Alberto Díaz (TechNet Product Manager) Iván Gonzalez (Microsoft MVP)

Funcionamiento Registrarse en la PDA con el correcto Recoger camiseta En un par de días recibiréis un correo de Microsoft TechNet Rellenar el formulario de satisfacción (ser generosos con nosotros!!... Por favor! :o) ) – SOLICITAR DIPLOMA DE ASISTENCIA

Caso Práctico Punto de partida –Empresa: Caramelos Leovigildo! (fundada en el 1412) Necesidades –1 Informático… pa que más?? –Un PC… no? –Software de ese; del tío gates! Y que hacemos nosotros ahora???

Agenda 10:00 Por donde comienzo el trabajo o que es lo que primero necesito –¿Qué es el Directorio Activo y para qué me sirve? –¿Cómo se implanta el Directorio Activo? –Práctica 1 11:30 Descanso 12:00 ¿Cómo añadir seguridad extra a mi infraestructura? –¿Qué es el ISA Server y para que lo quiero? –¿Qué lugar ocupa dentro de mi arquitectura? –Práctica 2 13:30 Tiempo libre para la comida 15:30 Comunicaciones, trabajo en grupo y servicios de mensajería –¿Qué es Exchange Server? –¿Cómo mejorar la experiencia de mis usuarios? –Práctica 3 16:30 ¡Me vuelvo loco!, ¿cómo automatizo el despliegue? –¿Qué es el SMS y que funcionalidades me aporta? –¿Cómo se sitúa dentro de mi infraestructura? –Práctica 4 17:30 Fin de la sesión

Directorio Activo, Leovigildo DGT – 170 km/h = Multa!! Ayuntamiento – Doble Fila = Multa!! ORA Ayuntamiento a 20 km. = Impunidad Integración de Sistemas, Datos y Usuarios –Censo –BBDD DGT –BBDD Ayuntamiento

El Directorio Activo Identificación unívoca de usuarios y recursos en una red Directorio: tipo de almacenamiento Servicio de directorio: accesibilidad de los usuarios a los recursos de la red Nuevos conceptos: –Esquema: clases y atributos –Objetos y Contenedores –Dominios –Árboles –Bosques –Sitios

Dominios, árboles y bósques Objetivo principal: Administración centralizada –Un único lugar mantiene la información de: Usuarios Equipos Políticas –El administrador da acceso a los recursos (archivos, impresoras, etc.)

Ventajas de un servicio de directorio Administración simplificada –Administración centralizada –Organización jerárquica –Replicación de la base de datos Escalabilidad Compatibilidad con estándares abiertos (LDAP v.2 y v.3, HTTP) Compatibilidad con formatos de nombres estándares (DNS, RFC 822, HTTP URL, UNC, LDAP URL)

Dominios, árboles y bósques Dominio –Unidad lógica básica que agrupa objetos a los que se dará acceso a recursos Árbol –Agrupación de dominios relacionados lógicamente pero separados por razones de seguridad de acceso a recursos diversos. Los dominios mantienen relaciones de seguridad implícitas Bosque –Agrupación de árboles. Normalmente hay que establecer relaciones explícitas entre ellos

Estructura lógica: Unidades Organizativas Cada dominio implementa su propia jerarquía de OU –Reflejar la estructura de la organización y ordenarla dentro del dominio –Delegar el control administrativo sobre los recursos de red –Acomodar cambios potenciales en la estructura organizativa de su empresa –Agrupar objetos para permitir a los administradores localizar recursos en la red –Limitar la visibilidad de los recursos de red en el directorio activo

Controladores de dominio Mantienen la base de datos del directorio activo Todos los controladores de dominio (DC) tienen la misma copia de la base de datos –Todos los DC del dominio tienen todos los objetos En entornos multidominio (árboles, bosques) algunos DC tienen copia parcial de los objetos de todos los dominios –Catálogos globales (GC)

Controladores de dominio Una vez instalado un servidor, se ejecuta la utilidad DCPROMO –Permite crear un nuevo DC en un dominio existente –Crear un nuevo dominio Empezar un nuevo bosque Empezar un nuevo árbol en un bosque existente Crear un dominio hijo de un dominio existente

Controladores de dominio Organización jerárquica –Los objetos de agrupan en unidades organizativas –Las OU pueden contener otras OU y el resto de objetos Sigue el estándar LDAP

Controladores de dominio - Schema Definición formal de todos los objetos y sus atributos Cada tipo de objeto (clase) deriva de una clase principal Top –Las clases heredan de otras clases su definición y comportamiento Cada objeto dispone de atributos obligatorios y opcionales Símil con una tabla de una BBDD relacional –Clase => Definición de una fila de una tabla –Atributos => Columnas que definen una tabla

Controladores de dominio - Schema Cada atributo a su vez puede verse como una colección de posibles valores El esquema se puede ver en la consola de Active Directory Schema –Se pueden ver/añadir/modificar clases y atributos por separado

Controladores de dominio Objetos a los que se les puede dar acceso a los recursos –Usuarios –Equipos –Grupos de seguridad –Otros (procesos, threads, no disponibles en AD) En la base de datos disponen de SID (Security Identifier) único a parte del GUID

Sitios y subredes Han de reflejar la estructura física de la red Sitio –Agrupación de equipos que estén conectados físicamente por conexiones rápidas. Habitualmente equipos conectados por LAN Subred –Definición de rango de direcciones IP tal como están asignadas realmente en la red

Replicación Copia de los objetos entre DCs del directorio activo –En un mismo dominio todos los DCs han de tener una copia idéntica de la base de datos –Cuando un administrador hace un cambio, lo hará solo en un DC Esa información ha de copiar al resto de DCs para que esté disponible Dos tipos de replicación –Intra-Site –Inter-Site

Directivas de grupo Colecciones de parámetros de configuración de equipos y usuarios Vinculan a: –Equipos –Sitios –Dominios –Unidades Organizativas

Tipos de GPO Directivas de grupo locales Directivas de grupo no locales –GPO de sitio –GPO de dominio –GPO de OU (GPO de Controladores de dominio) RsOP y otras herramientas auxiliares

Novedades a nivel de directorio activo Relaciones de confianza entre bosques Renombrado de dominios (dns/netbios) – GUID/SID Desactivación de atributos y definiciones de clases en el esquema InetOrgPerson class Instalación de réplica desde cintas, cdrom o dvd. (dcpromo /adv). Cache de grupos universales Mayor control sobre la información que se replica, cómo se replica y cuando se replica

Esto está muy bien… Pero para que lo quiero? (Ejemplo) Gestión de Identidades La gestión de Identidades es Un sistema de tecnologías, procedimientos y políticas que nos permite la gestión de los recursos y el ciclo de vida de las identidades electrónicas. No es sólo una solución de seguridad –Seguridad –Experiencia de usuario –Eficiencia –Agilidad El coste de esto es realmente bajo

Como? 1. Un nuevo trabajador llega a la compañía 2. Nos llaman para que se ponga a trabajar lo antes posible 3. Tenemos que darlo de alta en todos los sistemas La Base de Datos de Recursos Humanos La Base de Datos del acceso a la red La Base de Datos del Correo Electrónico La Base de Datos de los teléfonos

Como? Vista Lógica de la identidad del usuario La Base de Datos de Recursos Humanos La Base de Datos del acceso a la red La Base de Datos del Correo Electrónico La Base de Datos de los teléfonos El usuario se identifica en el sistema Datos de autenticación Gestión de sistemas Integrate datasets, respecting authority

Demos – Práctica 1 Creación de cuentas de usuario – Control de Acceso Logon desde distintas máquinas y ubicaciones - Perfiles móviles Políticas de Grupo – Seguridad y gestión del entorno del usuario Scripting - Gestión automática de la administración de los sistemas

Seguridad, Leovigildo Hola jefe, tenemos un problema… Cuanto cuesta? Ehhhhhhhh…Pues, necesito HW, SW, tiempo para configurar todo… Uft!! No sé yo Es importante… Cuan importante? …VITAL! Lo más importante de toda la compañía, más que los caramelos. Porqué?

Técnicas de Spoofing Las técnicas spoofing tienen como objetivo suplantar validadores estáticos Un validador estático es un medio de autenticación que permanece invariable antes, durante y después de la concesión.

Niveles Afectados SERVICIO RED Dirección IP ENLACE Dirección MAC Nombres de dominio Direcciones de correo electrónico Nombres de recursos compartidos

Tipos de técnicas de Spoofing Spoofing ARP Envenenamiento de conexiones. Man in the Middle. Spoofing IP Rip Spoofing. Hijacking. Spoofing SMTP Spoofing DNS WebSpoofing.

Técnicas de Sniffing Capturan tráfico de red. Necesitan que la señal física llegue al NIC. En redes de difusión mediante concentradores todas las señales llegan a todos los participantes de la comunicación. En redes conmutadas la comunicación se difunde en función de direcciones. Switches utilizan la dirección MAC.

Dirección Física Tiene como objetivo definir un identificador único para cada dispositivo de red. Cuando una máquina quiere comunicarse con otra necesita conocer su dirección física. Protocolo ARP No se utilizan servidores que almacenen registros del tipo: Dirección MAC Dirección IP. Cada equipo cuenta con una caché local donde almacena la información que conoce.

Nivel de Enlace: Spoofing ARP Suplantar identidades físicas. Saltar protecciones MAC. Suplantar entidades en clientes DHCP. Suplantar routers de comunicación. Solo tiene sentido en comunicaciones locales.

Sniffing + Spoofing Hijacking Y Envenenamiento Técnicas Combinadas

Sniffing en Redes de Difusión PC HACKER PC 1 PC 2 PC 3 PC 4 Sniffer Datos PC 4 filtrafiltra

PC HACKER PC 1 PC 2 PC 3 PC 4 Sniffer Datos PC 4 MAC 1 MAC 2 MAC H MAC 3 MAC 4 Puerto 1 MAC 1 Puerto 2 MAC 2 Puerto 6 MAC H Puerto 11 MAC 3 Puerto 12 MAC 4 Sniffing en Redes Conmutadas

Envenenamiento de Conexiones Man in the Middle PC 1 IP 1 MAC 1 PC 2 IP 2 MAC 2 PC H IP H MAC H IP 2 – MAC H IP 1 – MAC H CACHE ARP IP 2 – MAC H CACHE ARP IP 1 – MAC HCONEXIÓNPC2 REENVÍO A HOST

Demo Envenamiento entre hosts. Robo de contraseñas. DNS Spoofing. WebSpoofing. HTTPS Spoofing.

Protección contra Envenenamiento Medidas preventivas. Control físico de la red. Bloqueo de puntos de acceso. Segmentación de red. Gestión de actualizaciones de seguridad. Protección contra Exploits. Protección contra troyanos.

Cifrado de comunicaciones. –IPSec. –Cifrado a nivel de Aplicación: S/MIME. SSL. Utilización de detectores de Sniffers. Utilizan test de funcionamiento anomalo. –Test ICMP. –Test DNS. –Test ARP. Protección contra Envenenamiento

Introducción ISA Server 2004 Protege los recursos de una red Se conecta directamente a internet y a la red privada Controla el tráfico de la red Actúa como proxy

Propósito y limitaciones de las defensas de perímetro Los servidores de seguridad y enrutadores de borde configurados correctamente constituyen la piedra angular de la seguridad del perímetro Internet y la movilidad aumentan los riesgos de seguridad Las redes VPN han debilitado el perímetro y, junto con las redes inalámbricas, han ocasionado, esencialmente, la desaparición del concepto tradicional de perímetro de red Los servidores de seguridad tradicionales con filtrado de paquetes sólo bloquean los puertos de red y las direcciones de los equipos En la actualidad, la mayor parte de los ataques se producen en el nivel de aplicación

Propósito y limitaciones de las defensas de los clientes Las defensas de los clientes bloquean los ataques que omiten las defensas del perímetro o que se originan en la red interna Las defensas de los clientes incluyen, entre otras: Refuerzo de la seguridad del sistema operativo Programas antivirus Servidores de seguridad personales Las defensas de los clientes requieren que se configuren muchos equipos En entornos no administrados, los usuarios pueden omitir las defensas de los clientes

Propósito y limitaciones de la detección de intrusos Detecta el modelo de ataques comunes, registra el tráfico sospechoso en registros de sucesos y/o alerta a los administradores Las amenazas y puntos vulnerables evolucionan constantemente, lo que deja a los sistemas en una situación vulnerable hasta que se conoce un ataque nuevo y se crea y distribuye una nueva firma

Información general sobre las conexiones de perímetro Internet Sucursales Socios comerciales Usuarios remotos Redes inalámbricas Aplicaciones de Internet Los perímetros de red incluyen conexiones a: Socio comercial LAN Oficina principal LAN Sucursal LAN Red inalámbrica Usuario remoto Internet

Diseño del servidor de seguridad: de triple interfaz Subred protegida Internet LAN Servidor de seguridad

Diseño del servidor de seguridad: de tipo opuesto con opuesto o sándwich Internet Externa Servidor de seguridad LAN Interna Servidor de seguridad Subred protegida

Tráfico peligroso que atraviesa los puertos abiertos y no es inspeccionado en el nivel de aplicación por el servidor de seguridad Tráfico que atraviesa un túnel o sesión cifrados Ataques que se producen una vez que se ha entrado en una red Tráfico que parece legítimo Usuarios y administradores que intencionada o accidentalmente instalan virus Administradores que utilizan contraseñas poco seguras Contra qué NO protegen los servidores de seguridad

Tipos de funciones de los servidores de seguridad Filtrado de paquetes Inspección de estado Inspección del nivel de aplicación Inspección multinivel (Incluido el filtrado del nivel de aplicación) Internet

Demos – Práctica 2 Protección de la red interna Publicación de un servidor Web Accesos remotos (VPN) Comunicación entre delegaciones

Agenda 10:00 Por donde comienzo el trabajo o que es lo que primero necesito –¿Qué es el Directorio Activo y para qué me sirve? –¿Cómo se implanta el Directorio Activo? –Práctica 1 11:30 Descanso 12:00 ¿Cómo añadir seguridad extra a mi infraestructura? –¿Qué es el ISA Server y para que lo quiero? –¿Qué lugar ocupa dentro de mi arquitectura? –Práctica 2 13:30 Tiempo libre para la comida 15:30 Comunicaciones, trabajo en grupo y servicios de mensajería –¿Qué es Exchange Server? –¿Cómo mejorar la experiencia de mis usuarios? –Práctica 3 16:30 ¡Me vuelvo loco!, ¿cómo automatizo el despliegue? –¿Qué es el SMS y que funcionalidades me aporta? –¿Cómo se sitúa dentro de mi infraestructura? –Práctica 4 17:30 Fin de la sesión

Exchange, Leovigildo Acceso al correo desde móvil, ciber, pda… (OMA y OWA) Anti – Spam (No quiero prolongar ninguna extremidad de mi cuerpo…) Trabajo en grupo (calendarios, salas de reuniones, listas de proveedores,…) Integración con Sharepoint Portal Services,…

Acceso a Exchange 2003 Outlook 2000/XP/2003 Outlook Web Access Exchange Server ActiveSync Outlook Mobile Access Productividad

Exchange Outlook 2003 Cached Exchange Mode –Copia local del mailbox –Experiencia de usuario consistente independientemente del enlace –Outlook sobre una conexión lenta (modem) –Reduce la carga de red Reduce roundtrips, compresión, sincronización inteligente Opciones de conexión –Perfiles para conexiones rápidas y lentas –Acceso RPC/HTTPS (no es necesario RAS o VPN)

Outlook Web Access Lo que todos los usuarios adoran en Outlook XP: –Verificar ortografía –Tareas –Reglas –Marcado como leío/sin leer –Hasta 100 mensajes en la vista Lo que todos los usuarios adoran en Outlook 2003 –Soporte para marcas seguimiento –Ver carpetas de búsqueda –Panel de previsualización a la derecha y vista en dos líneas –Modificación del tamaño de los frames HTML

Outlook Web Access Rendimiento mejorado –Opportunistic downloading –Optimización en el código –Compresión GZip - aprox 30% mejora –Total: > 50% de mejora sobre Exchange 2000 OWA Seguridad mejorada –S/MIME firma/encriptación Instala un control ActiveX para S/MIME en el cliente –Logon basado en Cookie y Timed logoff –Bloqueo de adjuntos – por tipo de fichero, método de acceso (FE vs BE) o nombre de host –Web Beacon Blocking

Exchange Server ActiveSync Sincroniza , Calendario y Contactos a un dispositivo –In the box –Opciones avanzadas de filtrado y recorte Sinc. adjuntos? Sinc. Cuánto del cuerpo del mensaje? … –Smart Reply y Smart Forward Envío de adjuntos y mensajes completos sin descargarlos al dispositivo Se integra con la versión de escritorio de ActiveSync –Configuración desde el PC o desde el dispositivo Tres modos. Se pueden definir diferentes modos para horas de trabajo/horas de no trabajo –Sinc. manual. –Sinc. basada en calendario(ej. cada 5 minutos) –Notificaciones Up-To-Date (AUTD, Siempre al día)

Outlook Mobile Access Gestionar – Borrar, Marcar como sin leer, Marcar para seguimiento – Componer, Responder, Reenviar Gestionar tareas y contactos Buscar a personas – Buscar en la lista global de direcciones y en contactos – Establecer llamadas y enviar desde el UI de OMA Gestionar el calendario – Ver, Crear y actuar sobre Avisos/Reuniones – Responder a invitaciones a reuniones/cancelaciones

Mejoras en IT con Exchange 2003 Copia de seguridad y Restauración –Servicio Volume Shadow Copy (Snapshot) Alta disponibilidad –Cluster de 4 & 8 nodos con Windows 2003 Ayuda a la migración desde sistemas antiguos –Nuevas herramientas de migración Mejoras en la seguridad –Mayor integración con Windows Server 2003 –Trustworthy computing Protección del –S/MIME (Outlook, OWA)

Exchange 2003 Anti-Spam Detener el Spam en la puerta Filtrado de conexiones –Bloqueo en tiempo real (Real Time Block) & listas seguras (Safe Lists) Filtrado de contenidos –Spam Beacon blocking Filtrado de recipientes –Listas de distribución restringidas (solo autenticados) –Permitir mail interno autenticado Restringir el mail relaying

Outlook Seguridad/Anti-Spam Bloqueo de adjuntos asociados con ficheros no seguros Carpeta de correo electrónico no deseado –Remitentes bloqueados y seguros –Multiples niveles –Filtrado del contenido Evitar que determinados programas accedan a la libreta de direcciones o que envíen correos en tu nombre

Exchange 2003 Anti-Virus VSAPI actualizada para Exchange 2003 –Se ejecuta sobre non-Mailbox Exchange Servers Anti-virus Partners –Symantec, Trend Micro, GFI, Sybari, CA, NAI (McAfee), + Bloqueo de adjuntos en OWA Exchange 2003 Se puede forzar el escaneo de todo el mail saliente SMTP

Demos – Práctica 3 Creaciones de buzones de correo para los usuarios Comunicación a través de listas de distribución Perfiles móviles desde Outlook Filtros AntiSpam

SMS, Leovigildo Tío, yo no puedo multiplicarme, hay que automatizar!! Estoy hasta las narices del Paco, siempre pasa del sistema y luego llora cuando no funciona… Tenemos que OBLIGAR al usuario!! Una fábrica de 5000 m2 es una venganza para el soporte al usuario… que no soy Martín Fiz! Dadme el poder!!… por favor!!... :(

SMS 2003 Nos permite entre otras cosas –Tener un inventario de hardware y software –Distribuir software a los escritorios –Distribuir actualizaciones a los escritorios Se integra con el Directorio Activo y lo aprovecha, pero no és un requisito Usa SQL Server o MSDE como almacén de datos El almacén de datos puede estar en otra máquina

SMS 2003 Se instala un cliente de SMS en los escritorios –Advanced Client: Windows 2000 o superior –Legacy Client: Windows 98, NT 4.0,… Podemos distribuir el cliente desde el servidor (push) –Ojo!!!, si nuestros clientes tienen el SP2 deberemos hacer cambios en la configuración SMS 2003 no está disponible en castellano pero… –El cliente si lo está –Viene incluido dentro del International Client Packs 1 (ICP 1)

Conceptos Sites –Nos permiten crear una estructura jerárquica de servidores SMS –Podemos asociarlos a una subred IP o a un Site de Directorio Activo y ofrece servicios de SMS a esa subred o sitio –Muy útil cuando tenemos por ejemplo delegaciones Colecciones –Nos permiten agrupar objetos (usuarios, equipos) en base a reglas –Útiles para definir objetivos (ej. Instalar una aplicación a un conjunto de usuarios)

Feature Packs Operating System Deployment Feature Pack Release Candidate –Nos permite distribuir imágenes de sistemas operativos Device Management Feature Pack Release Candidate –Podemos gestionar las aplicaciones en dispositivos tipo PocketPC Ambos todavía en Release Candidate así que toca esperar un poquito!

Demos – Práctica 4 Inventario de Hardware y Software Distribución de una aplicación Detección de actualizaciones pendientes Distribución de actualizaciones (SP2)

Q&AQ&A

© Microsoft Corporation. Todos los derechos reservados. Esta presentación es sólo con propósitos formativos. MICROSOFT NO GARANTIZA, EXPLÍCITA O IMPLÍCITAMENTE, LOS CONTENIDOS DE ESTA PRESENTACIÓN.