700 likes | 909 Views
Exchange Server 2010. Seguridad , control de información y cumplimiento legal. Joshua Sáenz G. jsaenz@informatica64.com www.saenzguijarro.com. Contenido. Mejoras y nuevas características en seguridad Configuración de Seguridad en Exchange Server 2010
E N D
Exchange Server 2010.Seguridad, control de información y cumplimiento legal Joshua Sáenz G. jsaenz@informatica64.com www.saenzguijarro.com
Contenido • Mejoras y nuevas características en seguridad • Configuración de Seguridad en Exchange Server 2010 • Desafíos y amenazas en materia de seguridad • Implantación del servidor Transporte de perímetro • Configuración de certificados y acceso seguro desde Internet • Implantación de firma digital y cifrado de mensajes de correo • Configuración de seguridad de dominio (Mutual TLS) • Configuración de higiene de mensajes y agentes anti SPAM
Contenido • Control de información y cumplimiento legal • Amenazas en la gestión de la información • ¿Porque es importante el cumplimiento legal? • Novedades en el control de información • Control de los mensajes con reglas de transporte • Configuración de carpetas administradas para el cumplimiento de normativas • Configuración de registro en diario (journaling) • Configuración de políticas y etiquetas de retención • Configuración de archivo personal • Moderación de buzones • Implementación de derechos de información con AD RMS • e-Discovery y auditoría
Mejoras y nuevas características en seguridad • Nuevo modelo de acceso basado en roles (RBAC) • Integración IRM en Outlook Web App y reglas de transporte • Archivo personal • e-Discovery • Moderación de mensajes • Cifrado automático de correo electrónico y mensajes de voz • Políticas de retención de mensajes • Mejoras en la auditoría de tareas adminstrativas
Desafíos y amenazas en materia de seguridad • Cada vez mas, la seguridad es un factor crítico en las organizaciones • La mensajería es uno de los servicios más atacados y vulnerables por su propio diseño • Una buena estrategia de seguridad en profundidad, basada en capas, es la clave para reducir el riesgo
Desafíos y amenazas en materia de seguridad • El administrador de la infraestructura de mensajería debe hacer frente a amenazas como: • Virus • Troyanos • SPAM • Phising • Denegación de servicio • Suplantación de identidad • Robo de credenciales • Captura de mensajes en tránsito • Uso fraudulento de pasarelas SMTP
Desafíos y amenazas en materia de seguridad • La estrategia de seguridad consiste en: • Aplicar un modelo de seguridad en capas • Cifrar comunicaciones y mensajes • Implementar servicios de detección y filtrado • Implementar servicios de recuperación rápida • Autenticar equipos y usuarios • Registrar conexiones, eventos y tareas administrativas • Realizar una gestión adecuada de actualizaciones de seguridad
Servidor Transporte de perímetro (EDGE) • Actúa como pasarela SMTP con filtrado en varios niveles • Fortalece la seguridad la cadena de transporte • Se instala en un servidor independiente, sin ninguna relación con del Directorio Activo o el dominio • Incluye servicios de autenticación mediante ADAM, el cual se sincroniza con el Directorio Activo • Se implanta como primera capa fortificada
Servidor Transporte de perímetro (EDGE) • Rol de servidor Edge Transport
Implantación del servidor Transporte de perímetro • Requisitos • Edge “multihomed” • Resolución de nombres • Desde Edge a todos los Hub Transport • Desde los Hub Transport a todos los Edge • Puertos: • 50389 LDAP • 50636 LDAP Seguro • 25 SMTP • 53 DNS (opcional)
Implantación del servidor Transporte de perímetro • Crear y exportar la configuración de suscripción • New-EdgeSubscription –file “C:\EdgeSubscriptionExport.xml” • Transferir el archivo al HubTransport Server • Importar la configuración y suscribir al Edge • Iniciar la sincronización manual • Start-EdgeSynchronization • Verificar la suscripción • Get-AcceptedDomain
Implantación del servidor Transporte de perímetro • Datos que se replican hacia ADAM • Send connector configuration • Accepted domains • Remote domains • Safe Senders Lists • Recipients
Configuración de certificados y acceso seguro desde Internet • Los certificados permiten establecer canales seguros, cifrados y autenticados para el transporte de mensajes o el acceso de clientes • Reduce el riesgo de robo de credenciales y robo de información privada • Requisitos: • Entidad certificadora raíz de confianza • Certificados de servidor • Servicios y clientes que soporten SSL/TLS • Ámbito de aplicación: • SMTP • POP3, IMAP • OWA, ActiveSync, Outlook Anywhere
Configuración de certificados y acceso seguro desde Internet • Un nuevo asistente permite crear fácilmente una solicitud de certificado para cada servicio de Exchange 2010 • Esta solicitud se debe enviar a la Entidad Certificadora para que sea aprobada y firmada
Implantación de firma digital y cifrado de mensajes de correo con S/MIME • Permite el envío y recepción de mensajes cifrados y firmados • Reduce el riesgo de suplantación de identidad, modificación del mensaje y robo de información privada • Requisitos: • Entidad certificadora raíz de confianza • Certificados de usuario • Clientes que soporten S/MIME • Ámbito de aplicación • Outlook 2003 / 2007 • OWA 2003 / 2007 • ActiveSync (Pocket Outlook en Windows Mobile 5.0 con MSFP) • Outlook Express • Otros
Configuración de seguridad de dominio (Mutual TLS) • La seguridad de dominio es una alternativa de bajo coste a S/MIME • El objetivo es proporcionar tráfico seguro de mensajes en internet con socios de negocio o empresas colaboradoras • Utiliza autenticación mutua TLS a nivel de sesión para autenticar y cifrar los mensajes • Generar una solicitud de certificado para certificados TLS • Importar certificados a servidores de transporte perimetral • Configurar la seguridad de dominio saliente • Configurar la seguridad de dominio entrante • Probar el flujo de correo seguro de dominio
Configuración de seguridad de dominio (Mutual TLS) • Para crear la solicitud de certificado • $Data1 = New-ExchangeCertificate -GenerateRequest -FriendlyName "Internet certificatefor mail1" -SubjectName "DC=com,DC=Contoso,CN=mail1.contoso.com" -DomainName mail.contoso.com • Set-Content -Path "C:\Certificates\mail1-request.req" -Value $Data1 • Para importar el certificado y asignar el servicio SMTP • Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path C:\Certificates\mail1-certificate.pfx -Encoding Byte -ReadCount 0)) | Enable-ExchangeCertificate -Services SMTP
Configuración de seguridad de dominio (Mutual TLS) • Para configurar la seguridad de dominio saliente • Set-TransportConfig -TLSSendDomainSecureListwoodgrovebank.com • Set-SendConnector Internet -DomainSecureEnabled:$true • Para configurar la seguridad de dominio entrante • Set-TransportConfig–TLSReceiveDomainSecureList woodgrovebank.com • Set-ReceiveConnector Internet -DomainSecureEnabled $true -AuthMechanism TLS
Flujos de decisión de los agentes de transporte • 1. Agente de filtrado de conexión
Flujos de decisión de los agentes de transporte • 2. Agente de filtrado de remitente
Flujos de decisión de los agentes de transporte • 3. Agente de filtrado de destinatario
Flujos de decisión de los agentes de transporte • 4. Agente de Identificación de remitente (SenderID)
Flujos de decisión de los agentes de transporte • 5. Agente de filtro de contenido
Flujos de decisión de los agentes de transporte • 6. Agente de filtrado de adjuntos
Flujos de decisión de los agentes de transporte • 7. Agente de escaneo de antivirus
Flujos de decisión de los agentes de transporte • 8. Filtro de correo no deseado de Outlook
Flujos de decisión de los agentes de transporte • Una buena estrategia Anti SPAM implica la configuración adecuada de todos los niveles de filtrado y el uso de todos ellos • Los primeros niveles de filtrado reducen la necesidad de procesamiento y uso de ancho de banda, ya que el mensaje ni siquiera llega a salir del spammer
Bloqueo de IPs y Dominios • Las listas negras y los proveedores de listas negras proporcionan una forma de filtrar los orígenes de SPAM de forma rápida y eficiente • Los proveedores de listas negras (RBLs) mantienen un listado de direcciones IPs desde donde se ha detectado el envío de correo no deseado, exploits, malware, etc. • Seleccionar un buen conjunto de proveedores es fundamental dentro de la estrategia de seguridad anti SPAM
Proveedores de listas negras • SPAMHAUS.org • Dispone de tres tipos de listas • XBL: Lista de sitios de envío de contenido malware y potencialmente peligroso • SBL: Lista de sitios de envío de correo comercial no deseado • PBL: Lista de rangos de IPs de asignación dinámica desde donde no se debería enviar correo electrónico (ADSLs de casa, Modems, Internet por Cable)
Proveedores de listas negras • Configuración de SPAMHAUS.org en Exchange Server 2007 • Dominio de consulta: zen.spamhaus.org • Códigos de respuesta:
Proveedores de listas negras • Otros proveedores: • SenderBase.org • DNSBL.info • BarracudaCentral.org • SpamCannibal.org • SpamCop.net • SORBS.net
Bloqueo de direcciones no válidas • El servidor perimetral de Exchange Server 2010 es capaz de consultar al ADAM para rechazar aquellos mensajes dirigidos a destinatarios no existentes. • Esta opción permite no tener de aceptar y procesar el mensaje si el destinatario no existe. • El rechazo del mensaje (REJECT) implica que éste no sale del spammer, y por lo tanto no se generan NDRs por no poder entregar el mensaje.
Bloqueo de direcciones no válidas • El Spoofing de direcciones propias es una técnica habitual en el envío de SPAM • El servidor perimetral de Exchange Server 2010, mediante el filtro de remitente puede bloquear los mensajes que se originen en Internet y traten de suplantar el dominio de la organización
Directory Harvesting y Tar Pitting • DirectoryHarvestinges un término que se refiere a la capacidad de encontrar direcciones válidas de correo haciendo uso de fuerza bruta u otros métodos • El uso de la opción de bloqueo de mensajes si el destinatario no está en la GAL puede dar ventajas para un DirectoryHarvesting • Para contrarrestar esto, es necesario configurar las opciones de Tar-Pitting, es decir un retraso en las respuestas de verificación de las direcciones SMTP por cada dirección no válida que se envía. • Se introdujo por primera vez en Windows Server 2003 en el año 2004 y posteriormente en el SP1 • http://support.microsoft.com/kb/899492
DirectoryHarvesting y TarPitting • Configuración de TarPitting en Exchange Server 2010 • Se recomienda establecer intervalos de 5 en 5 segundos.
Sender ID y SPF • SenderID es una iniciativa de Microsoft y otras empresas para ayudar a combatir el spoofing. • Funciona verificando cada correo entrante. • El objetivo es comprobar contra una serie de servidores DNS que el mensaje se ha originado en el dominio y desde los servidores SMTP autorizados.
Sender ID y SPF • Los registros SPF se publican en los DNS del dominio remitente y establecen la lista de servidores autorizados par el envío de correo perteneciente a dicho dominio • Opciones de filtrado de SenderID en Exchange Server 2010 • Aceptar el mensaje • Rechazar el mensaje • Marcar y seguir el procesamiento
Sender ID y SPF • Se puede utilizar el Sender ID Framework SPF Record Wizard • Identificar el Dominio • Seleccionar opcionesy servidores SMTP válidos • Crear registro SPF • Agregar registro tipoTXT en los DNS • http://www.microsoft.com/mscorp/safety/content/technologies/senderid/wizard
Técnicas contra el Backscatter (BATV) • El Backscatter (outscatter, misdirectedbounces, blowback o collateralspam) es el resultado de enviar mensajes de respuesta a remitentes inocentes, cuyas direcciones han sido suplantadas para el envío de SPAM • Si el mensaje no se rechaza durante la conexión, el servidor que recibe podría aceptar dicho mensaje y después de analizarlo, descartarlo y enviar un NDR al remitente • Para combatir el problema: • Validación de destinatario • Verificación de registros SPF • Rechazo de servidores sin registros inversos (PTR) • Rechazo de remitentes en listas negras • BATV: bounceAddressTagValidation): Token criptográfico identificativo de la dirección de retorno • DKIM
Filtro de reputación de remitente • El filtro de reputación de remitente realiza diversas pruebas y analiza los datos de SCL aplicados anteriormente para determinar un valor SRL (SenderReputationLevel)
Amenazas en la gestión de la información • Fuga de información • Falta de control interno • Pérdida de datos • Espionaje industrial • Incumplimiento de normativas y legalidad • Ataques deliverados