provider (CSP) Windows Resource Manager Reader drivers Connection Manager Windows Active Directory Windows Certificate Server Card management tools RAS Quarantine Service

Secure Remote Access RAS Client VPN Server IAS SC 1 Card inserted Reader SC 1 Card inserted 3 RAS client accesses smart card and retrieves cert from card 2 User inputs PIN 6 IAS verifies certificate then looks up principal in DS 5 RAS sends certificate in a EAP/TLS request to the IAS Server RAS Client VPN Server IAS 4 Connect to VPN server and pass config checks 7 IAS returns Radius Access Accept

Agenda Microsoft y su entorno Informática de Confianza Modelo de Respuesta a Incidentes Acceso Remoto (RAS) & Smart Card Seguridad en la red Wireless de MS Seguridad en Exchange y Outlook

Microsoft IT WLAN Dirección de la compañía. Bill Gates Desarrollo de software de Microsoft para entornos wireless Peticiones de los usuarios para la implantación de la tecnología WLAN Dar mayor mobilidad al usuario Piloto Puget Sound. Campus de Redmond Extenderlo al resto de las subsidiarias de MS según viabilidad: Costes Requisitos / Regulaciones legales

Resultados de la encuesta: 50% ahorraban entre 30-90 minutos diarios de trabajo gracias a la red wireless 10% usaban adicionalmente dispositivos Windows CE wireless 24% usaban la red wireless más de 6 horas diarias 93% usaban la red wireless “en cualquier sitio” Salas de Reuniones, pasillos, despachos de otros empleados 88% estaban interesados en comprar dispositivos Wireless para sus hogares. 66% pensaban que podían desempeñar su trabajo perfectamente con la red wireless

802.11b. Problemática WEP Clave única necesaria para toda la compañía WLAN 802.11b es sólo 40-bit Las claves WEP no cambian dinámicamente y por lo tanto son vulnerables a los ataques Una clave WEP de 128-bit puede ser decodificada en unas 2 horas. Una de 40-bit en 40 minutos Complicado de administrar. Filtrado por direcciones MAC (Media Access Control) No es escalable listas de excepción tienen que ser administradas y propagadas por los APs. La lista puede tener un límite de tamaño La dirección MAC tiene que estar asociada al nombre de usuario El usuario podría no informar en caso de pérdida de la tarjeta El usuario podría cambiar su dirección MAC

802.1X La Solución El AP controla el acceso a la red del cliente basándose en la autentificación de la cuenta de dominio del usuario y/o la cuenta de su máquina Se asegura el proceso de autentificación utilizando la tecnología PKI (Public Key Infrastructure) disponible en Windows XP Extensible authentication protocol over LAN (EAPoL) Transport Layer Security (TLS) El usuario y el ordenador negocian la autentificación con el Internet Authentication Server (IAS). IAS es la implementación que ha hecho Microsoft del estándar de RADIUS Las claves WEP son dinámicas Cambian en cada nueva sesión, al hacer roaming o a intervalos de tiempo

Domain User Certificate Secure Wireless Domain User Certificate EAP/TLS Connection RADIUS (IAS) Certificate Authority Uncontrolled Port Laptop Domain Controller Domain Controller used to log onto domain after obtaining an IP address from DHCP 802.1X Access Point Exchange Controlled Port DHCP Peers File

Configuración de una red Wireless Segura Chema Alonso

Configuración de una red Wireless Segura Adoptar 802.1x Utilizar Internet Authentication Service (IAS) para Remote Authentication Dial-In User Service (RADIUS) para autenticación de cuentas. Elegir un método de autenticación EAP: EAP-Transport Level Security (EAP-TLS) Protected EAP with MS-CHAPv2 (PEAP-MS-CHAPv2) Protected EAP with EAP-TLS (PEAP-EAP-TLS)

Configurar una WLAN Segura Configurar el WAP

Configurar una WLAN Segura Configurar un grupo para Wireless y configurarlo para administrarlo mediante una Política de Acceso Remoto.

Configurar una WLAN Segura Instalar una Root Certificate Authority Instalar Certificados de Servidor en Servidor IAS Instalar certificados de usuarios en clientes cuando utilicemos EAP-TLS

Configurar una WLAN Segura Configurar IAS

Configurar una WLAN Segura Configurar una política de Acceso Remoto

Configurar una WLAN Segura Configuramos un Pérfil para la Política de Acceso remoto

Configurar una WLAN Segura Configurar los clientes

Configurar una WLAN Segura

Configurar una WLAN Segura

Configurar una WLAN Segura Configurar la poíitica para Clientes Wireless

Agenda Microsoft y su entorno Informática de Confianza Modelo de Respuesta a Incidentes Acceso Remoto (RAS) & Smart Card Seguridad en la red Wireless de MS Seguridad en Exchange y Outlook

Infraestructura de Exchange 6 inbound/outbound IMCs & Virus Walls 5 regional outbound IMCs & Virus Walls

Solución Antivirus para Exchange Requisitos del diseño: Todos los mensajes entrantes tienen que ser “monitorizados” Todos los mensajes salientes tienen que ser “monitorizados” Los ejecutables son eliminados y se notifica al usuario de esta acción Mensajes a usuarios no existentes son devueltos antes de ser revisados

Requisitos de Seguridad para el correo electrónico OTG soporta la versión actual de Outlook y la versión anterior El usuario es obligado mediante la configuración del servidor de Exchange Ver. Actual: Outlook 11 (2003) Anterior: Outlook 2002 Se obliga a los usuarios mediante políticas de grupo en el directorio activo Reglas en el buzón de entrada de Outlook

Posibilidades Adicionales S/MIME Firmas Digitales Codificación de Mensajes Windows Rights Management Services (RMS) y Information Rights Management (IRM)

Gestión del SPAM Desde Septiembre del 2001: Incremento del 258% Incremento del correo 86% Objetivo de MS: Boquear 100% de los mensajes identificados como SPAM en los internet mail Gateways. Emails con publicidad a la atención directa del usuario puede no ser identificado como Spam y es por lo tanto enviado al buzón de destino.

Protección Servicios Exchange Server 2003 Chema Alonso

¿ Puedo controlar el uso de la información ? Riesgos Virus Spam Intrusismo Exchange Server 2003 ¿ Puedo controlar el uso de la información ? Interceptación Suplantación

Trustworthy Computing Iniciative RPC/HTTPS Firma digital en Outlook Filtro de Remitente Encriptación en Outlook Firma digital en OWA Filtro de Destinatario Encriptación en OWA Bloqueo libreta direcciones Filtro de Conexión VS API 2.5 Bloqueo e-mail automático Filtros de Junk e-mail ISA Exchange Features Listas Autenticadas Seguridad de Relay Information Rights Management

Soluciones Exchange 2003 Filtros de Conexión Exchange Server 2003 comprueba en tiempo real si un servidor que está enviando correo está almacenado en una base de datos de servidores nocivos.

Soluciones Exchange 2003 Implantación de filtros de conexión Implantamos en un servidor DNS una zona de consulta para almacenar los servidores bloqueados. Ej. [ bloqueados.midominio.com ] Añadimos registros del tipo Configuramos un filtro para que se consulte la zona anterior cada vez que se recibe una conexión de servidor. 13.12.11.10 Host 127.0.0.1

Filtro de Conexión Se envian los mensajes al servidor de BackEnd Servidor BackEnd Servidor FrontEnd Servidor DNS Se envian los mensajes al servidor de BackEnd Se recibe una conexión desde un servidor de correo Se deniega la conexión El servidor FrontEnd consulta la zona DNS de bloqueo. El servidor DNS contesta si existe o no ese registro.

Gestión de Derechos digitales (RMS) Control de flujo de información ¿Puedo controlar el uso de la información independientemente de su ubicación? ¿Podría controlar los derechos digitales de mis documentos?

Gestión de Derechos digitales (RMS) “El 32% de los peores incidentes de seguridad son causados por empleados; 48% en grandes compañías!” - Information Security Breaches Survey 2002, PWC “El robo de información confidencial provoca los mayores daños financieros de todos los problemas de seguridad.” – CSI/FBI Computer Crime and Security Survey, 2001 Perímetros de Seguridad, ACLs, PKIs, son tecnologías imprescindibles pero no resuelven totalmente este problema

Gestión de Derechos digitales (RMS) Gestiona el flujo de la información. Controla, en sistemas de mensajería, el uso que se realiza de la información. Gestiona la utilización de los documentos. Añade Privaciad al entorno colaborativo.

Conclusiones Prevenir es menos costoso que reaccionar ante los incidentes. Es interesante desarrollar en las empresas un sistema de auditorias, monitorización de los sistemas, y procedimientos de actuación a la vez que educamos a los usuarios sobre como hacer que sus sistemas sean seguros. El impacto a la infraestructura se reduce si tenemos un plan de respuesta a incidentes bien construido, detallado y flexible.

Más Información Más información sobre las implementaciones internas de OTG en: http://www.microsoft.com TechNet: http://www.microsoft.com/technet/showcase Case Study Resources: http://www.microsoft.com/resources/casestudies

Microsoft IT Security