1. Vuelta a España TechNet 2005-2006:��Mantenga su infraestructura Segura…. Contra Hackers. Chema Alonso (MVP de Microsoft) Jose Parada (Ingeniero TechNet) David Cervigon (Ingeniero TechNet)
2. Recursos Technet WebCasts
IT ShowTime
Guías y manuales
Chats
Blogs
Eventos
Seguridad
Software Technet Flash
Flash MSDN
Newsletter Seguridad
Videos Demo
Videos Interactivos
3. Agenda 09:00 - 09:30 : Registro
09:30 - 10:45 : Redes Wireless
10:45 - 11:15 : Café
11:30 - 12:30 : Actualizaciones de Seguridad
12:30 - 13:45 : Defensa nivel 7
13:45 - 14:00 : Preguntas
4. Redes Wireless Introducción, conceptos y funcionamiento
DEMO: Técnicas Hacker de ataque a redes Wireless
Redes Wireless Seguras
DEMO: Securización de una red Wireless
5. Introducción Hoy en día, las Wireless LAN se están convirtiendo poco a poco en parte esencial de las redes LAN tradicionales:
Bajos costes de instalación
Disponibilidad
No requiere de software adicional
Movilidad
La implantación se esta realizando a mayor velocidad en los entornos domésticos y PYMES que en las grades empresas
Este mercado esta menos concienciado de los problema de seguridad
El aire es un medio inseguro.
Los estándares iniciales tienen muchos problemas de seguridad.
6. Introducción Componentes
Routers/Gateways, Puntos de acceso (AP), Repetidores
Equivalente al HUB de la tecnología ETHERNET.
Ojo, no es un Switch por lo que los usuarios comparten el ancho de banda total.
Adaptadores WIFI: PC Cards, PCI, Integradas, USB....
Antenas: unidireccionales y omnidireccionales
Modos de funcionamiento
Modo “AD-HOC”: los clientes se comunican directamente entre ellos. Solamente los clientes dentro de un rango de transmisión definido pueden comunicarse entre ellos.
Modo “INFRASTUCTURE”: cada cliente envía toda sus comunicaciones a una estación central o punto de acceso (Access Point – AP). Este AP actúa como un bridge ethernet y reenvía las comunicaciones a la red apropiada, ya sea una red cableada u otra red inalámbrica.
7. Conceptos: Definiciones�http://www.wi-fi.org/OpenSection/glossary.asp Frecuencia: de 2 a 5 GHz (Radio)
Canal: Una porción del espectro de radiofrecuencias que usan los dispositivos para comunicarse. El uso de diferentes canales ayuda a reducir interferencias
BSSID (Basic Service Set Identifier): Dirección única que identifica al Router/AP que crea la red wireless. Tiene formato de MAC address
ESSID (Extended Service Set Identifier): Nombre único de hasta 32 caracteres para identificar a la red wireless. Todos los componentes de la misma red WLAN deben usar el mismo.
SSID (Service Set Identifier): Equivalente a ESSID
8. Conceptos: Funcionamiento (I)� Descubrimiento: La estación ha de conocer la existencia del PA al que conectarse.
Escaneo Pasivo: Espera recibir la señal de PA
Escaneo Activo: La estación lanza tramas a un PA determinado y espera una respuesta
Autenticación: La estación ha de autenticarse para conectarse a la red
Asociación: La estación ha de asociarse para poder intercambiar datos con otras.
Cifrado: Protección de los datos que se envían a través de la red.
9. Conceptos: Funcionamiento (II)� Tipos de tramas Wireless
Tramas de Gestión:
Ayudan al las estaciones a localizar y asociarse a PA disponibles.
Se transmiten igual que las demás pero no se envía a las capas superiores. Nivel 2
Tramas Baliza o “Beacon Frames” envían:
Sincronización horaria
Anchos de banda, canal, tipo de señal, etc..
SSID
Las redes que no emiten el SSID en las BFs se denominan “redes cerradas”
Tramas de Control: Usadas para el control de acceso al medio.
Tramas de Datos: Usadas para la transmisión de los datos
10. IEEE 802.11� Estándar de la IEEE: Opera en frecuencias de 2.4 a 5 GHz
802.11: 1 a 2 Mbps a 2.4GHz
802.11a: 54 Mbps a 5GHz
802.11b: 11Mbps a 2.4GHz
802.11g: 54 Mbps a 2.4GHz
Además: d (Cambios de MAC), e (QoS), j (Japón), n (x4, x8) ...
Cada fabricante implementa sus propias soluciones para mejorar el rendimiento en la transferencia de datos. (108 Mbps)
11. Seguridad en IEEE 802.11� Inciso: Autenticación, Encriptación/Cifrado, Firmado
Autenticación
Open System Authentication
Shared Key Authentication (WEP)
Ambos permiten autenticación por filtrado de MAC
Encriptación e Integridad de datos
WEP (Wired Equivalent Privacy) ?
Usa un algoritmo RC4 de cifrado con claves de 40-bit o 104-bit
Calcula un ICV de 32-bit a partir de los datos a enviar
Genera un IV de 24-bit
¡Se usa el mismo secreto compartido tanto para autenticar (en el desafío/respuesta) como para encriptar!
12. Cifrado y descifrado WEP
13. DEMO: �Técnicas Hacker de ataque a redes Wireless Ataque a WLAN protegida con:
Ocultación de SSID
Control de acceso por MAC Address
Clave WEP
14. Ataque a Redes Wireless 802.11 Hemos sacado el SSID oculto y tipo de cifrado
Averiguado:
el canal de emisión
BSSID y direcciones MAC
Obtenemos la clave WEP
Ya vemos el tráfico:
Dirección IP, Puerta de enlace...
Etc...
“Spoofeamos” la MAC
Configuramos la red con los datos recogidos
15. La raíz de los problemas de 802.11 La clave WEP es compartida entre todos los clientes
No se contempla la forma de distribuirla ni su cambio en el tiempo.
¡El estándar 802.11 especifica que cambiar el IV en cada paquete es opcional!. Y cada fabricante es libre de gestionarlo como quiera.
Reutilización del IV
El IV es de 24-bit -> se repite cada 16.777.216 tramas!
Debilidad de RC4
El ICV es un CRC32 independiente del secreto compartido
Conocido el texto de una trama puede sacarse el de cualquiera sin conocer la clave WEP (bit-flipping)
Más en: http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html
Crackearlas es “trivial”
16. Así es que con 802.11... Rogue APs.
DoS, ataques por Asociación/Disociación.
Fácil monitorización.
No extensible a otros métodos de autenticación.
Imposible autenticar por usuario
No extensible a otros métodos de gestión de la clave compartida
Hay que implementar nuevos mecanismos de Autenticación, Cifrado y Firmado
17. Implantación de Redes Wireless Seguras
18. Soluciones Wireless Seguras�WPA y WPA2 WPA: Certificación de la WI-FI Alliance para las soluciones Wireless que cumplan ciertos requisitos de seguridad. Surgió mientras estaba listo el estándar IEEE802.11i
WPA2: Certificación de la WI-FI Alliance para las soluciones Wireless que cumplan los requisitos de seguridad dictados por IEEE 802.11i
19. Cambios requeridos por WPA y WPA2 (IEEE802.11i) Autenticación
WPA y WPA2:
Open System Authentication para la asociación
Para la autenticación mutua y del usuario:
Enterprise ? 802.1X sobre 802.11
Personal ? PSK (Pre-Sahred Key) ¡Ojo!
Cifrado e Integridad de Datos
WPA: TKIP (Temporary Key Integrity Protocol)
WPA2: AES (Advanced Encryption Standard), aka Counter Mode Cipher Block Chaining-Message Authentication Code (CBC-MAC) protocol (CCMP)
20. Autenticación 802.1X sobre 802.11 802.1X surge como un método de autenticación de “puertos” redes LAN
Implementa un Protocolo de Autenticación Extensible (EAP) ? Nivel 2
Diseñado originalmente para ser usado en PPP y adaptado por 802.1X para ser encapsulado y enviado en redes LAN o Wireless
No tiene seguridad “built-in”. Los protocolos de autenticación deben implementar sus propios métodos de seguridad. El método de autenticación es elegido por los equipos durante la negociación de forma transparente al AP
Aplicado a redes Wireless 802.11
Evita la aparición de Rogue APs usando autenticación mutua.
Evita accesos no autorizados autenticando tanto a los usuarios como a sus equipos.
Produce una PMK (Pairwise Master Key) de 256-bit por cada sesión para cada cliente
Mas detalles sobre su funcionamiento en:
http://www.microsoft.com/technet/community/columns/cableguy/cg0402.mspx
21. Métodos de Autenticación EAP nos permite elegir
TLS: Transport Layer Security (certificados de cliente y servidor)
IKE: Internet Key Exchange
Kerberos
Otros (MD5, LEAP, etc.)
PEAP: Protected Extensible Authentication Protocol. Evita que la conversación EAP vaya sin encriptar
Genera un canal TLS usando el certificado del servidor RADIUS
Posteriormente podemos implementar de nuevo un método EAP de autenticación mutua
MS-CHAP v2 (usuario y contraseña)
TLS (certificados de cliente y servidor)
22. Esquema de Autenticación
23. Generación de las claves de cifrado
24. TKIP (Temporary Key Integrity Protocol) Utiliza cifrado entre la estación cliente y el Punto de Acceso con clave simétrica.
Utiliza 4 claves distintas entre Punto de Acceso y cada Cliente Wireless para tráfico Unicast y 2 claves para tráfico broadcast y/o multicast.
Las claves se recalculan para cada paquete con una función de mezclado para cada paquete
Usa IV de 48-bit
25. Integridad de datos en TKIP: Michael Provee de integridad y “antireplay”
Calcula un “Message Integrity Code” (MIC) de 8 bytes
Estos 8 bytes se introducen entre los datos y los 4 Bytes del ICV de la trama 802.11
Se cifra junto con los datos y el ICV
Mas información en:
http://www.microsoft.com/technet/community/columns/cableguy/cg1104.mspx
26. AES Protocolo sustituto de DES
Utiliza el algoritmo de cifrado por bloques de Rijndael
Permite claves de 128, 196 y 256 bits
Es el algoritmo de cifrado más seguro que podemos utilizar en redes WLAN. No vulnerado a fecha de hoy
Mas información en:
http://www.microsoft.com/technet/community/columns/cableguy/cg0805.mspx
27. RESUMEN:
28. RECOMENDACIONES (de mas a menos seguras): Empresa:
WPA2: AES y PEAP-TLS
WPA2: AES y PEAP-MS-CHAP v2
WPA: TKIP y PEAP-TLS
WPA: TKIP y PEAP-MS-CHAP v2
SOHO (Small Office, Home Office)
WPA2: AES y secreto compartido
WPA: TKIP y secreto compartido
29. DEMO: �Implantación de una red Wireless Segura
30. Pasos Configurar puntos de acceso
Agrupar usuarios y máquinas
Configurar IAS (RADIUS)
Dar de alta los AP como clientes
Configurar la política de acceso
Definir políticas Wireless
Definir políticas para obtención de certificados
31. REFERENCIAS http://www.microsoft.com/spain/servidores/windowsserver2003/technologies/networking/wifi/default.aspx
IEEE 802.11 Wireless LAN Security with Microsoft Windows XP
Step-by-Step Guide for Setting Up Secure Wireless Access in a Test Lab
Enterprise Deployment of Secure 802.11 Networks Using Microsoft Windows
Configuring Windows XP IEEE 802.11 Wireless Networks for the Home and Small Business
Troubleshooting Windows XP IEEE 802.11 Wireless Access
http://www.wi-fi.org/OpenSection/index.asp
Configuring Wireless Settings Using Windows Server 2003 Group Policy
TKIP: Wi-Fi Protected Access Data Encryption and Integrity
AES: Wi-Fi Protected Access 2 Data Encryption and Integrity
33. Café
34. Actualizaciones de Seguridad Expedientes de Seguridad, Bugs y Exploits. Shellcodes.
DEMO: Generación y ejecución de Exploits
Terminología y consideraciones acerca de las Actualizaciones de Seguridad
Herramientas de Monitorización y Actualización de sistemas.
MBSA, EXBPA.
MU, WSUS y SMS.
Windows Server Update Services
DEMO: Implantación WSUS, Administración y Despliegue de Actualizaciones.
35. Gestión de la Seguridad
36. Bug Un error de software o computer bug, que significa bicho de computadora, es el resultado de un fallo de programación introducido en el proceso de creación de programas de computadora. El término bug fue acreditado erróneamente a Grace Murray Hopper, una pionera en la historia de la computación, pero Thomas Edison ya lo empleaba en sus trabajos para describir defectos en sistemas mecánicos por el año 1870.
Fuente: Wikipedia en Español
37. Bug
38. Exploit Exploit (viene de to exploit - aprovechar) - código escrito con el fin de aprovechar un error de programación para obtener diversos privilegios. software.
Un buen número de exploits tienen su origen en un conjunto de fallos similares. Algunos de los grupos de vulnerabilidades más conocidos son:
Vulnerabilidades de desbordamiento de pila o buffer overflow.
Vulnerabilidades de condición de carrera (Race condition).
Vulnerabilidades de error de formato de cadena (format string bugs).
Vulnerabilidades de Cross Site Scripting (XSS).
Vulnerabilidades de inyección SQL (SQL injection).
Vulnerabilidades de inyección de caracteres (CRLF).
Fuente: Wikipedia en Español
39. Payload El payload de un virus o un gusano es cualquier acción que se programa para que se lleve a cabo además de su propia propagación. El término se usa para cualquiera de las funciones, independientemente de que lleguen a funcionar o no
Fuente: Wikipedia
40. Proceso explotación de una Vulnerabilidad 1.- Se descubre una vulnerabilidad
a) Por el fabricante
b) Por un tercero
2.- Se aprende a explotarlo
a) Ingeniería inversa de Código
b) Ingeniería inversa de Patch
3.- Se usa un Payload para automatizar
41. Comunidades Hacker
42. Expedientes de Seguridad
43. DEMO: �Generación y ejecución de Exploits
46. Grados de Severidad en Microsoft
47. Herramientas de Monitorización y Auditoria El objetivo es dejar un Servidor en Día-0.
Zero Day Server es aquel que tiene todo el software que corre en su sistema actualizado y no tiene ningún bug conocido.
Es el máximo nivel de seguridad que se puede alcanzar con el software que corre en un sistema.
Existen Zero Day Exploits
Auditorias de seguridad
No son las únicas que deben hacerse
Se deben realizar de forma automática y de forma manual [“artesana”].
Con la visión de un atacante y con la visión del administrador.
48. Auditoría Caja Negra Se realiza desde fuera
Ofrece la visión de un hacker
No puede ser ejecutada desde dentro ? Falsos positivos
No garantiza “Servidor Seguro”
No todos los escáner ofrecen los mismos resultados.
SSS, Nessus, GFI Languard, Retina, ISS Real Secure, etc …
49. Scanners de Vulnerabilidades Satan, Saint, Sara
Shadow Security Scanner
http://www.safety-lab.com
GFI Languard Network Security Scanner
http:///www.gfihispana.com
Retina
http://www.eeye.com
Nessus
http://www.nessus.org
NetBrute, R3X
50. Auditoría Caja Blanca Se realiza internamente
Con privilegios y visualización completa del sistema
Se utilizan herramientas proporcionadas por el fabricante o propias
MBSA
EXBPA
MOM 2005
….
51. MBSA Ayuda a identificar sistemas Windows vulnerables.
Escanea buscando actualizaciones no aplicadas y fallos en la configuración del software.
Escanea distintas versiones de Windows y distintas aplicaciones.
Escanea en local o múltiples máquinas en remoto vía GUI o línea de comandos.
Genera informes XML sobre los resultados de cada equipo.
Corre en Windows Server 2003, Windows 2000 y Windows XP
Se integra con SMS 2003 SP1, con SUS y WSUS
52. MBSA
53. EXBPA Examina un despliegue de Exchange Server y determina si esta configurado siguiendo las recomendaciones de Microsoft.
Genera una lista de puntos, como configuraciones mejorables, u opciones no recomendadas o soportadas.
Juzga la salud general del sistema.
Ayuda a resolver los problemas encontrados.
Busca también Actualizaciones de Seguridad que falten.
54. EXBPA
55. Herramientas para la�Gestión de Actualizaciones
56. Productos de Terceros
57. ¿Qué es WSUS? Un “Feature Pack” RTW (Release to Web) de Microsoft Windows Server
Gratuito: http://www.microsoft.com/windowsserversystem/updateservices/evaluation/sysreqs.mspx
No necesita ningún tipo de CAL adicional
Una solución funcional: Automatiza el proceso de gestión de parches y actualizaciones todo lo posible
Gestiona parches de otros productos además de Windows
Incluye las funcionalidades que le demandabais SUS 1.0
Mejora y facilita las tareas del administrador
Componente clave de las actuales y futuras soluciones de gestión de Parches y Actualizaciones de Microsoft
Aprovechado por otras herramientas (i.e., SMS & MBSA)
Expone un rico conjunto de API para facilitar la personalización y extensibilidad
Escalabilidad hacia (Microsoft Update)
58. Contenido y Productos Soportados Contenido
Microsoft Windows, Microsoft Office, Microsoft SQL Server, Microsoft Exchange Server
Se agregarán productos adicionales (i.e. ISA Server 2004)
Sistemas Operativos
Cliente/agente
Windows 2000 SP3 y posterior,
Windows XP y posterior (Tb. versiones y x64)
Windows 2003 (solo 32-bit),
Windows 2003 SP1 (x64 y ia64)
Servidor
Windows 2000 SP4 y posterior
Windows 2003 y posterior (solo 32-bit)
Soporte Internacional
25 Windows client locales
17 Windows Server locales
60. Arquitectura Piezas de la solución
Windows Server Update Services
Automatic Updates client agent
Microsoft Update
Group Policy y Active Directory
Piezas del servidor
IIS / IE6 SP1
BITS y WinHTTP (KB842773)
MSI 3.1
Microsoft SQL Server
WMSDE/MSDE
.NET Framework 1.1 SP1
Scripting vía SDK
61. Arquitectura del Servidor Interfaz de administración Web.
Motor de sincronización para descargar las actualizaciones de Microsoft Update.
Base de datos SQL que mantiene el resto de los datos que no son actualizaciones.
Permite una estructura de servidores jerárquica
Usa BITS (Background Intelligent Transfer Service) para un uso eficiente del ancho de banda
Escalable
62. Arquitectura del Servidor (cont.)
63. Arquitectura del cliente El agente (Win32 Service) implementa la mayor parte de la funcionalidad
Extensibilidad basada en manejadores de tipo Update
Manejadores para MSI, update.exe, drivers etc.
Se auto-actualiza automáticamente a nuevas versiones ofrecidas por el servidor.
Controlable via GPO
Seguro
64. Arquitectura del cliente
65. Cosas a tener en cuenta ¿Que Base de datos voy a usar?
¿Necesito una jerarquía?
¿Necesito replicas?
¿Que método vamos a usar para instalar las actualizaciones?
¿Donde voy a almacenar las actualizaciones?
¿En que idiomas tengo los productos que voy a actualizar?
¿Cómo voy a configurar los clientes?
¿Qué opciones de seguridad tengo que considerar?
66. ¿Que Base de datos voy a usar? La mejor ?:
Instalación local de WMSDE / MSDE.
SQL Server ya existente (local o remoto).
El principal factor es la infraestructura existente.
WMSDE/MSDE valdrá en la mayoría de los casos.
Utilizar SQL solamente si ya está instalado y tiene capacidad de aguantar más carga
No modificar nunca directamente los datos en SQL.
Usar WSUSUtil.exe para backup
67. Jerarquías y Réplicas Autónomo = padre/hijo
Solo los elementos comunes suponen ancho de banda
El almacén del padre es el común múltiplo de todos las aprobaciones de los hijos.
Replica = Configuración espejo.
Solamente la pertenencia a grupos es única.
Puede repartir parcialmente las tareas de administración.
Útil para distribuir la sobrecarga de red.
Se configura durante la instalación y no puede cambiarse luego. El despliegue puede consistir en múltiples capas de servidores WSUS
68. Servidor único
69. Servidores de réplica
70. Delegaciones
71. Redes desconectadas
72. ¿Qué método vamos a usar para instalar las actualizaciones? �Instalación Express vs. estándar Instalación estándar: Descarga y reemplaza el fichero completo.
Más costoso para el cliente y la red local
Instalación Express: Descarga e instala solo “deltas” (diferencias)
Más costoso para el servidor WSUS y el enlace WAN
73. ¿Donde voy a almacenar las actualizaciones?�Opciones de almacenamiento Dos opciones:
Sistema de archivos local
Microsoft Update (solo almacenamos la información acerca de las actualizaciones)
Depende de dónde estén los clientes en relación al WSUS
Clientes en “red local” – Local file system
Clientes “fuera” – Microsoft Update
74. Por defecto son todos (3 tipos de Chino, dos de Japonés además del Coreano....)
Eso es MUCHO tráfico y MUCHAS Gigas
WSUS solamente podrá informar sobre un cliente si los datos para su idioma se han descargado
Recomendación: No almacenar los datos localmente si hay gran variedad y variabilidad de idiomas ¿En que idiomas tengo los productos que voy a actualizar?�Locales
75. ¿Qué opciones de seguridad tengo que considerar? WSUS siempre detrás de un firewall
Sobre el sistema operativo securizado
Utilizar siempre SSL
Los clientes deben validarse con su certificado de máquina para recibir las actualizaciones
Usar una CA pública si no se tiene la opción de distribuir una CA raíz corporativa (nada más sencillo con Directorio Activo)
76. Opciones de configuración del cliente Nombre del servidor WSUS (en formato http://server:8530).
Target Group (debe haberse creado previamente en WSUS).
Tiempo de búsqueda de nuevas actualizaciones después de reiniciar.
Frecuencia de actualización del cliente
No reiniciar automáticamente tras la instalación.
Demorar el reinicio
Comportamiento de la descarga y la instalación
Frecuencia de los recordatorios para reiniciar tras la instalación
Instalar actualizaciones al Apagar
Apariencia del botón de Apagar
Usuarios no administradores pueden aprobar descargas e instalaciones
77. ¿Cómo voy a configurar los clientes? Manualmente / Scripts
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate
Por políticas (WUAU.ADM)
Locales = Manualmente (gpedit.msc)
GPOs en Directorio Activo
Ver la “Deployment Guide”
78. Migración desde SUS 1.0 Puntos a tener en cuenta:
La instalación NO actualiza.
Se migra el contenido y las aprobaciones, no la configuración.
Dos Escenarios
Al mismo servidor
A un servidor remoto
79. RECURSOS
80. Web MVPs
81. Defensa Nivel 7:�Firewall de Aplicación: ISA Server 2004� Chema Alonso
MS MVP Windows Security
Informática64
82. Firewalls Se introducen entre redes para cortar tráfico.
Implican la separación física de las redes para permitir que pasen o no los mensajes.
Pueden inspeccionar la torre completa de comunicaciones y reconocer sesiones.
83. Firewalls Firewall de Red:
Filtrado de direcciones IP, puertos, tipo de protocolos y flags de cabeceras.
Filtrado discreto de paquetes.
Implementados en Routers de conexión.
Implementados por Software en protocolos de comunicaciones.
84. Firewalls Firewall Nivel de Aplicación:
Inspeccionan y reconocen el protocolo utilizado en una sesión.
Pueden utilizar para la toma de decisiones todos los objetos de seguridad de una red integrándolos en un árbol LDAP.
Reglas complejas que pueden requerir el establecimiento de sesiones completas entre firewall y el cliente.
85. ISA Server: Novedades Enterprise Edition
Gestión Empresarial
Arrays
Network Load Balancing
ISA Server 2004 Appliance
Pre-configurado y Pre-testeado
Configuración bastionada para reducir la superficie de ataque
Sencillez
ISA Server SE 2004 SP1
86. Arquitectura ISA Server 2004 Firewall multired:
Nivel de Red.
Nivel de Aplicación.
Servidor VPN:
Túneles.
Clientes.
Servidor Caché.
87. Soporte Multired ISA Server 2004 divide los sistemas de red en función de las necesidades planteadas en el marco de la seguridad.
Definición de redes y grupos de redes.
Definición de la interconexión entre redes mediante NAT o enrutamiento.
Permite gestión independiente.
Presenta soporte para redes.
Internas.
Perimetrales.
Externas.
Interconexión sitios VPN.
VPN de Cuarentena.
92. Reglas de Publicación Se utilizan para publicar servidores.
Asistentes de publicación:
Web Server.
Secure Web Server.
Mail Server.
Definición de servidores por servicios.
93. Firewall de aplicación
94. Necesidades Inspeccionar el tráfico al nivel de aplicación.
Permitir o denegar el paso de datos a determinados contenidos o aplicaciones.
Proporcionan controles sobre determinados ataques.
Sistema extensible sobre filtrados de conexiones.
95. Métodos de implementación Implementadas directamente sobre las reglas de acceso y las publicaciones.
Como un añadido sobre reglas y publicaciones.
Como funcionalidad sobre ISA a nivel Firewall.
96. Filtro HTTP Las necesidades de la empresa permiten el tráfico a través del puerto 80.
Por el puerto 80 no solo viaja tráfico HTTP puro, sino que puede disfrazar otras comunicaciones.
Malware.
P2P.
Servicios de mensajería …
Determinados ataques contra Servicios Web pueden ser controlados a este nivel.
97. Controles HTTP Mediante el filtro HTTP pueden ser controlados estos aspectos de la comunicación:
Técnicas de Buffer Overflow.
Denegación de servicio.
Subida de datos en escenarios de publicación.
Control de métodos.
Control de cabeceras.
98. Filtro contenido HTTP Controlan el tráfico de datos a través de firmas.
En transmisión de datos.
En recepción de datos.
Impedir tráfico a palabras claves.
Control de acceso a sitios web.
Detención de comunicaciones de aplicaciones por firma y cabecera.
99. Control de aplicaciones HTTP
100. Filtro ProxyWeb Se aplica de forma directa sobre HTTP.
Permite la extensión del filtro HTTP y de autentificación sobre otros protocolos.
Garantiza el control sobre comunicaciones en entornos propietarios.
101. Protocolos RPC Un número considerables de servicios se establecen mediante RPC.
Problemática de las transmisiones RPC.
Inicio de comunicación sobre 135 para localizar el puerto de comunicación.
Establece comunicación en puertos por encima de 1024.
El administrador no debería abrir todos los puertos por encima del 1024.
102. Filtro RPC Las comunicaciones RPC se pueden parametrizar por el UUID.
Identificador del servicio RPC.
Identificador del interface.
ISA Server 2004 presenta un asistente para la creación de protocolos RPC basados en UUID.
Manual.
Automáticamente conectando a un servidor y seleccionando sus UUID correspondientes.
El servicio de Firewall aplica con posterioridad los filtros para permitir la transferencia de datos a UUID determinados.
103. Transmisión RPC
104. Filtro SMTP
ISA Server 2004 para el protocolo SMTP presenta un filtro que realiza el control de los comandos SMTP.
Se puede ampliar la funcionalidad del filtro SMTP mediante Message Screener.
105. Message Screener Message Screener se instala como un componente adicional de MS ISA 2004.
Puede ser instalado sobre cualquier servidor que ejecute IIS 5.0 o 6.0 y tenga instalado el Servidor SMTP.
No se recomienda su implementación sobre el servidor MS Exchange Server 2003, ya que podría interferir en los filtros propios.
106. Implicaciones de Implantación En función de los escenarios de implantación, habrá que tener en cuenta las siguientes medidas:
Publicar DNS para reconocer los Servidores de correo Internos.
Publicar o crear las reglas de acceso necesarias para los servidores SMTP.
Establecer conexiones entre servidores SMTP.
107. Message Screener Message Screener aporta mayores funcionalidades que el filtro smtp controlando:
Palabras en cabecera o cuerpo del mensaje.
Permite parar Virus difundidos por e-mail cuando aún no hay vacunas.
Bloqueos de remitente y dominios.
Correos con attachments.
109. Message Screener Cuando se aplica una regla de filtrado se pueden establecer 3 acciones diferentes:
Eliminar el mensaje.
Retener el mensaje para inspeccionarlo posteriormente.
Enviar una notificación a una dirección de correo.
110. Filtro FTP Controla la conexión a través de los puertos dinámicos FTP.
Realiza la conversión de las direcciones para los clientes SecureNat.
Controla los procesos de escritura, prioritariamente en entornos de publicación.
111. Filtros de autentificación ISA Server 2004 presenta una serie de mecanismos para garantizar los procedimientos de autentificación.
Integración con Directorio Activo.
Filtro Web RSA para autentificación de usuarios SecurID.
Filtro de autentificación Radius.
Filtros de formulario de autentificación para OWA.
112. DEMO�Filtro HTTP�
113. Bridging HTTP-s con ISA Server 2004
114. “Problemática” HTTP-s Conexiones HTTP-s ofrecen:
Autenticación mediante certificados.
Cifrado mediante túneles SSL.
Conexiones HTTP-s condicionan:
Transmisión datos extremo-extremo.
Paso a través de sistemas de protección de forma oculta.
115. “Problemática” HTTP-s Conexiones HTTP-s
Firewalls e IDS no pueden inspeccionar tráfico.
Ataques pasan sin ser detectados por firewalls:
SQL Injections.
Cross-Site Scripting (XSS)
Red Code.
Unicode.
116. “Problemática” HTTP-s Cifrado y autenticado es útil contra:
Sniffers.
Man In The Middle.
Pero hay que dejar que los sistemas de protección inspeccionen el contenido.
Firewalls.
IDS.
117. Bridging HTTP-s El proceso de Bridging en conexiones HTTP-s permite que las conexiones se cifren en dos tramos.
Entre cliente y Firewall.
Entre Firewall y Servidor.
118. Bridging HTTP-s Ventajas:
El Firewall puede inspeccionar el contenido.
Se pueden aplicar reglas mediante filtros.
Se pueden detectar ataques.
No se pierde seguridad.
Si se desea, se puede dejar descifrado para inspecciones NIDS.
119. Bridging HTTP-s MS ISA Server 2004 permite:
Tunneling HTTPS por cualquier puerto.
MS ISA Server 2000 hay que configurar puertos SSL.
Bridging HTTPS con:
Cifrado entre cliente-firewall y firewall servidor.
Cifrado entre cliente-firewall.
Cifrado entre firewall-Servidor.
120. DEMO�Bridging HTTPS
121. Addons
122. Addons ISA Server 2004 presenta una arquitectura abierta para:
Desarrollar (SDK ISA Server).
Implementar nuevas herramientas.
Software de terceros amplían las funcionalidades de ISA Server 2004.
123. Tipos de Addons Implementaciones de antivirus para ISA Server.
Gestión de tráfico web. Websense.
Gestión de tráfico y aplicación de cuotas.
Ampliación de los componentes Sockets.
Mejoras en sistemas de detección de intrusos.
125. Controles Ataques Winnuke.
Ataques tipo Land.
Ping de la muerte.
Ataques Half-Scan.
Bombas UDP.
Escaneo de puertos.
126. Detección de ataques DNS Desbordamiento de nombres de HOST sobre DNS.
Desbordamiento de longitud DNS.
Control de trasferencias de zona.
127. RECURSOS: Guía de la consolidación de Seguridad de ISA Server 2004.
http://www.microsoft.com/spain/technet/recursos/articulos/securityhardeningguide.mspx
128. IT Forum en Barcelona (15-17 Nov)�http://www.mseventseurope.com/msitforum/05/pre/content/default.aspx�� MÁS DE 260 SESIONES TÉCNICAS E INTERACTIVAS, incluyendo; Chalk-&-Talks y Panel Discussions para fomentar sus aptitudes técnicas.
Una selección de SEMINARIOS PRECONFERNCIA para acelerar su aprendizaje.
MÁS DE 65 HANDS-ON LABS (PRÁCTICAS CON ORDENADOR) para ponerse al día con las últimas novedades.
CONTENIDO NUEVO EN; Windows Server R2, SQL Server 2005, BizTalk Server 2006, Windows Vista y la siguiente versión de Microsoft Office así como Navision, Microsoft CRM y Great Plains.
LOS MEJORES CONFERENCIANTES de los Grupos de Producto de Microsoft y expertos internacionales de la industria.
PRESENTACIÓN DE KEYNOTE – Bob Muglia, Vicepresidente Senior, División de Windows Server.
PREGUNTE A LOS EXPERTOS que desafían problemas técnicos en un entorno renovado.
COMUNIDAD DEL IT FORUM DE MICROSOFT – Conecte con los profesionales que vienen a inspirarnos compartiendo sus ideas y conocimiento.
PABELLÓN DE EXHIBICIÓN donde más de 100 partners y patrocinadores mostrarán soluciones que le ayudarán con su trabajo.
INCREMENTE SU PRODUCTIVIDAD y respalde su negocio con nuevas oportunidades e ideas.
129. TechNet Flash Información técnica del producto
Los últimos Boletines de Seguridad y actualizaciones de Microsoft
Nuevos Service Packs y artículos Knowledge Base de Microsoft
Downloads, Pruebas y Betas
Convocatoria de Seminarios y Jornadas Técnicas TechNet
Información de los Foros TechNet
Próximos Videos Técnicos Online
Trucos, pistas
Suscríbete en http://www.microsoft.com/spain/technet
130. TechNews Suscripción gratuita enviando un mail:
mailto:technews@informatica64.com
131. Technet Webcasts Seminarios Online gratuitos en castellano
1 hora de duración
Tecnología LiveMeeting
En directo y también grabados
Organizados por temáticas
Directorio activo
Exchange
IIS 7
SQL 2005
Gestión de Actualizaciones de seguridad
Novedades para Windows Server 2003
Despliegue de sistemas y aplicaciones
Más información en:
http://www.microsoft.com/spain/technet/jornadas/webcasts/default.asp
132. ¿Preguntas? Chema Alonso
Microsoft MVP Windows Security
chema@informatica64.com
David Cervigón
Microsoft IT Evangelist
davidce@microsoft.com
http://blogs.technet.com/davidcervigon
Jose Parada
Microsoft IT Evangelist
jparada@microsoft.com
http://blogs.technet.com/padreparada
