Seguridad en Plataforma

ABRAHAM MARTINEZ F. MCSE 2000,MCT, CCNA, SON

Matt Kesner, Fenwick & West “Seguido de los ataques de Code Red y Nimda, Microsoft indago con sus usuarios, quienes dijeron estar “enfermos” con este tipo de problemas, sobre todo los ataques a sus servidores Web con IIS,..........Microsoft esta comprometido en mantener actualizado a sus clientes con las ultimas correciones de seguridad para sus clientes, pero mas aun en mejorar su producto." John Pescatore Gartner Viewpoint, CNETnews.com 9/20/2002 “No descansaremos hasta que nuestros clientes, esten seguros, y se sientan seguros” Brian Valentine Senior VP, Microsoft “No es que IIS este escrito pobremente, es que tenemos al 90% de los Hackers enfocados en atacar nuestra plataforma, eso nos garantiza un nivel de exigencia .” Matt Kesner, Fenwick & West Internetweek.com, 10/4/02 “Lo que descubrimos hace unos meses, es que estábamos haciendo un gran trabajo corrigiendo problemas, y mejorando servicios, pero la implementación de estos parches se estaba volviendo complicada para nuestro clientes” Dave Thompson VP, Microsoft

Agenda El reto de la Seguridad Seguridad y Microsoft Impacto en los negocios Impacto en Tecnología Seguridad y Microsoft Microsoft esta comprometido en mejorar sus productos Estrategia de seguridad Procesos, Tecnología, personas Guía de seguridad, Tecnología y Herramientas Microsoft Strategic Technology Protection Program (STPP)

Compromiso de Microsoft con la Seguridad Los recientes Virus y ataques en Internet resaltan el riesgo de los usuarios, y demuestra el compromiso que deben tener las compañías para enfrentar este reto Microsoft tiene un compromiso especial, en brindar seguridad a sus usuarios y en garantizar el comercio seguro Microsoft mantiene seguros a sus usuarios Key Message: Microsoft is committed to security. Slide Builds: None Slide Script: We have seen a lot of recent viruses and attacks on the Internet which underscores the necessity to highlight the challenges facing the entire industry in providing better security. Microsoft has a special obligation to help ensure the security of the Internet. The critical infrastructure of the United States as well as the rest of the world and customer data is at stake. Microsoft and [YOUR COMPANY NAME] are working to help customers to get and stay secure. We will not rest until your business is secure, period. Slide Transition: Strips Right-Down

Métodos comunes de ataque Alto riesgo Código Hostil Virus Worms “Gusanos” Trojanos Negación de Servicios Ataques a servidores Web Interceptación y robo de información Suplantación Spam Métodos comunes de ataque

Riesgos nuevos: Nimda, Code Red Nimda: Se esparce por navegar en paginas infectadas y abrir correos infectados Code Red: Infecta servidores Web, Escala privilegios Otros: Negación de servicios, Spam Quienes sobrevivieron a Nimda y Code Red: Organizaciones que estaban actualizadas en patches y security fixes. Organizaciones que “Bloquearon” sus sistemas con herramientas como IIS LockDown. Key Message: Riesgos nuevos Slide Builds: None Slide Script: Microsoft tiene la obligación de tomar medidas proactivas en seguridad

Seguridad en un mundo complejo La seguridad necesita una estrategia compuesta de: Procesos (procediminetos, manuales) Tecnologia (hardware, software, redes) Personas (cultura, conocimiento) La seguridad fallara si solo nos enfocamos en una parte del problema La tecnologia no es problema ni la solucion absoluta.

Microsoft y su esfuerzo en el area de seguridad Strategic Technology Protection Program (STPP) Programas a corto y largo plazo. Informacion especifica a seguir. Proceso: Guias de Arquitectura de seguridad Tecnologia: Esfuerzos especificos de Microsoft Personas: Guias de seguridad Servicios de Microsoft

Guia de arquitectura de seguridad Microsoft ha entendido la necesidad de proveer guías de seguridad especificas a cada producto. Guias de seguridad: Guias de comercio en Internet, Seguridad y Firewall Guias de seguridad para Windows 2000, IIS, ISA, redes en general

Linea de Tiempo Seguridad de Windows Prioridad Formacion de la fuerza de trabajo de seguridad en Microsoft Equipos de diferentes compañias trabajando para obtener recomendaciones y mejores practicas Reconocimiento al ser la primera compañia en el mundo en entregar guias de creacion de software seguro Creacion de la iniciativa de seguridad Windows (SWI) Mejoramiento del capitulo de construcion de software seguro 1988 1997 1999 2002 El desarrollo de Windows NT comienza con la seguridad como meta principal Equipo de respuesta de seguridad Microsoft Inicia Se construye una marco de trabajo sobre seguridad Microsoft Framework Los Clientes estan obteniendo los productos mas seguros posibles

Cuatro puntos clave Educacion Herramientas Procesos Pruebas

Educacion Educacion Meta Enviar la mejor informacion acerca de construir componentes seguros a nuestro grupo de ingenieros. Metodos “Escribiendo codigo seguro” Fundamentos de seguridad Laboratorios de codigo seguro Presentaciones en vivo y en Linea Manual de Ingenieria de Windows Mejorando MSDN & Kits de desarrollo SDK Ejemplos y plantillas “Disparen al Bug” Alianzas externas

Herramientas Meta Usar herramientas de uso diario, procesos de desarrollo y prueba para encontrar Bugs potenciales. Metodos Herramientas de analisis de Fuente avanzadas PREfix/PREfast Mejoras en los compiladores de Visual C++ .NET /GS opciones de compilador Herramientas especificas de Dominio Herramienta de ataque de RPC Herramientas de modelado Herramientas de chequeo en tiempo de ejecucion Herramientas

Procesos Meta Implementar procesos que nos permitan aprender de nuestros errores y los de los demas, y mantener practicas seguras en nuetras rutinas diarias. Metodos Mejoras End-To-End Analisis de tendencias Chequeos por SWI Requerimientos de firma de codigo Entrevistas y cuestionarios Revisiones a nivel de componente Retroalimentacion de errores Monitoreo de problemas Procesos

Pruebas Meta Detectar fallas por medio de procesos de QA que incluye expertos internos y externos. Metodos Procesos automaticos de prueba Guias de pruebas de seguridad Equipos de auditoria de codigo interno Pruebas de penetracion y auditoria Trabajo de evaluacion de temas comunes Pruebas

Cerrando el anillo Modelo Diseño Trampas Herramientas Desarrollo codigo Herramientas Analisis Fallo Encontrado Revision Educacion Grupo Respuesta Correccion Hecha Solucion publicada Creacion Post Mortem

Desarrollo de productos Seguros- Linea del tiempo Determinar criterios De firma de seguridad Empuje de seguridad Analisis de trampas Preguntas de seguridad Durante entrevistas Aprendizaje refinamiento Revision Externa Concepto Diseño Completo Planes de Prueba completos Revision de viejos Defectos, utilizacion herramientas Codigo Completo Envio Post Envio Entrenamiento Miembros de Grupo Revision de SWI Inyeccion de fallas Pruebas Privadas =En Marcha

Trampas Botin Meta Vulnerabilidad

Tecnicas de Mitigacion Botin Patrullaje! ggrr!

Guia de seguridad Microsoft Basado en el “British Standard 7799”, incluidas en las guias de Internet, Windows 2000, redes, Firewall. Metas Definir requerimientos de seguridad Ejecutar análisis de los estados actuates y deseados Diseño Desarrollar aplicaciones para seguridad Utilzar herramientas de defensa Implementacion Pruebas e implementacion Definir y documentar politicas, Estándares, procedimientos Administrar Administracion operacional Revisar y redefinir periodicamente

Microsoft Internet Data Center Guia de seguridad Ejemplos de los topicos incluidos en esta guia: Estrategia de defensa de seguridad Metodos comunes de Hack Mejores Practicas de seguridad para IIS Windows 2000 – Diseño del Directorio Activo, politicas de seguridad Mejores practicas para seguridad en aplicaciones Autenticacion

Modulo OSI Defensa en profundidad Transmision Usuario Recepción Nivel de Aplicacion Nivel de Presentacion Nivel de Sesion Nivel de Transporte Nivel de Red Nivel enlace de Datos Nivel Fisico Enlace Fisico

Metodología Hacker FootPrinting Escaneo Penetración Escalado Obteniendo Interactividad Expandiendo Influencia Limpieza Negación de servicios

Exploit Unicode c:\myprograms\mydir\test.asp Una Rosa c:\myprog~1\mydir\test.asp Es una Rosa ..\mydir\test.asp Es una Rosa c:\myprograms\mydir\test.asp. Es una Rosa c:\myprograms\mydir\test.asp::$DATA

HFNetChk

QChain Integra los HotFixes, permitiendo que se instalen todos simultáneamente, para poder Reiniciar la maquina una sola vez. Funciona con Windows 2000 y Windows N.T 4.0 Knowledge Base Article: Q296861

Fundamentos de seguridad Practicas basicas de seguridad Bloquee o deshabilite todo lo que no esta explícitamente permitido El 10% de las vulnerabilidades causan el 90% de los problemas Mantenga actualizado de los parches de su fabricante rigurosamente Autorice los accesos utilizando los menores privilegios Sea particularmente paranoico con las interfaces externas (Conmutadas)

Arquitectura de seguridad de Windows 2000 ( Perspectiva del Hacker) Autenticación y Autorización El Token Whoami

SYSKEY

SIDs Los nombres de grupos y usuarios son convenientes para nosotros. NT/2000 hace seguimiento de las cuentas utilizando un numero único de 48 Bit llamado SID. Estos números son globales y únicos en todos los Dominios excepto el RID que es permanente para todos los tipos de cuentas

SIDs RID SID: Ejemplo: S-1-5-21-861567501-562591055-682003330-500 RID 500 es la cuenta de Administrador Otros conocidos son: 501 (Invitado), 1000 (Primer usuario). Renombrar las cuentas????

SID (Hacker) User2sid

SID´s (punto de vista del administrador) * Utilice las plantillas de seguridad de Windows 2000 (Políticas de password´s) Aplique SR en las maquinas Utilice MSBA Dsclient en todas las maquinas clientes Guía de seguridad de Windows 2000

Creando un Perfil Seguimiento a Windows 2000 (Motores de búsqueda). Google: c:\Winnt, c:\Inetpub Escaneo Ping Escáner de Puertos “Port Scans” Captura de Avisos “Banner Grabbing”

Escaneo de Puertos (Hacker)

Enumerando NetBIOS (Hacker)

Seguridad especifica de producto Todos los desarrolladores se estan entrenando, y haciendo de la seguridad su prioridad. Incremento en las pruebas y procedimientos de seguridad Cambios en el lanzamiento de productos con opciones de seguridad mas altas. Iniciativa de seguridad Windows (SWI) Profesionales dedicados a la seguridad con Microsoft La meta: hacer que Windows sea mas seguro

Herramientas de seguridad (Gratis) Adicional a las caracteristicas de cada producto, Microsoft provee herramientas adicionales: IIS (Asistente) Herramienta de Lockdown Configura los servidores para ser inmunes a muchos ataques Deshabilita servicios innecesarios Restringe el acceso a comandos del sistema HFNetCHK Administrador de parches de seguridad URLscan Filtro ISAPI que corre en el servidor Bloquea URL´s que “parecen” ataques Puede ser personalizado MBSA Administracion de parches, correcciones de seguridad, permite distribuirlos.

Demo Herramienta de LockDown

Resultados de IIS LockDown Vulnerabilidades descubiertas (scaneo) Bajas Medias Altas Antes* Despues** 78 36 3 7 2 * Antes de la configuracion del servidor Web: Instalacion nueva de Windows 2000 AS Service Pack 2 ** Despues de la configuracion del servidor Web: Aplicado IIS Lockdown

Personal- su mas seguro aliado Personal dedicado a seguridad Equipo especializado en seguridad Expertos especificos en seguridad Entrenamiento Capacitacion en estandares, tecnologias y procesos Mantenerse actualizado Compromiso de todas las personas de la organizacion Capacite a todo el personal Haga enfasis en seguridad fisica, politicas en password, y procedimientos con datos.

Defensa en profundidad Metodologias de niveles de defensa comunmente usados: Defensas perimetrales Defensas de Red Defensas en maquinas Defensas en aplicaciones Datos y recursos Provee un metodo y una estrategia para diseñar una infraestructura segura Guias y detalles especificos para cada producto

Diagrama recomendado No confiado DMZ LAN corporativa Front End Exchange/OWA BackEnd Exchange DMZ Firewall Internet Firewall No confiado DMZ LAN corporativa SMTP forwarder/ content filter Internet Firewall: NEGAR todo por defecto Entrante desde Internet (permitir) TCP port 25 (SMTP) TCP/UDP port 53 (DNS) TCP port 443 (HTTPS) Saliente: solo conexiones DMZ Firewall: ENTRANTE desde DMZ permitir TCP/UDP port 53 TCP port 80 (HTTP) TCP/UDP port 88 (Kerberos) TCP port 135 (endpoint mapper) TCP/UDP port 389 (LDAP) TCP port 445 (SMB/CIFS) TCP port 1025 (optional RPC static port) TCP port 3268 (GC) SALIENTE: Permitir Únicamente conexiones entabladas

Demo Seguridad Windows XP

El futuro……. Windows Server 2003 - Herramientas de línea de comando mejoradas - Arquitectura de seguridad mejorada (PKI, SAML, SOAP, XKerberos) - IIS 6.0 (Asegurado por defecto) LockDown - Auditoria habilitada por defecto - Diferentes formatos de Log (aspx, xml)

.NET Server…

.NET Server…

Microsoft y su curso de accion Actitud proactiva para brindar seguridad a los usuarios Movilizacion sin precedentes del personal y los recursos de Microsoft. Trabajando proactivamente con los clientes para: Proteger sus ambientes de sistemas, pequeños y grandes Tomar medidas para prevenir daños en sus datos y sistemas. Proveer actualizaciones de software y herramientas a corto plazo.

Programa de proteccion tecnologica estrategica (STPP) Servicios Soporte Gratuito para incidentes con Virus En Linea Recursos de seguridad: www.microsoft.com/security Servicio de notificacion de seguridad Microsoft Producto Kit de herramientas de seguridad Microsoft Herramientas de seguridad y recursos Mejoras y actulizaciones en los productos actuales

Este seguro…mantengase seguro “Programa a corto plazo que pretende recuperar los niveles normales de seguridad Libre de Virus soporte en linea. Kit de herramientas de seguridad, guias “mantengase seguro”: Programa a mediano plazo para administrar , mejorar la flexibilidad de los sistemas seguros. Correcciones de seguridad periodicas Caracterisitcas de seguridad del producto, incluidos los valores por defecto. http://www.microsoft.com/security

Compromiso de Microsoft “Para hacer todo lo posible y darle la certeza al usuario de poder trabajar, comunicarse, y realizar transacciones seguras sobre internet. “ Brian Valentine, Senior VP, Microsoft

ABRAHAM MARTINEZ F. MCSE 2000,MCT,CCNA,SNO

?