Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Gira Seguridad 2005 Microsoft Technet
Gira Seguridad 2005 Microsoft Technet
Microsoft TechNet
• Introducción
• VPN’s
• Evolución de las VPNs
• VPNs Seguras con MPLS
• Hosting de Aplicaciones en VPNs con MPLS
• Soluciones con ISA Server 2004 sobre las VPNs de ONO.
Motivos
Impacto
Análisis de Incidentes
Análisis de Vulnerabilidades
¿Que es Seguridad?
Motivos Financieros
• Robar información
• Chantaje
• Fraudes Financieros
Motivos
Porque MOLA!!
Incidentes Reportados al CERT
160000
140000
120000
100000
80000
60000
40000
20000
0
Vulnerabilidades por Años
4500
4000
3500
3000
2500
2000
1500
1000
500
0
1995 1996 1997 1998 1999* 2000 2001 2002 2003
Problema de la Industria IT
Vulnerabilidades en Sistemas Operativos - 2002
120 124
100
86 86 87
80
67
60
51
40 37
34 34
20
0
Windows XP EnGarde Windows SuSE Sun Mandrake Trustix RedHat Debian
2000 (OS) 8.x 1.5 7.2
160
120
100
80 91 94
60
40 45
37
20 23 24
9 12
0
Windows OpenBSD Windows Windows SuSE SUN Mandrake RedHat Debian
2003 XP 2000
• Debian: http://www.nl.debian.org/security
• Mandrake: http://www.mandrakesoft.com/security/advisories
• Microsoft: http://www.microsoft.com/technet/security/current.aspx
• Open BSD: http://www.openbsd.org/errata35.html
• Sun: http://sunsolve.sun.com/pub-cgi/show.pl?target=security/sec
• Suse: http://www.novell.com/linux/security/advisories.html
• RedHat: http://www.redhat.com/security/updates/
Vulnerabilidades
http://www.securityfocus.com/bid
Problema de la Industria IT
Vulnerabilidades en Sistemas Operativos - Agosto 2004
Sofisticación de los Ataques vs. Conocimientos requeridos
Técnicas Hacker de
Envenenamiento en Redes de
Datos
7. Aplicación
6. Presentación
5. Sesión
4. Transporte
3. Red
2. Conexión
1.Fisico
En Realidad
4. Aplicación
8-5. usuario
ENLACE
Dirección MAC
RED
Dirección IP
• Spoofing ARP
• Envenenamiento de conexiones.
• Man in the Middle.
• Spoofing IP
• Rip Spoofing.
• Hijacking.
• Spoofing SMTP
• Spoofing DNS
• WebSpoofing.
Técnicas de Sniffing
• En redes de difusión mediante concentradores todas las señales llegan a todos los
participantes de la comunicación.
Sniffing + Spoofing
Hijacking (Secuestro) Y
Envenenamiento
Nivel de Enlace: Spoofing ARP
• Tiene como objetivo definir un identificador único para cada dispositivo de red.
• Cuando una máquina quiere comunicarse con otra necesita conocer su dirección física.
• Protocolo ARP
• Cada equipo cuenta con una caché local donde almacena la información que conoce.
Sniffing en Redes de Difusión
PC 2 PC HACKER PC 3
Sniffer
PC 1
filtra filtra PC 4
Da
tos
PC
4
Sniffing en Redes Conmutadas
PC 2 PC HACKER PC 3
Sniffer
PC 1 PC 4
MAC 2 MAC H MAC 3
Da
tos
PC
MAC 1 4 MAC 4
Puerto 1 MAC 1
Puerto 2 MAC 2
Puerto 6 MAC H
Puerto 11 MAC 3
Puerto 12 MAC 4
Envenenamiento de Conexiones: “Man in the Middle”
PC 1 PC 2
IP 1 IP 2
MAC 1 MAC 2
CONEXIÓN REENVÍO A
PC2 HOST
IP 2 – MAC H IP 1 – MAC H
CACHE ARP CACHE ARP
IP 2 – MAC H IP 1 – MAC H
PC H
IP H
MAC H
Ataque ARP Man In The Middle
1.1 88:7
99:
.1 . 7 : 6
4
1e
:4
:6 en
55
sta :55:
77 a
6:
8: st
:8 2 e
en 44
6
99 . 1.
1.1
1.1.1.1 1 .1. 2?
ti e n e 1.
ie n
¿Qu
1.1.1.2 esta en 00:11:22:33:44:55:66
1.1.1.2
Man in the Middle
• DNS Spoofing.
• WebSpoofing.
• Hijacking.
• Sniffing
• Robo de contraseñas.
• DNS Hijacking.
• Phising (WebSpoofing).
• HTTPS Spoofing.
Protección contra Envenenamiento
• Medidas preventivas.
• Medidas preventivas.
• Cifrado de comunicaciones.
• IPSec.
• Cifrado a nivel de Aplicación:
• S/MIME.
• SSL.
• Certificado de comunicaciones.
Protección contra Envenenamiento
• Medidas preventivas.
● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ●●● ● ● ● ● ● ● ● ● ● ● ● ● ●
●
● ●
● ●
● ●
● ●
● ●
● ●
●
● ●
● ●
● ●
● ●
● ●
● ●
●●●●●● ●●● ●●●● ●●●●●●●● ●●●●●●● ●●●●●●●● ●●● ●●●● ●●●●●●●● ●●●
Las 4 leyes fundamentales de la protección de datos
• Soluciones:
– Transporte:
– TLS
– SSL
– Aplicación:
– HTTP-s
– FTP-s
– S/MIME
– SSH.
• IPSec es unprotocolo que sirve para proteger las comunicaciones entre equipos.
– Autenticación
– Integridad
– Confidencialidad (cifrado)
IPSec - Objetivos
• Funcionalidades
– Kerberos, certificados o los secretos compartidos pueden ser utilizados para autenticar el tráfico.
– La integridad se calcula con algoritmos SHA1 o MD5 que calculan el Integrity Check Value (ICV)
IPSec – Cabecera AH.
Encabezados de autenticación
• Autenticidad de los datos
• Integridad de los datos
• Contra la retransmisión Firmado
• Protección contra la suplantación
Encab.
Encab. Datos
Datos de
de
Encab.
Encab. IP
IP AH
AH
TCP/UDP
TCP/UDP aplicaciones
aplicaciones
Cabecera ESP
• ESP ofrece:
– Confidencialidad.
– Modo túnel donde el cifrado se realiza únicamente entre los extremos del túnel.
Modos IPSEC
Modo de transporte
Proporciona cifrado y autenticación de extremo a extremo
Cifrado
Modo de túnel
Proporciona cifrado y autenticación sólo entre los puntos finales
del túnel
Cifrado
IPSEC - Coste de cifrado
• El sistema proporciona 3 políticas por defecto que van a determinar diferentes comportamientos
de la máquina con respecto a IPSEC.
– Cliente.
– Servidor.
– Servidor seguro.
IPSec - Política de cliente.
• Intenta establecer comunicaciones cifradas, pero si la otra máquina no tiene configurado IPSEC la
comunicación se establece en claro.
• Este modo está definido por 3 reglas que determinan el comportamiento general del sistema a las
peticiones IP, ICMP y el resto de tráfico.
IPSec - Política Servidor Seguro
• La política establece 3 reglas, para el tráfico de peticiones IP, ICMP y el resto de tráfico.
IPSEC - Reglas
• Kerberos
– Requiere tiempo de sincronización.
– Solo dentro del bosque.
• Certificados
– Requiere la implementación de PKI.
– CRL está deshabilitado por defecto.
• Secretos Compartidos.
– Tan seguro como sea el secreto.
– En entornos grandes es dificil de mantener.
IPSec - PKI Autodespliegue
• IPSecmon
• IP Security Monitor MMC Snap-In
IPSec - Despliegue
GPO
GPO
Despliegue centralizado desde el Directorio
Activo. Site
Configuración posible mediante plantillas.
Domain
OU
Políticas de Grupo
Demo – Configuración IPSec
Endurecimiento de Servidores
Windows 2003
Plantillas de Seguridad
• El aumento de ataques en las redes han hecho necesarias implementar medidas para fortificar los
servicios de las empresas.
• Entre las medidas caben destacar las actualizaciones de los sistemas y la fortificación de los
servidores desde la configuración de la seguridad interna mediante plantillas.
Plantillas de seguridad
• Son ficheros que proporcionan la capacidad para simplificar la implantación de seguridad en equipos.
• Las plantillas pueden aplicarse por importación en políticas locales o mediante el uso en GPO.
– Cuentas de usuario.
– Auditorías.
– Derechos de usuarios.
– Opciones de seguridad.
– Visor de sucesos.
– Grupos restringidos.
– Servicios.
– Claves de registro.
– Sistema de ficheros.
Herramientas de Gestión de Plantillas
– Proporcionar los mecanismos para comparar la seguridad de una máquina con una base de datos de análisis.
– Configurar una máquina con la información de una base de datos creada a través de plantillas.
Análisis y configuración.
Resultante de políticas.
• Sistema complementario de los anteriores que evalúa no solo plantillas de seguridad sino GPO.
• Las llamadas a procedimiento remoto son una de las metodologías de comunicaciones entre
máquinas.
• El establecimiento de RPC sobre HTTP, proporciona 3 niveles de seguridad adicionales sobre las
ofrecidas por RPC.
Seguridad
– Cliente RPC/HTTPS.
– Servidor RPC.
Implementaciones.
– Versión 1.
– No permite el establecimiento de una sesión SSL sobre el RCP Proxy.
– No permite autentificación sobre RPC/Proxy.
– No opera en granja de servidores.
– Versión 2.
– Permite SSL.
– Soporta autentificación sobre RPC/Proxy.
– Opera en granja de servidores.
Sistemas operativos.
• Con la arquitectura de RPC sobre HTTP antivirus y antispam pueden implementarse en los
siguientes niveles:
• Instalar IIS.
• ¿Quién es ONO?
• ONO es la mayor compañía de comunicaciones integradas por banda ancha para particulares y una
de las principales para empresas en España
• Servicios de
– televisión + teléfono + internet al mercado residencial (en las demarcaciones con concesión de cable)
– servicios y aplicaciones sobre redes IP para empresas (en toda España)
Plataforma
de negocio • ASP Exchange
• e-Baan: ASP Baan (ERP)
• Streaming Video
• Hosting Gestionado: Dedicado, compartido
Conectividad
• VIP: Redes Privadas Virtuales
• SIG: Acceso a Internet Garantizado
• Wall: Firewall Gestionado
• ISP virtual: ISP virtual
• ¿Quién es ONO?
VPN de Nivel 2
Frame Relay y ATM
Definición estática de Circuitos Virtuales (PVCs)
Encaminamiento basado en DLCI
Escalabilidad y Flexibilidad Limitadas
Evolución de las VPNs
• ¿Quién es ONO?
PE P P
1 2
3
Delegación
PE
PE
P P Sede Central
Backbone MPLS
Cliente 1
MP-iBGP Cliente 1
• Tablas de envío (VRF) para cada VPN en el PE permiten encaminar el tráfico a cada miembro de una
VPN
Cliente 2 Router PE
Generación de una VPN
• Tablas de envío (VRF) para cada VPN en el PE permiten encaminar el tráfico a cada miembro de una
VPN
PE-Router V
VPN A
CPE VPN B
10.1.1.0/24 VPN B
CPE 10.1.1.0/24
VPN A PE-Router X P-Router Z PE-Router Y
Plan de direccionamiento
PE-Router V
VPN A
CPE VPN B
10.1.1.0/24 VPN B
CPE 10.1.1.0/24
VPN A PE-Router X P-Router Z PE-Router Y
Simplicidad de configuración
!
interface FastEthernet0 PE
ip address 192.168.3.254 255.255.255.0
MPLS
speed auto Backbone
! PE
interface serial0
PE
ip address 192.168.254.2 255.255.255.252
no ip directed-broadcast
no ip route-cache
!
PE
ip route 0.0.0.0 0.0.0.0 serial0
Simplicidad de configuración
ip vrf vpn_cliente
rd 12457:5
route-target export 12457:5
route-target import 12457:5 PE
!
interface Serial1/1/1 MPLS
no ip directed-broadcast
Backbone
no ip proxy-arp
PE
ip address 192.168.254.1255.255.255.252
ip vrf forwarding vpn_cliente PE
!
router bgp 12457
address-family ipv4 vrf
vpn_cliente PE
redistribute static
exit-address-family
!
ip route vrf vpn_cliente 192.168.0.0
255.255.255.0 192.168.254.2
Indice
• ¿Quién es ONO?
Red MPLS
Cisco
CPE
ONO
PaP
1Mb
Internet
Centralizado
INTERNET
Delegaciones VPN
Conexión SIG con router en Housing.
©Conexión al Backbone IP
©Alta flexibilidad y escalabilidad
©NAT y Servicio Wall Clase C
Visibilidad parcial entre VPNs
Sede 1 CLIENTE A
Agrupacion de
CPE VPNs
ADSL Router
CPE
RED
Delegaciones TIPO ONO
Acceso
ADSL/PaP/Cable/RDSI (MPLS)
Sede Central
Cable
(Servicios Centrales)
CPE
Sede 1 CLIENTE B
Visibilidad parcial entre VPNs
ip vrf vpn_C
rd 12457:56
route-target import 12457:100
route-target export 12457:100
route-target import 12457:101
route-target import 12457:102
ip vrf vpn_A
rd 12457:3
route-target export 12457:101
route-target import 12457:101
route-target import 12457:100
ip vrf vpn_B
rd 12457:55
route-target export 12457:102
route-target import 12457:102
route-target import 12457:56
Hosting de Aplicaciones sobre MPLS
Delegación 2
Delegación 3
Servidores de
Aplicaciones
Delegación 1
Internas
(INTRANET)
Microsoft
Red ISA Server
MPLS
Servidor
Correo
Sede Central
VPN
Hosting de Aplicaciones sobre MPLS
ip vrf vpn_cliente
rd 12444:406
export map direcciones_loopback
route-target export 12444:406
route-target import 12444:406
route-target import 12457:1
!
interface GE-WAN8/2
no ip address
negotiation auto
mls qos trust dscp
!
interface GE-WAN8/2.300
description Conexion con HOSTING cliente
encapsulation dot1Q 300
ip vrf forwarding vpn_cliente
ip address 192.168.60.254 255.255.255.0
mls qos trust dscp
!
router bgp 12457
address-family ipv4 vrf vpn_cliente_s
redistribute connected
Indice
• ¿Quién es ONO?
Internet
VPN
• Soporta cualquier Nº de Redes
• Pertenecia dinamica a la Red
• Reglas y Políticas por Red
Perimetro1
LAN1 Perimetro2
Reglas de Acceso
Red Destino
Permitir IP Destino
Denegar Usuarios Sitio de Destino
ISA Web
Server Server
Mejora la seguridad en el acceso a internet:
Autenticación de Usuarios
Filtrado de peticiones de cliente
Inspección de contenido
Log del acceso de los usuarios
Esconder los detalles de la red interna.
Esta…
El usuario permitido?
El Protocolo permitido?
3
El destino permitido?
6
1 5
2
4
ISA Web
Server Server
Servidor Proxy inverso?
¿Esta…
la peticíón permitida?
Web
Server el Protocolo permitido?
3
el Destino permitido? DNS
4 Server
5 2 1
ISA 6
Server
Cacheo en ISA Server
• La cache del servidor ISA almacena una copia del contenido web solicitado en memoria o en el
disco duro.
• Nos proporciona:
• Mejora de Rendimiento — la información se almacena localmente en el servidor ISA.
• Reduce el ancho de banda — no hay trafico adicional hacia internet.
• Escenarios posibles en modo Cacheo:
• Cacheo Directo — Servidores Web de Internet
• Cacheo Inverso — Servidores Web internos
Componentes TCP/IP afectados
Destino: 192.168.1.1
Nivel de red fuente: 192.168.1.10 IP payload
Protocolo: TCP
Puerto destino: 80
Nivel de Puerto origen: 1159 TCP
transporte Nº secuencia: 3837066872 payload
ACK: 2982470625
Está …
ISA Packet
Server Filter
¿Que es el filtrado de paquetes?
Reglas de conexión
Web
Server Es el paquete parte de la conexión?
Web
Server
ISA
Server
¿Que es el filtrado por aplicación?
Web
Server
ISA
Server
ISA
Server
Filtrado del tráfico de red en ISA Server 2004
4 Modo Kernel
Bomba de datos TCP/IP
1
Filtrado de paquetes
Resumen: Implementing ISA Server 2004 como Firewall
ISA
Server
Muchas Gracias
Técnicas de detección de SPAM
Jacobo Crespo
Sybari Software
1. Presentación
2. Que ofrece:
3. En US desde el año 1994 y en España desde el año 2000 con mas de 600 clientes
Referencias
¿Por qué Antispam?
1. Circulan al día 2.3 billones de mensajes SPAM
2. Un buzón de correo normal recibe al día 75 correos de los cuales el 52% es SPAM
3. Se ha cuantificado que el coste por año por empleado del SPAM es de 300€
1. ROI
• Protección Antispam por dos años para 50 empleados = 1.200€
• 300€ x 50 empleados = 15.000€ de coste de Spam anual x2 = 30.000€
• Protección Antispam por dos años para 1.000 empleados = 20.250€
• 300€ x 1.000 empleados = 300.000€ de coste de Spam anual x2 = 600.000€
Filtrado de Contenido
1. Evita que cierto tipo de palabras y tópicos sean enviados hacia o desde los usuarios
• Generalmente es manejado por voluntarios, por lo cual no existe una auditoría, y a menudo bloquean
mas de la cuenta
– Algunos ISPs son agregados, aún cuando envían correos legítimos
– Borrarse de estas listas puede llevar desde días a meses
• Utiliza una técnica que busca miles de características y/o palabras para identificar SPAM y asignar una
calificación
– El nivel de SPAM debe ser ajustado periódicamente
3. Es reactivo
• Por definición, el “fingerprint” es creado tras identificar el correo como spam
4. Es posible evitarlo con una técnica llamada “hash busting” – agregando diferentes caracteres dentro del
mensaje
Ejemplo de Hash busting
1. Los Spammers están continuamente creando trucos y técnicas para evitar las diferentes tecnologías de
detección…
2. Algunos Ejemplos…..
Filtros AntiSpam en
MS Exchange Server 2003
Jacobo Crespo
Sybari Software
• El ataque se produce cuando un usuario malicioso vulnera la seguridad de la plataforma para enviar correo
masivo a través de nuestro servidor.
• Se reciben correos que cargan el rendimiento, reducen la productividad de los empleados y generan gastos
directos (sistemas de backup, conexiones GPRS, ancho de banda, soporte...)
Problemática Técnica Relay
Relay
1. Opciones de Seguridad para no admitir Relay y, por tanto, no ser plataforma de correo “Spam”.
• Filtro de Remitente.
• Filtro de Destinatario. Nuevo.
• Listas Autenticadas. Nuevo.
• Filtro de Conexión en tiempo real. Nuevo.
• Filtros de Junk e-mail. Nuevo.
• IMF. Nuevo.
Soluciones Exchange Server 2003
1. Listas Autenticadas
• Se discrimina solo a usuarios autenticados para enviar mensajes a listas de correo.
Soluciones Exchange 2003
1. Filtros de Conexión
• Exchange Server 2003 comprueba en tiempo real si un servidor que está enviando correo está almacenado en
una base de datos de servidores nocivos.
• Configuramos un filtro para que se consulte la zona anterior cada vez que se recibe una conexión de servidor
Servidor BackEnd
Servidor DNS
Soluciones Exchange 2003
• El Servidor y SW de terceros (Antigen) catalogan los mensajes para entrar en la carpeta de Junk-email
Jacobo Crespo
Sybari Software
1. Microsoft IMF
• Utiliza la tecnología SmartScreen™
• Conjunto detallado de reglas que son comparadas con el correo entrante
2. Sybari/Antigen ASM
• Integra el motor de detección de spam SpamCure™
• Utiliza una combinación de “Bullet Signatures” y el motor STAR
Tecnología SmartScreen™
1. IMF distingue entre los mensajes de correo legítimos y el correo comercial no solicitado u otro tipo de correo
electrónico no deseado
2. Hace un seguimiento de más de 500.000 características de correo electrónico basadas en datos de cientos de
miles de suscriptores del servicio MSN® Hotmail® que participaron voluntariamente en la clasificación de
millones de mensajes de correo electrónico
3. Ayuda a filtrar el correo no deseado antes de que llegue a la bandeja de entrada del usuario
Tecnología SmartScreen™
1. Base de datos utilizada para almacenar las características de los correos catalogados como Spam se actualiza
con nueva información de patrones del origen de la muestra, lo que hace que el filtro sea más eficaz y actual
2. Permite llevar a cabo una evaluación más precisa de la legitimidad de un mensaje de correo electrónico
entrante
SCL – Nivel de Confianza del correo no deseado
Jacobo Crespo
Sybari Software
2. Los “Bullet signatures” son una combinación de atributos únicos de un spammer en particular
• Un conjunto de datos extraídos de la cabecera, del campo asunto y del cuerpo del mensaje
• Funciona tanto para spam actual como futuro
• Creados para conseguir características únicas del mensaje que no puedan estar presentes en correos
legítimos
• No puede ser falseado por técnicas como el “Hash Busting”
STAR Engine
4. Desde el comienzo está diseñado para soportar cualquier idioma, incluso los de doble byte.
Uno + Uno = TRES
1. LSSI :
• http://www.lssi.es
2. MS ISA Server 2004:
• http://www.microsoft.com/spain/servidores/isaserver
3. Exchange Server 2003
• http://www.microsoft.com/spain/exchange
4. Message Screener:
• http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/smtpfilter.mspx
5. Technet:
• http://www.microsoft.com/spain/technet
6. Sybari:
• http://www.sybari.com
7. Informática 64
• http://www.informatica64.com
¿ Preguntas ?
Contactos
• CDROM, S.A.
– Servicios de Sistemas y Telec.
– Microsoft Certified Partner
– Area de Seguridad de los S.I.
www.cdromsa.es
Jose Luis Yago
(jose.luis.yago@cdromsa.es)
Próximas Acciones