Gira Seguridad 2005 Microsoft Technet

Gira Seguridad 2005
Microsoft TechNet
José Parada Gimeno

Evangelista Microsoft TechNet
Chema Alonso
MVP Windows Server Security
Con la participación de:
y
Agenda I
• Introducción
• Técnicas Hacker de envenenamiento en redes de datos

• Spoofing ARP
• DNS Hijacking
• Phising
• Mail Spoofing
• Contramedidas Hacking I. Protección de servidores.

• Cifrado y autenticado de conexiones. IpSec
• Hardering de Servidores.
Agenda II
• Contramedidas Hacking II. Protección de Servicios de correo.

• Conexiones seguras con RPC/HTTPS
• VPN’s
• Evolución de las VPNs
• VPNs Seguras con MPLS
• Hosting de Aplicaciones en VPNs con MPLS
• Soluciones con ISA Server 2004 sobre las VPNs de ONO.
• Tecnicas Hacker de Spamming.

• Técnicas Eurísticas, Bayesianas y Finger Printing
• Contramedidas Spaming
Introducción
Motivos
Impacto
Análisis de Incidentes
Análisis de Vulnerabilidades
¿Que es Seguridad?
• Seguridad, es un termino relativo y no absoluto

• ¿Que es lo que esta seguro?
• ¿Contra quien se esta seguro?
• ¿Contra que se esta seguro?
• ¿Hasta cuando se esta seguro?
• ¿Que intensidad de ataque se puede resistir?
• Por lo tanto sin un contexto el termino Seguridad no tiene sentido

¿Porque Atacan?
Hacer Daño Motivos Personales

• Alterar, dañar or borrar información • Desquitarse
• Deneger servicio • Fundamentos políticos o terrorismo
• Gastar una broma
• Dañar la imagen pública
• Lucirse y presumir
Motivos Financieros
• Robar información
• Chantaje
• Fraudes Financieros
Motivos
• La tecnología tiene fallos.

• Es muy fácil hacerlo.
• No hay conciencia clara del delito
Porque MOLA!!
Incidentes Reportados al CERT
Data Source: CERT ( http://www.cert.org)
160000
140000
120000
100000
80000
60000
40000
20000
0
Vulnerabilidades por Años
Data Source: CERT ( http://www.cert.org)
4500
4000
3500
3000
2500
2000
1500
1000
500
0
1995 1996 1997 1998 1999* 2000 2001 2002 2003
Problema de la Industria IT
Vulnerabilidades en Sistemas Operativos - 2002
120 124
100
86 86 87
80
67
60
51
40 37
34 34
20
0
Windows XP EnGarde Windows SuSE Sun Mandrake Trustix RedHat Debian
2000 (OS) 8.x 1.5 7.2
Source: Company web sites

Vulnerabilidades en Sistemas Operativos - 2003
160
120
100
80 91 94
60
40 45
37
20 23 24
9 12
0
Windows OpenBSD Windows Windows SuSE SUN Mandrake RedHat Debian
2003 XP 2000
Source: Company web sites

Fuentes
• Debian: http://www.nl.debian.org/security
• Mandrake: http://www.mandrakesoft.com/security/advisories
• Microsoft: http://www.microsoft.com/technet/security/current.aspx
• Open BSD: http://www.openbsd.org/errata35.html
• Sun: http://sunsolve.sun.com/pub-cgi/show.pl?target=security/sec
• Suse: http://www.novell.com/linux/security/advisories.html
• RedHat: http://www.redhat.com/security/updates/
Vulnerabilidades
http://www.securityfocus.com/bid
Vulnerabilidades en Sistemas Operativos - Agosto 2004
Sofisticación de los Ataques vs. Conocimientos requeridos
Técnicas Hacker de
Envenenamiento en Redes de
Datos
José Parada Gimeno

Chema Alonso
y
El Modelo OSI
7. Aplicación
6. Presentación
5. Sesión
4. Transporte
3. Red
2. Conexión
1.Fisico
En Realidad
• Cuatro capas son suficientemente representativas
4. Aplicación
8-5. usuario
HTTP, FTP, TFTP, telnet, ping, SMTP,

3. Transporte POP3, IMAP4, RPC, SMB, NTP, DNS, …
2. Red TCP, UDP, IPsec
IP, ICMP, IGMP
1. interface ARP, RARP

Técnicas de Spoofing
• Las técnicas spoofing tienen como objetivo suplantar validadores estáticos
Un validador estático es un medio de

autenticación que permanece invariable
antes, durante y después de la
concesión.
Niveles Afectados
ENLACE
Dirección MAC
RED
Dirección IP
SERVICIO Nombres de dominio

Direcciones de correo electrónico
Nombres de recursos compartidos
Tipos de técnicas de Spoofing
• Spoofing ARP
• Envenenamiento de conexiones.
• Man in the Middle.
• Spoofing IP
• Rip Spoofing.
• Hijacking.
• Spoofing SMTP
• Spoofing DNS
• WebSpoofing.
Técnicas de Sniffing
• Capturan tráfico de red.
• Necesitan que la señal física llegue al NIC.
• En redes de difusión mediante concentradores todas las señales llegan a todos los
participantes de la comunicación.
• En redes conmutadas la comunicación se difunde en función de direcciones.

• Switches utilizan dirección MAC.
Técnicas Combinadas
Sniffing + Spoofing
Hijacking (Secuestro) Y
Envenenamiento
Nivel de Enlace: Spoofing ARP
• Suplantar identidades físicas.
• Saltar protecciones MAC.

• Suplantar entidades en clientes DHCP.
• Suplantar routers de comunicación.
• Solo tiene sentido en comunicaciones locales.

Dirección Física
• Tiene como objetivo definir un identificador único para cada dispositivo de red.
• Cuando una máquina quiere comunicarse con otra necesita conocer su dirección física.
• Protocolo ARP
• No se utilizan servidores que almacenen registros del tipo:

• Dirección MAC <-> Dirección IP.
• Cada equipo cuenta con una caché local donde almacena la información que conoce.
Sniffing en Redes de Difusión
PC 2 PC HACKER PC 3
Sniffer
PC 1
filtra filtra PC 4
Da
tos
PC
4
Sniffing en Redes Conmutadas
PC 2 PC HACKER PC 3
Sniffer
PC 1 PC 4
MAC 2 MAC H MAC 3
Da
tos
PC
MAC 1 4 MAC 4
Puerto 1 MAC 1
Puerto 2 MAC 2
Puerto 6 MAC H
Puerto 11 MAC 3
Puerto 12 MAC 4
Envenenamiento de Conexiones: “Man in the Middle”
• La técnica consiste en interponerse entre dos sistemas.
• Para lograr el objetivo se utiliza el protocolo ARP.
• El envenenamiento puede realizarse entre cualquier dispositivo de red.

Envenenamiento de Conexiones:“Man in the Middle”
PC 1 PC 2
IP 1 IP 2
MAC 1 MAC 2
CONEXIÓN REENVÍO A
PC2 HOST
IP 2 – MAC H IP 1 – MAC H
CACHE ARP CACHE ARP
IP 2 – MAC H IP 1 – MAC H
PC H
IP H
MAC H
Ataque ARP Man In The Middle
1.1 88:7
99:
.1 . 7 : 6
4
1e
:4
:6 en
55
sta :55:
77 a
6:
8: st
:8 2 e
en 44
6
99 . 1.
1.1
1.1.1.1 1 .1. 2?
ti e n e 1.
ie n
¿Qu
1.1.1.2 esta en 00:11:22:33:44:55:66
1.1.1.2
Man in the Middle
• Sirve como plataforma para otros ataques.
• DNS Spoofing.
• WebSpoofing.
• Hijacking.
• Sniffing
• Se utiliza para el robo de contraseñas.

Demo
• Envenamiento entre hosts.
• Robo de contraseñas.
• DNS Hijacking.
• Phising (WebSpoofing).
• HTTPS Spoofing.
Protección contra Envenenamiento
• Medidas preventivas.
• Control físico de la red.

• Bloqueo de puntos de acceso.
• Segmentación de red.
• Gestión de actualizaciones de seguridad.

• Protección contra Exploits.
• Protección contra troyanos.
• Cifrado de comunicaciones.
• IPSec.
• Cifrado a nivel de Aplicación:
• S/MIME.
• SSL.
• Certificado de comunicaciones.
• Utilización de detectores de Sniffers.
• Utilizan test de funcionamiento anómalo.

• Test ICMP.
• Test DNS.
• Test ARP.
Frase vs. Passwords
● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ●●● ● ● ● ● ● ● ● ● ● ● ● ● ●
●
● ●
● ●
● ●
● ●
● ●
● ●
●
● ●
● ●
● ●
● ●
● ●
● ●
●●●●●● ●●● ●●●● ●●●●●●●● ●●●●●●● ●●●●●●●● ●●● ●●●● ●●●●●●●● ●●●
Las 4 leyes fundamentales de la protección de datos
• Autentica en todas partes.

• Valida Siempre.
• Autoriza y audita todo.
• Cifra siempre que sea necesario.
Cifrado y autenticado de
conexiones con IPSec en redes
Windows 2003.
José Parada Gimeno

Chema Alonso
y
Cifrado de Comunicaciones
• IPv4 no ofrece cifrado de comunicaciones a nivel de red y transporte.
• Solo se puede garantizar la no interceptación de la información en líneas privadas.
• Los entornos son abiertos. Movilidad.
• La privacidad de la información es una necesidad

• La elección de la protección debe cumplir:
– No anular otras defensas.
– Permitir autenticación integrada.
– No suponer un coste excesivo en:

– Rendimiento.
– Adquisición.
– Implantación.
– Mantenimiento.
• Soluciones:
– Red : IPv6 -> IPSec.
– Transporte:
– TLS
– SSL
– Aplicación:
– HTTP-s
– FTP-s
– S/MIME
– SSH.
– Datos: Cifrado información.

IPSec - Definición
• IPSec es unprotocolo que sirve para proteger las comunicaciones entre equipos.
• Ofrece las siguientes características:
– Autenticación
– Integridad
– Confidencialidad (cifrado)
IPSec - Objetivos
• Proteger el contenido de las cabeceras IP contra ataques activos y pasivos mediante :

– Autenticación de la cabecera.
– Cifrado del contendio.
• Defender los equipos contra ataques de red:

– Filtrado de conexiones (sniffing).
– Autenticación de conexiones.
IPSec - Funcionamiento
• Dos grupos de protocolos distintos

– Protocolos de gestión de claves:
– IKE ( Internet Key Exchange) y sus asociados ISAKMP y OAKLEY KEY)
– Protocolos de autenticación, cifrado y manipulación de paquetes:
– AH ( Autentication Header )
– ESP ( Encapsulating Security Payload )
IKE - Funcionamiento
• IKE tiene dos modos de funcionamiento.
• Modo Principal y Modo Rápido.

– Centraliza la gestión de asociaciones (SA) para reducir el tiempo.
– Genera y gestiona las claves usadas para securizar la información.
IPSec – Proceso de Cifrado
• El proceso de cifrado está compuesto de dos protocolos.
– Autenticación de cabecera (AH)

– Cifrado de Tráfico (ESP)
Cabecera de Autenticación
• Authentication Header (AH) ofrece:

– Autenticacion.
– Integridad.
• Funcionalidades
– Kerberos, certificados o los secretos compartidos pueden ser utilizados para autenticar el tráfico.
– La integridad se calcula con algoritmos SHA1 o MD5 que calculan el Integrity Check Value (ICV)
IPSec – Cabecera AH.
Encabezados de autenticación
• Autenticidad de los datos
• Integridad de los datos
• Contra la retransmisión Firmado
• Protección contra la suplantación
Encab.
Encab. Datos
Datos de
de
Encab.
Encab. IP
IP AH
AH
TCP/UDP
TCP/UDP aplicaciones
aplicaciones
Cabecera ESP
• Encapsulating Security Payload (ESP)
• ESP ofrece:
– Confidencialidad.
• ESP puede ser utilizada sola o combinada con AH.
• Multiples algoritmos de cifrado

– DES – claves de cifrado de 56-bit
– 3DES – claves de cifrado de 168-bit
• Multiples algoritmos de firmado.

– SHA1 – 160-bit digest
– MD5 – 128-bit
Cabecera ESP
Carga de seguridad de encapsulación

 Autenticación del origen
Cifrado
 Cifrado de
los datos Nuevo
Nuevo ESP
ESP Encab.
Encab. IP
IP Encab.
Encab. Datos
Datos de
de Fin.
Fin. Aut.
Aut.
encab.
encab. IP
IP Hdr
Hdr original
original TCP/UDP
TCP/UDP aplicaciones
aplicaciones ESP
ESP ESP
ESP
 Contra la
retransmisión
Firmado
 Protección contra
la suplantación
IPSec - Firewalls
• IPSec se enruta como tráfico IPv4.
• En firewalls debe ser activado el reenvio IP para:

– IP Protocol ID 50 (ESP)
– IP Protocol ID 51 (AH)
– UDP Port 500 (IKE)
• El tráfico IPSec que pasa por un firewall no puede ser inspeccionado.

SA Establishment
App or Service Application

client Server or Gateway
UDP port 500
IPSec negotiation IPSec
PolicyAgent PolicyAgent
IKE (ISAKMP) 1 IKE SA IKE (ISAKMP)
IPSec 2 IPSec SAs IPSec

Driver TCPIP TCPIP Driver
filters NIC NIC filters
“IKE Initiator” IP protocol 50/51 “IKE Responder”

IPSec - Modos de trabajo
• El sistema IPSEC puede trabajar en dos modos:

– Modo de transporte: donde el cifrado se realiza de extremo a extremo.
– Modo túnel donde el cifrado se realiza únicamente entre los extremos del túnel.
Modos IPSEC
Modo de transporte
Proporciona cifrado y autenticación de extremo a extremo
Cifrado
Modo de túnel
Proporciona cifrado y autenticación sólo entre los puntos finales
del túnel
Cifrado
IPSEC - Coste de cifrado
• Disminución del rendimiento que es proporcional al hardware del sistema.

– Tiempo de negociación IKE – aproximadamente 2-5 segundos inicialmente
– Session rekey < 1-2 segundos
• Pérdida de la capacidad de filtrado de paquetes.
• Recursos destinados a la solución de problemas.
• Concienciación técnica de su necesidad y su uso.

IPSec en Windows 2000- 2003
• Se configura mediante políticas

– Almacenadas en el Directorio Activo o en en Registro Local del Servidor.
– Controlan la entrada y salida de paquetes permitidos.
• Las Politicas IPSec están formadas por listas de reglas.

– Están compuestas de asociaciones de acciones y protocolos.
– Se definen a nivel de protocolo o a nivel de puerto.
– Acciones permitidas:
– Bloquear.
– Permitir.
– Pedir seguirdad.
– Se aplica el filtro más permisivo.
IPSec - Políticas
• Podrán utilizarse políticas por defecto o las creadas manualmente.
• El sistema proporciona 3 políticas por defecto que van a determinar diferentes comportamientos
de la máquina con respecto a IPSEC.
– Cliente.
– Servidor.
– Servidor seguro.
IPSec - Política de cliente.
• Modo de solo respuestas.
• Un sistema en modo cliente responde a peticiones que le realicen en IPSEC.
• No inicia conversaciones en modo IPSEC, solamente en claro.

IPSec - Política de servidor.
• Intenta establecer comunicaciones cifradas, pero si la otra máquina no tiene configurado IPSEC la
comunicación se establece en claro.
• Este modo está definido por 3 reglas que determinan el comportamiento general del sistema a las
peticiones IP, ICMP y el resto de tráfico.
IPSec - Política Servidor Seguro
• El equipo solo puede establecer comunicaciones seguras.
• La política establece 3 reglas, para el tráfico de peticiones IP, ICMP y el resto de tráfico.
IPSEC - Reglas
• Las reglas IPSEC determinan el comportamiento del sistema en la transmisión de la información.
• Las reglas están compuestas por los siguientes objetos:

– Filtros.
– Acción de filtros.
– Método de autentificación.
IPSec - Filtros
• En la configuración de los filtros hay que especificar los siguientes parámetros:
– Determinar la posibilidad o no de establecer un túnel de comunicación.

– Qué redes o equipos se van a ver afectados.
– El método de autentificación para la transmisión.
– Métodos de seguridad.
– Las acciones de filtrado.
IPSec - Autenticación
• Kerberos
– Requiere tiempo de sincronización.
– Solo dentro del bosque.
• Certificados
– Requiere la implementación de PKI.
– CRL está deshabilitado por defecto.
• Secretos Compartidos.
– Tan seguro como sea el secreto.
– En entornos grandes es dificil de mantener.
IPSec - PKI Autodespliegue
• Se puede configurar un entorno de autodespligue de certificados digitales para equipos :
– Instalando una Entidad Certificadora Raiz integrada.
– Activando la Petición de Certificado Automático en la CPO del dominio.

IPSec – Excepciones.
• IPSec en Windows 2000 no securiza por defecto el siguiente tráfico :

– Broadcast
– Multicast
– RSVP
– IKE
– Kerberos
• Windows 2003 por defecto securiza todo el tráfico excepto IKE. Es posible configuarlo como en
Windows 2000
– IPSec Default Exemptions Are Removed in Windows Server 2003
– http://support.microsoft.com/default.aspx?scid=kb;EN-US;810207
IPSEC - Monitorización
• IPSecmon
• IP Security Monitor MMC Snap-In
IPSec - Despliegue
GPO
GPO
Despliegue centralizado desde el Directorio
Activo. Site
Configuración posible mediante plantillas.
Domain
OU
Políticas de Grupo
Demo – Configuración IPSec
Endurecimiento de Servidores
Windows 2003
Plantillas de Seguridad
José Parada Gimeno

Chema Alonso
y
Endurecimiento
• El aumento de ataques en las redes han hecho necesarias implementar medidas para fortificar los
servicios de las empresas.
• Entre las medidas caben destacar las actualizaciones de los sistemas y la fortificación de los
servidores desde la configuración de la seguridad interna mediante plantillas.
Plantillas de seguridad
• Proporcionan los mecanismos para incrementar la seguridad sobre los equipos.
• Son ficheros que proporcionan la capacidad para simplificar la implantación de seguridad en equipos.
• Incrementan o modifican las directivas que se están aplicando.

Aplicación de Plantillas
• Las plantillas pueden aplicarse por importación en políticas locales o mediante el uso en GPO.
• Mediante la herramienta de configuración de seguridad.
• Mediante línea de comando con la ejecución del comando Secedit.

Componentes de las
Plantillas de Seguridad
• Las plantillas de seguridad controlan los siguientes aspectos de una máquina:
– Cuentas de usuario.
– Auditorías.
– Derechos de usuarios.
– Opciones de seguridad.
– Visor de sucesos.
– Grupos restringidos.
– Servicios.
– Claves de registro.
– Sistema de ficheros.
Herramientas de Gestión de Plantillas
• La administración de las plantillas puede ser realizada desde:
– La consola Plantillas de seguridad.
– Consola configuración y análisis de la seguridad.
• Ambas herramientas son añadidas como complementos de MMC.

Herramientas de Plantillas Administrativas.
Configuración y Análisis
de la Seguridad.
• Es una herramienta con doble objetivo:
– Proporcionar los mecanismos para comparar la seguridad de una máquina con una base de datos de análisis.
– Configurar una máquina con la información de una base de datos creada a través de plantillas.
Análisis y configuración.
Resultante de políticas.
• Sistema complementario de los anteriores que evalúa no solo plantillas de seguridad sino GPO.
• Presenta dos herramientas:
– RSoP. Herramienta gráfica.

– GPRESULT. Línea de Comando.
Demo:
Aplicación de Plantillas de Servidores
Analísis de Seguridad
¡Descanso!

y
RPC sobre HTTPs
José Parada Gimeno

Chema Alonso
y
RPC Sobre HTTP
• Las llamadas a procedimiento remoto son una de las metodologías de comunicaciones entre
máquinas.
• Outlook 2003 se conecta a Exchange 2003 mediante el protocolo RPC.
• El establecimiento de RPC sobre HTTP, proporciona 3 niveles de seguridad adicionales sobre las
ofrecidas por RPC.
Seguridad
• Proporciona seguridad y autentificación a través de Internet Information Server.
• Proporciona encriptación SSL.
• Permite restricciones e inspecciones de información a nivel de RPC proxy.

Arquitectura
• En el procedimiento de una comunicación RPC/HTTPS intervienen los siguientes componentes:
– Cliente RPC/HTTPS.
– Proxy/Firewall RPC (enrutador).
– Servidor RPC.
Implementaciones.
• Microsoft proporciona 2 versiones de implementación de RPC/HTTP.
– Versión 1.
– No permite el establecimiento de una sesión SSL sobre el RCP Proxy.
– No permite autentificación sobre RPC/Proxy.
– No opera en granja de servidores.
– Versión 2.
– Permite SSL.
– Soporta autentificación sobre RPC/Proxy.
– Opera en granja de servidores.
Sistemas operativos.
Plataforma Soporte Implementación
Soporta RPC sobre HTTP v1 y RPC sobre HTTP v2. RPC

Cliente, Proxy soporta RPC sobre HTTP v2 cuando se está
Windows
servidor y ejecutando IIS en modo 6.0 . RPC Proxy soporta RPC
Server 2003
Proxy RPC sobre HTTP v1 y RPC sobre HTTP v2 cuando IIS se
ejecuta en modo IIS 5.0.
Windows XP Cliente y Soporta RPC sobre HTTP v1 y RPC sobre HTTP v2 en

con SP1 o SP2 Servidor modo cliente y servidor. No soporta PROXY RPC.
Cliente y Soporta RPC sobre HTTP v1 solamente en modo cliente

Windows XP
servidor y servidor.
Cliente, Soporta programas servidor RPC sobre HTTP y Proxy

Windows 2000 Servidor y RPC sobre diferentes equipos. Solamente presenta
Proxy RPC soporte solo sobre HTTP v1.
Cliente, Programas servidor RPC sobre HTTP y Proxy RPC deben

Windows NT
Servidor y ser ejecutadas en la misma máquina. Presenta soporte
4.0 with SP4
Proxy RPC solo sobre HTTP v1.
No soporta servidor HTTP sobre RPC. Windows 95 deben

Windows 95/98 Cliente tener instalados los componentes DCOM 95 v1.2 o
posteriores
Ventajas.
• Soporta una plataforma para transmitir información segura a través de Internet.
• Permite el enrutamiento de la información a través de una red de forma segura.
• Proporciona una plataforma de integración de antivirus y antispam para la inspección de tráfico.
• Evita el uso de licencias e implantaciones VPN.

Inspección de tráfico.
• Con la arquitectura de RPC sobre HTTP antivirus y antispam pueden implementarse en los
siguientes niveles:
– Cliente. Por ejemplo Outlook 2003.
– Proxy RPC. Por ejemplo IIS 6.0/ISA Server 2004.
– Servidor RPC. Por ejemplo Exchange 2003.

Configuración Proxy RPC
• Instalar IIS.
• Instalar servicios RPC/HTTP desde componentes de Windows.
• Configuración del servicio virtual RPC en IIS.
• Activar seguridad en el servicio para utilizar RPC/HTTPS

Exchange
• Exchange soporta el servicio RPC sobre HTTPS.
• Puede integrarse en la arquitectura

Front – End / Back – End.
• El servidor Front – End podría funcionar como:
– Servidor RPC Proxy.
– Servidor RPC recibiendo y enviando peticiones a un servidor Proxy.

Exchange como servidor RPC
Demo:
Conexión RPC/HTTPs
Outlook 2003 – Exchange 2003
MPLS y Hosting de aplicaciones.
Interacción con ISA Server
Julio César Gómez Martín

y
•Indice
• ¿Quién es ONO?

• VPNs de Nivel 2
• VPNs de Nivel 3. IPSec
• Hosting de Aplicaciones con MPLS
• Soluciones con ISA Server 2004 sobre las VPNs de ONO

• ISA Server 2004 como Proxy
• ISA Server 2004 como Firewall
¿Qué es ONO?
• ONO es la mayor compañía de comunicaciones integradas por banda ancha para particulares y una
de las principales para empresas en España
• Servicios de
– televisión + teléfono + internet al mercado residencial (en las demarcaciones con concesión de cable)
– servicios y aplicaciones sobre redes IP para empresas (en toda España)
• Licencias de cable en la Comunidad Valenciana, Mallorca, Castilla La Mancha, Murcia, Santander,

Cádiz y Huelva.
• En febrero de 2004, ONO completó la compra del 61% de Retecal, el operador de

telecomunicaciones por cable de Castilla y León.
Portfolio de servicios
Plataforma
de negocio • ASP Exchange
• e-Baan: ASP Baan (ERP)
• Streaming Video
• Hosting Gestionado: Dedicado, compartido
Conectividad
• VIP: Redes Privadas Virtuales
• SIG: Acceso a Internet Garantizado
• Wall: Firewall Gestionado
• ISP virtual: ISP virtual
Infraestructura • ITS: Tránsito Internet

• Housing: Alojamiento de servidores
Indice

– VPNs de Nivel 2
– VPNs de Nivel 3. IPSec

– ISA Server 2004 como Proxy
– ISA Server 2004 como Firewall
Definición de VPN
• Conexiones realizadas sobre una infraestructura compartida
• Funcionalidad similar (¿mejor?) que una red privada real:

– comportamiento (servicio garantizado)
– seguridad (integridad datos, confidencialidad)
– Seguridad ð aislamiento
Evolución de las VPNs
VPN de Nivel 3. IPSec

Túneles GRE y sobre todo IPSec
Autenticación y cifrado de los datos en Internet
Encaminamiento basado en IP del túnel
Aceleración de cifrado por HW y SW
VPN de Nivel 2
Frame Relay y ATM
Definición estática de Circuitos Virtuales (PVCs)
Encaminamiento basado en DLCI
Escalabilidad y Flexibilidad Limitadas
Evolución de las VPNs
VPN de Nivel 3. MPLS
Combina los niveles 2 y 3 empleando paquetes

“etiquetados”
Separación de la componente de routing de la
de envío
Seguridad inherente: diferencia y aísla el tráfico
VPN generando redes privadas reales
Comportamiento de la red: ingeniería tráfico
Indice

– VPNs de Nivel 2
– VPNs de Nivel 3. IPSec

– ISA Server 2004 como Proxy
– ISA Server 2004 como Firewall
Esquema básico funcionamiento
1a.- Mediante los protocolos de routing Existentes

(e.g. OSPF), establecemos los destinos mas
apropiados dentro de la red
1b.- A partir de esta información LDP genera el 4. El Router de Borde destino (PE2)
mapeo de destinos mediante Labels PE
elimina la etiqueta y entrega el
paquete
PE P P
1 2
3
Delegación
PE
PE
P P Sede Central
2. El Router de Borde (PE1) recibe un PE

paquete, marca el paquete con una 3. Los Routers de Backbone (P)
etiqueta y lo introduce en la red PE conmutan los paquetes mediante
la etiqueta de los paquetes
Esquema básico funcionamiento
Backbone MPLS
Cliente 1
MP-iBGP Cliente 1
Routing VPN Routing VPN

Cliente 2 Cliente 2
Router PE Router PE
Router P
IGP IS-IS IGP IS-IS

Cliente 3 Cliente 3
Generación de una VPN
• Tablas de envío (VRF) para cada VPN en el PE permiten encaminar el tráfico a cada miembro de una
VPN
Sede #1 Router Virtual Tabla de Routing

Cliente 1 para el Cliente 1 GLOBAL
Sede #2 Tabla de Routing Virtual Tabla de Routing

Cliente 1 para Cliente 1 GLOBAL P-Router
Sede #3 Router Virtual

Cliente 1 para el Cliente 2
Tabla de Routing Virtual

Sede #1 para Cliente 2
Cliente 2 Router PE
Generación de una VPN
• Tablas de envío (VRF) para cada VPN en el PE permiten encaminar el tráfico a cada miembro de una
VPN
• Identidad VPN mediante un “distintivo de ruta” de 64-bit (Route Distinguisher - RD)

• RD asignado por el operador, desconocido por el cliente
• RD + dirección IP cliente = dirección “IP-VPN”, globalmente unívoca
• Empleo de Route Tarjet (RT) que definen las rutas a importar y exportar de las VRFs
Plan de direccionamiento
Actualización MP-iBGP Actualización MP-iBGP

Red= 10.1.1.0/24 Red= 10.1.1.0/24
Next Hop= PE-Router X Next Hop= PE-Router Y
PE-Router V
VPN A
CPE VPN B
10.1.1.0/24 VPN B
CPE 10.1.1.0/24
VPN A PE-Router X P-Router Z PE-Router Y
Plan de direccionamiento
Actualización MP-iBGP Actualización MP-iBGP

RD:100:27 RD:100:26
Red= 10.1.1.0/24 Red= 10.1.1.0/24
Next Hop= PE-Router X Next Hop= PE-Router Y
PE-Router V
VPN A
CPE VPN B
10.1.1.0/24 VPN B
CPE 10.1.1.0/24
VPN A PE-Router X P-Router Z PE-Router Y
Simplicidad de configuración
!
interface FastEthernet0 PE
ip address 192.168.3.254 255.255.255.0
MPLS
speed auto Backbone
! PE
interface serial0
PE
ip address 192.168.254.2 255.255.255.252
no ip directed-broadcast
no ip route-cache
!
PE
ip route 0.0.0.0 0.0.0.0 serial0
Simplicidad de configuración
ip vrf vpn_cliente
rd 12457:5
route-target export 12457:5
route-target import 12457:5 PE
!
interface Serial1/1/1 MPLS
no ip directed-broadcast
Backbone
no ip proxy-arp
PE
ip address 192.168.254.1255.255.255.252
ip vrf forwarding vpn_cliente PE
!
router bgp 12457
address-family ipv4 vrf
vpn_cliente PE
redistribute static
exit-address-family
!
ip route vrf vpn_cliente 192.168.0.0
255.255.255.0 192.168.254.2
Indice

• VPNs de Nivel 2

Visibilidad “todos con todos”
Sede Central VPN

Cisco
CPE Cisco
ADSL CPE
4Mb
PaP
2Mb
Red MPLS
Cisco
CPE
ONO
PaP
1Mb
Internet
Centralizado
INTERNET
Delegaciones VPN
Conexión SIG con router en Housing.
©Conexión al Backbone IP
©Alta flexibilidad y escalabilidad
©NAT y Servicio Wall Clase C
Visibilidad parcial entre VPNs
Sede 1 CLIENTE A
Agrupacion de
CPE VPNs
ADSL Router
CPE
RED
Delegaciones TIPO ONO
Acceso
ADSL/PaP/Cable/RDSI (MPLS)
Sede Central
Cable
(Servicios Centrales)
CPE
Sede 1 CLIENTE B
Visibilidad parcial entre VPNs
ip vrf vpn_C
rd 12457:56
route-target import 12457:100
ip vrf vpn_A
rd 12457:3
ip vrf vpn_B
rd 12457:55
Hosting de Aplicaciones sobre MPLS
Delegación 2
Delegación 3
Servidores de
Aplicaciones
Delegación 1
Internas
(INTRANET)
Microsoft
Red ISA Server
MPLS
Servidor
Correo
Sede Central
VPN
Hosting de Aplicaciones sobre MPLS
ip vrf vpn_cliente
rd 12444:406
export map direcciones_loopback
!
interface GE-WAN8/2
no ip address
negotiation auto
mls qos trust dscp
!
interface GE-WAN8/2.300
description Conexion con HOSTING cliente
encapsulation dot1Q 300
ip vrf forwarding vpn_cliente
ip address 192.168.60.254 255.255.255.0
mls qos trust dscp
!
router bgp 12457
address-family ipv4 vrf vpn_cliente_s
redistribute connected
Indice

• VPNs de Nivel 2

Gestión de Redes a través de Objetos de Red
Internet
VPN
• Soporta cualquier Nº de Redes
• Pertenecia dinamica a la Red
• Reglas y Políticas por Red
Perimetro1
LAN1 Perimetro2
Reglas de Acceso
Las reglas de acceso siempre definen:
Red Destino
Permitir IP Destino
Denegar Usuarios Sitio de Destino
acción en traficó del usuario del origen al destino con condiciones
Protocolo Red Origen Schedule

IP IP Origen Tipo de contenido
Port/Tipo
Porque usar un Servidor Proxy?
ISA Web
Server Server
Mejora la seguridad en el acceso a internet:
Autenticación de Usuarios
Filtrado de peticiones de cliente
Inspección de contenido
Log del acceso de los usuarios
Esconder los detalles de la red interna.
Mejora el rendimiento en el acceso a Internet.

Servidor Proxy Directo.
Esta…
El usuario permitido?
El Protocolo permitido?
3
El destino permitido?
6
1 5
2
4
ISA Web
Server Server
Servidor Proxy inverso?
¿Esta…
la peticíón permitida?
Web
Server el Protocolo permitido?
3
el Destino permitido? DNS
4 Server
5 2 1
ISA 6
Server
Cacheo en ISA Server
• La cache del servidor ISA almacena una copia del contenido web solicitado en memoria o en el
disco duro.
• Nos proporciona:
• Mejora de Rendimiento — la información se almacena localmente en el servidor ISA.
• Reduce el ancho de banda — no hay trafico adicional hacia internet.
• Escenarios posibles en modo Cacheo:
• Cacheo Directo — Servidores Web de Internet
• Cacheo Inverso — Servidores Web internos
Componentes TCP/IP afectados
Dirección destino: 0003FFD329B0 Physical

Nivel de enlace Dirección fuente: 0003FFFDFFFF payload
Destino: 192.168.1.1
Nivel de red fuente: 192.168.1.10 IP payload
Protocolo: TCP
Puerto destino: 80
Nivel de Puerto origen: 1159 TCP
transporte Nº secuencia: 3837066872 payload
ACK: 2982470625
HTTP, Método de petición: Get

Nivel de
HTTP, Versión del protocolo: =HTTP/1.1
aplicación
HTTP Host: =www.contoso.com
¿Que es el filtrado de paquetes?
Está …
lá dirección fuente permitida?
Web lá dirección destino permitida?

Server
el protocolo permitido?
sl puerto de destino permitido?
ISA Packet
Server Filter
¿Que es el filtrado de paquetes?
Reglas de conexión
Crear la regla de conexión
Web
Server Es el paquete parte de la conexión?
Web
Server
ISA
Server
¿Que es el filtrado por aplicación?
www.contoso.com Está permitido el método? Respuesta al cliente
Web
Server
ISA
Server
Está la respuesta permitida en

contenido y métodos?
Funcionalidades IDS
Excedido el límite del Ataque de escaneo de

Alerta al administrador escaneo de puertos puertos
ISA
Server
Filtrado del tráfico de red en ISA Server 2004
3 Filtrado por aplicación

Filtrados
WEB 2 Filtrado por estado
Filtrados Filtrado de y protocolo
Proxy WEB Aplicaciones
Servicios de Firewall Reglas

De
Ingenieri
Ingenieria Firewall a
4 Modo Kernel
Bomba de datos TCP/IP
1
Filtrado de paquetes
Resumen: Implementing ISA Server 2004 como Firewall
En un entorno de Hosting de aplicaciones con MPLS:

Determinar el perímetro de configuración de Red
Configurar las reglas sobre las distintas redes
Configurar la política del sistema
Configurar la detección de intrusiones
Configurar las reglas de acceso
Configurar los servicios y políticas de anunció WEB
Reglas de publicación de servicios
Las reglas de publicación aplican a los servidores:

Publicar el contenido usando múltiples Soporte para encriptación
protocolos Logar dirección IP de
Filtrado a nivel de aplicación para clientes
protocolos con filtros de aplicación en
ISA
Redireccíonar la petición a la red interna (DMZ)
Comunicaciones basadas en protocolo y puerto
ISA
Server
Muchas Gracias
Técnicas de detección de SPAM
Jacobo Crespo
Sybari Software

y
AGENDA
1. Presentación
2. Herramientas de Filtrado de Contenido
3. Filtros AntiSpam en MS Exchange Server 2003
4. Intelligent Message Filter en Exchange 2003 – Demo
5. Advance Spam Manager – SpamCure – Demo

¿Quienes Somos?
1. Fabricante de Seguridad orientado a Mensajería:
• Correo Electrónico (Exchange)

• Portales para publicación de documentos (Sharepoint Portal Server)
• Servidores de Mensajería Instantánea (Live Communication Server)
2. Que ofrece:
• Hasta 8 motores de AV Simultáneos

• Control del contenido enviado en el correo (palabras, adjuntos, tamaño,…)
• Soluciones Antispam (borrado, etiquetado,….)
• Auditoria sobre la utilización del email (Productividad, almacenamiento, ancho de banda)
3. En US desde el año 1994 y en España desde el año 2000 con mas de 600 clientes
Referencias
¿Por qué Antispam?
1. Circulan al día 2.3 billones de mensajes SPAM
2. Un buzón de correo normal recibe al día 75 correos de los cuales el 52% es SPAM
3. Se ha cuantificado que el coste por año por empleado del SPAM es de 300€
4. Los costes directos del SPAM son:
• Transmitir esos mensajes – Reduce el ancho de banda

• Almacenar esos mensajes – Aumenta el coste de almacenamiento
• Borrar o leer esos mensajes – Reduce la productividad del empleado
1. ROI
• Protección Antispam por dos años para 50 empleados = 1.200€
• 300€ x 50 empleados = 15.000€ de coste de Spam anual x2 = 30.000€
• Protección Antispam por dos años para 1.000 empleados = 20.250€
• 300€ x 1.000 empleados = 300.000€ de coste de Spam anual x2 = 600.000€
Filtrado de Contenido
1. Evita que cierto tipo de palabras y tópicos sean enviados hacia o desde los usuarios
2. Sin embargo, es ineficiente para controlar el SPAM
• Requiere una atención continua del Administrador (horas por día)
• Algunos simples trucos lo hacen vulnerable

• Ejemplos: $ave, V*i*a*gr*a, Chëὰρ
• Existen 105 variantes solo para la letra A!
• Genera muchos falsos positivos

• Imposible de utilizar en ciertas industrias
Filtrado de Contenido
V I @ G R A , V--1.@--G.R.a, \./iagra, Viiagra, V?

agr?, V--i--a--g--r-a, V!agra, V1agra, VI.A.G.R.A,
vi@gra, vIagr.a, via-gra, Via.gra, Vriagra, Viag*ra, vi-
agra, Vi-ag.ra, v-iagra, Viagr-a, VÎÂ^G^GÂ,
V'i'a'g'r'a', V*I*A,G,R.A, VI.A.G.R.A..., Viag\ra!,
Vj@GRA, V-i:ag:ra, V'i'a'g'r'a, V/i;a:g:r:a, V i a g r @,
V+i\a\g\r\a, Viag[ra, V?agra, V;I;A*G-R-A, V-i-a-g-r-
a, V*I*A*G*R*A , V-i-@-g-r-a, VI@AGRA,
Vi@gr@, \/îâg-ra, VlAGRA, V\i\a.g.r.a, V1@GRA,
v_r_i_a_g_r_a, V\i\a:g:r:a, Vîâ^g^râ, V-i-@-g-r-@,
Viag(ra.
RBLs (Real Time Black Holes)
• Las RBLs son listas de supuestos spammers y sus dominios/direcciones IP

– Ejemplos: SpamCop, MAPS, SPEWS, Dorkslayers
• Generalmente es manejado por voluntarios, por lo cual no existe una auditoría, y a menudo bloquean
mas de la cuenta
– Algunos ISPs son agregados, aún cuando envían correos legítimos
– Borrarse de estas listas puede llevar desde días a meses
• Requiere la utilización de muchas listas blancas para no generar falsos positivos

Análisis Heurístico
• Utiliza una técnica que busca miles de características y/o palabras para identificar SPAM y asignar una
calificación
– El nivel de SPAM debe ser ajustado periódicamente
• Es utilizado en muchos productos antispam
• Muy conocido por los spammers

– Sitios Web de spammers permiten verificar el spam contra motores heurísticos
• Aumentar el nivel de detección = Aumentar los falsos +

Filtros Bayesianos
1. Sistema de aprendizaje basado en análisis estadísticos de vocabulario

• Listas de palabras “buenas” y “malas”
2. Necesita intervención del usuario para que sea efectiva
3. Puede ser muy efectiva para usuarios individuales
4. Es atacado deliberadamente por los spammers

• Incluyendo palabras “buenas”
• Generalmente con palabras escondidas dentro de código HTML
Filtros Bayesianos
Ejemplo de palabras aleatorias

para evitar filtros Bayesianos
Checksums
1. Crea un “fingerprint” de ejemplos de spam conocido
2. La Base de Datos se actualiza periódicamente
3. Es reactivo
• Por definición, el “fingerprint” es creado tras identificar el correo como spam
4. Es posible evitarlo con una técnica llamada “hash busting” – agregando diferentes caracteres dentro del
mensaje
Ejemplo de Hash busting
Ejemplo de hash busting para evitar la

técnica de checksums
Curiosidades
1. Los Spammers están continuamente creando trucos y técnicas para evitar las diferentes tecnologías de
detección…
2. Algunos Ejemplos…..
Filtros AntiSpam en
MS Exchange Server 2003
Jacobo Crespo
Sybari Software

y
Problemática
1. Plataforma Relay de correo:
• El ataque se produce cuando un usuario malicioso vulnera la seguridad de la plataforma para enviar correo
masivo a través de nuestro servidor.
2. Receptor de Correo Spam:
• Se reciben correos que cargan el rendimiento, reducen la productividad de los empleados y generan gastos
directos (sistemas de backup, conexiones GPRS, ancho de banda, soporte...)
Problemática Técnica Relay
Relay
Pasarela SMTP Buzones
Exchange Front-End Exchange Back-End

No Relay
Soluciones Exchange Server 2003
1. Opciones de Seguridad para no admitir Relay y, por tanto, no ser plataforma de correo “Spam”.
• Bloqueo de Relay por defecto para todos los clientes no autenticados.

• Bloqueo por dominios.
• Bloqueo por usuarios.
• Bloqueo por máquinas.
1. Opciones para detener el correo Spam recibido:
• Filtro de Remitente.
• Filtro de Destinatario. Nuevo.
• Listas Autenticadas. Nuevo.
• Filtro de Conexión en tiempo real. Nuevo.
• Filtros de Junk e-mail. Nuevo.
• IMF. Nuevo.
1. Filtro de Remitente. (Filtro Estático)
• Bloquea los mensajes que proceden de determinados usuarios.
2. Filtro de Destinatario (Filtro Estático)
• Bloquea los mensajes que van dirigidos a determinados destinatarios.

Soluciones Exchange 2003
1. Listas Autenticadas
• Se discrimina solo a usuarios autenticados para enviar mensajes a listas de correo.
1. Filtros de Conexión
• Exchange Server 2003 comprueba en tiempo real si un servidor que está enviando correo está almacenado en
una base de datos de servidores nocivos.
2. Implantación de Filtros de Conexión

• Implantamos en un servidor DNS una zona de consulta para almacenar los servidores bloqueados. Ej.
[bloqueados.midominio.com ]
• Añadimos registros del tipo
• Configuramos un filtro para que se consulte la zona anterior cada vez que se recibe una conexión de servidor
13.12.11.10 Host 127.0.0.1

Filtro de Conexión
Se envian los mensajes

al servidor de
BackEnd
Se deniega la conexión
Se recibe una
conexión desde un
servidor de correo
Servidor FrontEnd
El servidor FrontEnd
El servidor DNS consulta la zona DNS
contesta si existe de
o no
bloqueo.
ese registro.
Servidor BackEnd
Servidor DNS
1. Filtros Junk e-mail en Cliente
• Opciones de Outlook 2003
• El cliente tiene la opción de configurar los correos nocivos
• El Servidor y SW de terceros (Antigen) catalogan los mensajes para entrar en la carpeta de Junk-email
• En conexiones de pago por transferencia permite ahorrar costes

Intelligent Message Filter &
Advance Spam Manager
Jacobo Crespo
Sybari Software

y
Dos Motores
1. Microsoft IMF
• Utiliza la tecnología SmartScreen™
• Conjunto detallado de reglas que son comparadas con el correo entrante
2. Sybari/Antigen ASM
• Integra el motor de detección de spam SpamCure™
• Utiliza una combinación de “Bullet Signatures” y el motor STAR
Tecnología SmartScreen™
1. IMF distingue entre los mensajes de correo legítimos y el correo comercial no solicitado u otro tipo de correo
electrónico no deseado
2. Hace un seguimiento de más de 500.000 características de correo electrónico basadas en datos de cientos de
miles de suscriptores del servicio MSN® Hotmail® que participaron voluntariamente en la clasificación de
millones de mensajes de correo electrónico
3. Ayuda a filtrar el correo no deseado antes de que llegue a la bandeja de entrada del usuario
Tecnología SmartScreen™
1. Base de datos utilizada para almacenar las características de los correos catalogados como Spam se actualiza
con nueva información de patrones del origen de la muestra, lo que hace que el filtro sea más eficaz y actual
2. Permite llevar a cabo una evaluación más precisa de la legitimidad de un mensaje de correo electrónico
entrante
SCL – Nivel de Confianza del correo no deseado
1. IMF evalúa el contenido de los mensajes en busca de

modelos reconocibles y les asigna una clasificación basada
en la probabilidad de que el mensaje sea correo comercial
no solicitado o correo no deseado
2. La clasificación se almacena en una base de datos con el

mensaje como una propiedad llamada nivel de confianza de
correo no deseado (SCL)
3. Los administradores configuran dos umbrales que

determinan la forma en que IMF controla los mensajes de
correo electrónico con diferentes niveles de SCL
Demo: Intelligent Message Filter (IMF)
ASM
Antigen Advanced Spam Manager
Jacobo Crespo
Sybari Software

y
Bullet Signatures
1. BD “Bullet signatures” es creada y revisada por un grupo de expertos
2. Los “Bullet signatures” son una combinación de atributos únicos de un spammer en particular
• Un conjunto de datos extraídos de la cabecera, del campo asunto y del cuerpo del mensaje
• Funciona tanto para spam actual como futuro
• Creados para conseguir características únicas del mensaje que no puedan estar presentes en correos
legítimos
• No puede ser falseado por técnicas como el “Hash Busting”
STAR Engine
1. El motor STAR busca trucos y técnicas específicas de los spammers

• Spammer Tricks Analysis and Response
2. Utiliza los “Bullet Signatures” para buscar métodos específicos de spamming
3. Se actualiza automáticamente cuando se lanza una nueva versión del motor
4. Desde el comienzo está diseñado para soportar cualquier idioma, incluso los de doble byte.
Uno + Uno = TRES
1. Supongamos que recibimos 10.000 correos de SPAM

2. Si el IMF analiza primero, el total de correos de SPAM se reduciría a un total de 1500 (85% de detección)
3. A partir de ahí, SpamCure™ escanea el correo restante y detectaría el 95% de los 1500
4. Lo que reduce a 75 los correos de SPAM que recibiríamos
Combinando Tecnologías
1. El motor IMF analiza los correos en primer lugar

2. Se aplica una clasificación SCL a cada correo
3. Después pasa por ASM, que también analiza el mensaje
4. ASM nunca reducirá la clasificación de IMF
Resumen
1. Dos sistemas de detección de spam para lograr una mayor efectividad

2. Mínima intervención humana
3. Fácil de instalar y configurar
4. Integración entre cliente y servidor
5. Ratio de detección del 99%, mucho mayor que la que pueda ofrecer cualquier tecnología por sí misma
Demo: Advance Spam Manager. Tecnología SpamCure
Referencias
1. LSSI :
• http://www.lssi.es
2. MS ISA Server 2004:
• http://www.microsoft.com/spain/servidores/isaserver
3. Exchange Server 2003
• http://www.microsoft.com/spain/exchange
4. Message Screener:
• http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/smtpfilter.mspx
5. Technet:
• http://www.microsoft.com/spain/technet
6. Sybari:
• http://www.sybari.com
7. Informática 64
• http://www.informatica64.com
¿ Preguntas ?
Contactos
• Jacobo Crespo - Sybari Software

jacob_crespo@sybari.com
• Chema Alonso - Informática 64

Chema@informatica64.com
• José Parada Gimeno - Microsoft

jparada@microsoft.com
Contacto local
• CDROM, S.A.
– Servicios de Sistemas y Telec.
– Microsoft Certified Partner
– Area de Seguridad de los S.I.
www.cdromsa.es
Jose Luis Yago
(jose.luis.yago@cdromsa.es)
Próximas Acciones

Gira Seguridad 2005 Microsoft Technet

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Gira Seguridad 2005 Microsoft Technet

Cargado por

Copyright:

Formatos disponibles

Gira Seguridad 2005

José Parada Gimeno

• Técnicas Hacker de envenenamiento en redes de datos

• Contramedidas Hacking I. Protección de servidores.

• Contramedidas Hacking II. Protección de Servicios de correo.

• Tecnicas Hacker de Spamming.

• Seguridad, es un termino relativo y no absoluto

• Por lo tanto sin un contexto el termino Seguridad no tiene sentido

Hacer Daño Motivos Personales

• La tecnología tiene fallos.

Data Source: CERT ( http://www.cert.org)

Data Source: CERT ( http://www.cert.org)

Source: Company web sites

Source: Company web sites

José Parada Gimeno

• Cuatro capas son suficientemente representativas

HTTP, FTP, TFTP, telnet, ping, SMTP,

2. Red TCP, UDP, IPsec

IP, ICMP, IGMP

1. interface ARP, RARP

• Las técnicas spoofing tienen como objetivo suplantar validadores estáticos

Un validador estático es un medio de

SERVICIO Nombres de dominio

• Capturan tráfico de red.

• Necesitan que la señal física llegue al NIC.

• En redes conmutadas la comunicación se difunde en función de direcciones.

• Suplantar identidades físicas.

• Saltar protecciones MAC.

• Solo tiene sentido en comunicaciones locales.

• No se utilizan servidores que almacenen registros del tipo:

• La técnica consiste en interponerse entre dos sistemas.

• Para lograr el objetivo se utiliza el protocolo ARP.

• El envenenamiento puede realizarse entre cualquier dispositivo de red.

• Sirve como plataforma para otros ataques.

• Se utiliza para el robo de contraseñas.

• Envenamiento entre hosts.

• Control físico de la red.

• Gestión de actualizaciones de seguridad.

• Utilización de detectores de Sniffers.

• Utilizan test de funcionamiento anómalo.

• Autentica en todas partes.

José Parada Gimeno

• IPv4 no ofrece cifrado de comunicaciones a nivel de red y transporte.

• Solo se puede garantizar la no interceptación de la información en líneas privadas.

• Los entornos son abiertos. Movilidad.

• La privacidad de la información es una necesidad

• La elección de la protección debe cumplir:

– No anular otras defensas.

– Permitir autenticación integrada.

– No suponer un coste excesivo en:

– Red : IPv6 -> IPSec.

– Datos: Cifrado información.

• Ofrece las siguientes características:

• Proteger el contenido de las cabeceras IP contra ataques activos y pasivos mediante :

• Defender los equipos contra ataques de red:

• Dos grupos de protocolos distintos

• IKE tiene dos modos de funcionamiento.

• Modo Principal y Modo Rápido.

• El proceso de cifrado está compuesto de dos protocolos.

– Autenticación de cabecera (AH)

• Authentication Header (AH) ofrece:

• Encapsulating Security Payload (ESP)

• ESP puede ser utilizada sola o combinada con AH.