Date post: | 03-Jan-2015 |
Category: |
Documents |
Upload: | andres-magdaleno |
View: | 2 times |
Download: | 0 times |
Microsoft ITMicrosoft ITSecuritySecurity
Gestión de la Seguridad dentro Gestión de la Seguridad dentro de la red corporativa de de la red corporativa de
MicrosoftMicrosoft
Necesidades de Seguridad en la Necesidades de Seguridad en la Infraestructura de la EmpresaInfraestructura de la Empresa
Chema AlonsoChema Alonso
Servicios en la EmpresaServicios en la Empresa
Active DirectoryActive Directory Servidores de AplicacionesServidores de Aplicaciones
CRM, ERP, B2C, B2B …CRM, ERP, B2C, B2B … Servidores WebServidores Web Servidores de Bases DatosServidores de Bases Datos Servidores de ComunicacionesServidores de Comunicaciones
Correo electrónico, charlasCorreo electrónico, charlas Servidores documentalesServidores documentales
Repositorios documentales ExchangeRepositorios documentales Exchange Aplicaciones de WorkFlowAplicaciones de WorkFlow
Retos de InfraestructuraRetos de Infraestructura
Mantenimiento y actualización de sistemas.Mantenimiento y actualización de sistemas. Soporte del máximo posible de clientes.Soporte del máximo posible de clientes. Soporte de clientes móviles.Soporte de clientes móviles. Accesos Remotos.Accesos Remotos. Flexibilidad del sistema.Flexibilidad del sistema. Alta disponibilidad de servicios.Alta disponibilidad de servicios. Máxima funcionalidad.Máxima funcionalidad. Seguridad.Seguridad.
Objetivos de SeguridadObjetivos de Seguridad
Confidencialidad.Confidencialidad. Interceptación.Interceptación. Accesos no autorizados.Accesos no autorizados. Suplantación.Suplantación.
Integridad.Integridad. Protección de sistema y elementos.Protección de sistema y elementos.
Disponibilidad.Disponibilidad. Denegaciones de ServicioDenegaciones de Servicio Defacement.Defacement.
Arquitectura de SeguridadArquitectura de Seguridad
Servidores Front-End Servidores Back-End
DMZ
Lan Privada
Clientes Externos
Wireless. 802.11b 802.1x
Maiboxes, AD, BBDDMail Front-end, Web,
Aplicativos Cliente
HIDSNIDS
Vpn Ras Servicios Públicos Wap …..
Retos de Infraestructura en Retos de Infraestructura en SeguridadSeguridad
Protección de servidores.Protección de servidores. Seguridad en los clientes remotos.Seguridad en los clientes remotos. Acceso Wireless en red privada.Acceso Wireless en red privada. Protección de transmisión de la información en Protección de transmisión de la información en
cualquier medio.cualquier medio. Control de la información fuera de los Control de la información fuera de los
repositorios documentales.repositorios documentales. Técnicas hacker.Técnicas hacker. Amenazas Viricas, Troyanos, Spam,…Amenazas Viricas, Troyanos, Spam,…
Ejemplo de ArquitecturaEjemplo de Arquitectura
¿Cuál es la solución que aplica ¿Cuál es la solución que aplica Microsoft?Microsoft?
AgendaAgenda
Microsoft y su entornoMicrosoft y su entorno Informática de ConfianzaInformática de ConfianzaModelo de Respuesta a IncidentesModelo de Respuesta a IncidentesAcceso Remoto (RAS) & Smart CardAcceso Remoto (RAS) & Smart CardSeguridad en la red Wireless de MSSeguridad en la red Wireless de MSSeguridad en Exchange y OutlookSeguridad en Exchange y Outlook
Misión de OTGMisión de OTG
Poner a disposición de de nuestros Poner a disposición de de nuestros usuarios internos, clientes y partners de usuarios internos, clientes y partners de forma proactiva la infraestructura de IT y forma proactiva la infraestructura de IT y aplicaciones, que les permitan trabajar en aplicaciones, que les permitan trabajar en cualquier momento y en cualquier lugar cualquier momento y en cualquier lugar excediendo sus expectativasexcediendo sus expectativasRick Devenuti. CIO & VPRick Devenuti. CIO & VP
Sydney
Chofu & Otemachi
Les UlisTVP
DublinBenelux
Madrid
Dubai
Singapore
Johannesburg
Sao Paulo
72,000 mailboxes72,000 mailboxes
El Entorno de MicrosoftEl Entorno de Microsoft
Redmond
Los ColinasCharlotte
ChicagoMilan
Stockholm
Munich
400+ 400+ supported supported Microsoft Microsoft sites sites worldwideworldwide
4.5M+ e-mail messages 4.5M+ e-mail messages per day internallyper day internally8m 8m Internet Internet
>400 apps>400 apps 26M voice calls per month26M voice calls per month 55K employees55K employees 5K contractors5K contractors 17K vendors17K vendors
150,000+ PCs150,000+ PCs >9,000 servers>9,000 servers
110 Microsoft 110 Microsoft Exchange Exchange Messaging Messaging ServersServers
Silicon Valley
La Situación actual de MSLa Situación actual de MS SituaciónSituación
Microsoft es uno de los objetivos preferidos Microsoft es uno de los objetivos preferidos 100k+ intentos de ataques por mes100k+ intentos de ataques por mes 125k+ mensajes en cuarentena por mes125k+ mensajes en cuarentena por mes 225k dispositivos conectados a la red225k dispositivos conectados a la red 300k conexiones vía RAS conexiones por semana300k conexiones vía RAS conexiones por semana
RetosRetos La Cultura interna de MSLa Cultura interna de MS Comprobaciones internas de aplicacionesComprobaciones internas de aplicaciones Liderazgo TecnológicoLiderazgo Tecnológico
AgendaAgenda
Microsoft y su entornoMicrosoft y su entorno Informática de ConfianzaInformática de ConfianzaModelo de Respuesta a IncidentesModelo de Respuesta a IncidentesAcceso Remoto (RAS) & Smart CardAcceso Remoto (RAS) & Smart CardSeguridad en la red Wireless de MSSeguridad en la red Wireless de MSSeguridad en Exchange y OutlookSeguridad en Exchange y Outlook
UnauthorizedAccess
El Entorno y sus PeligrosEl Entorno y sus Peligros
InternetInternet
CDCs, RDCsTail Sites
InternetData CentersCorpNet
PSS EVN3rd Party
Connections
ExtraneExtranett
E-mail gateways
Proxies
Home LANs
PPTP/RAS Servers
Direct Taps
Remote Users
Intrusions
Denial ofService
IntellectualProperty Theft
Virus
Phreaking
Malicious Code
Criminal /CI Use ofOnline Services
LabsLabs
Objetivo del GrupoObjetivo del Grupo “Information Security” “Information Security”
Un entorno de TI compuesto por servicios, Un entorno de TI compuesto por servicios, aplicaciones e infraestructura que a la aplicaciones e infraestructura que a la vez da privacidad y seguridad sin dejar vez da privacidad y seguridad sin dejar
de tener una alta disponibilidadde tener una alta disponibilidadRequisitos:Requisitos: No se puede comprometer mi identidadNo se puede comprometer mi identidad Los recursos son seguros y están disponiblesLos recursos son seguros y están disponibles Mis datos y comunicaciones son privadasMis datos y comunicaciones son privadas Roles y Responsabilidades claramente definidosRoles y Responsabilidades claramente definidos Responder a tiempo a las amenazas y/o riesgosResponder a tiempo a las amenazas y/o riesgos
Informática de Confianza.Informática de Confianza.Trustworthy ComputingTrustworthy Computing
Mitigate risk to the infrastructure through implementation Mitigate risk to the infrastructure through implementation of four key strategiesof four key strategies
Mitigate risk to the infrastructure through implementation Mitigate risk to the infrastructure through implementation of four key strategiesof four key strategies
1.1. Secure Securethe Network the Network PerimeterPerimeter
Secure Wireless Secure Wireless Smart Cards for RASSmart Cards for RAS Secure Remote User Secure Remote User Next Generation AVNext Generation AV Messaging FirewallMessaging Firewall Direct ConnectionsDirect Connections IDC Network CleanupIDC Network Cleanup
2.2. Secure Securethe Networkthe NetworkInteriorInterior
Eliminate Weak Eliminate Weak PasswordsPasswords
Acct SegregationAcct Segregation Patch ManagementPatch Management NT4 Domain MigrationNT4 Domain Migration Network SegmentationNetwork Segmentation Smart Cards for Admin Smart Cards for Admin
AccessAccess Regional Security Regional Security
AssessmentAssessment
3.3. Secure SecureKey AssetsKey Assets
Automate Vulnerability Automate Vulnerability ScansScans
Secure Source Code Secure Source Code AssetsAssets
Lab Security AuditLab Security Audit
4.4. Enhance Enhance Monitoring Monitoring and Auditingand Auditing
Network Intrusion Network Intrusion DetectionDetection
Automate Security Automate Security Event AnalysisEvent Analysis
Use MOM for Server Use MOM for Server Integrity CheckingIntegrity Checking
Primer nivel de seguridad: Primer nivel de seguridad: Asegurar el perímetro de la redAsegurar el perímetro de la red
Utilizar redes Wireless segurasUtilizar redes Wireless seguras Utilizar un sistema de detección de Utilizar un sistema de detección de
intrusiones/ataques en la red efectivointrusiones/ataques en la red efectivo Asegurar las conexiones remotas de los Asegurar las conexiones remotas de los
usuariosusuarios Obstaculizar la entrada de Virus en el Obstaculizar la entrada de Virus en el
perímetro externo de la redperímetro externo de la red
Segundo nivel de seguridad: Segundo nivel de seguridad: Asegurando el interior de la redAsegurando el interior de la red
Controlar las aplicaciones y programas Controlar las aplicaciones y programas disponibles para los usuariosdisponibles para los usuarios
Eliminar contraseñas débilesEliminar contraseñas débiles Eliminar las cuentas de administración Eliminar las cuentas de administración
compartidascompartidas Utilizar controladores de dominio segurosUtilizar controladores de dominio seguros Hacer obligatorio el uso de software de Hacer obligatorio el uso de software de
Antivirus y actualizaciones de seguridad.Antivirus y actualizaciones de seguridad.
Asegurando el Interior de la red. Asegurando el Interior de la red. Segmentación de la redSegmentación de la red
Eliminar o reducir el riesgo:Eliminar o reducir el riesgo: Parque de ordenadores gestionado por OTGParque de ordenadores gestionado por OTG Segmentar los entornos controlados e Segmentar los entornos controlados e
incontroladosincontrolados Restringir los niveles de acceso a la redRestringir los niveles de acceso a la red
Enfoque de la segmentación de la red:Enfoque de la segmentación de la red: Evitar que los sistemas incontrolados se Evitar que los sistemas incontrolados se
conecten a los sistemas controladosconecten a los sistemas controlados Utilizar IPsec para soportar los requisitos de Utilizar IPsec para soportar los requisitos de
seguridadseguridad
Tercer Nivel de Seguridad: Tercer Nivel de Seguridad: Asegurar los activos críticosAsegurar los activos críticos
Aplicaciones Corporativas:Aplicaciones Corporativas: Gran número de aplicaciones desarrolladas Gran número de aplicaciones desarrolladas
internamente. +400internamente. +400 Asegurar estas aplicaciones y su información es Asegurar estas aplicaciones y su información es
complejocomplejo Las aplicaciones corporativas se ejecutan en un Las aplicaciones corporativas se ejecutan en un
entorno complejo (operativo y legal)entorno complejo (operativo y legal)
Código de Producto e información ConfidencialCódigo de Producto e información Confidencial
Cuarto Nivel de Seguridad:Cuarto Nivel de Seguridad:Monitorización y AuditoriasMonitorización y Auditorias
Responsabilidades del grupo de Responsabilidades del grupo de MonitorizaciónMonitorización
Uso de herramientas de monitorización Uso de herramientas de monitorización para aumentar la seguridad.para aumentar la seguridad. Uso de herramientas públicas:Uso de herramientas públicas:
Microsoft Baseline Security Analyzer (MBSA) Microsoft Baseline Security Analyzer (MBSA) and HFNetChkand HFNetChk
Monitorización distribuidaMonitorización distribuida Desarrollo de utilidades propias para Desarrollo de utilidades propias para
identificar y corregir problemasidentificar y corregir problemas
AgendaAgenda
Microsoft y su entornoMicrosoft y su entorno Informática de ConfianzaInformática de ConfianzaModelo de Respuesta a IncidentesModelo de Respuesta a IncidentesAcceso Remoto (RAS) & Smart CardAcceso Remoto (RAS) & Smart CardSeguridad en la red Wireless de MSSeguridad en la red Wireless de MSSeguridad en Exchange y OutlookSeguridad en Exchange y Outlook
Gestión de incidentes GravesGestión de incidentes Graves
Problemas típicos:Problemas típicos: Todos los grupos que participan en la Todos los grupos que participan en la
resolución del incidente operan de manera resolución del incidente operan de manera independiente. independiente.
La respuesta es básicamente táctica y no hay La respuesta es básicamente táctica y no hay una estrategia coordinadauna estrategia coordinada
Las respuestas no son consistentes. Estas Las respuestas no son consistentes. Estas pueden ser distintas en función de los grupos pueden ser distintas en función de los grupos que participan.que participan.
Se obvian interdependencias entre grupos Se obvian interdependencias entre grupos clave (PR, comunicaciones internas, etc)clave (PR, comunicaciones internas, etc)
Metodología de Seguridad de OTGMetodología de Seguridad de OTG
PeoplePeople
ProcessProcess
TechnologyTechnology
Dedicated staffDedicated staff TrainingTraining Security—a mindset and a prioritySecurity—a mindset and a priority Employee educationEmployee education
Planning for securityPlanning for security PreventionPrevention DetectionDetection ReactionReaction
Baseline technologyBaseline technology Standards, encryption, protectionStandards, encryption, protection Product security featuresProduct security features Security tools and productsSecurity tools and products
Prevención de incidentesPrevención de incidentes
MonitorizarMonitorizar Auditorias de los sistemasAuditorias de los sistemas Detección de intrusionesDetección de intrusiones Establecer una defensa sólidaEstablecer una defensa sólida Asegurando a los clientes de acceso Asegurando a los clientes de acceso
remotoremoto
Mantenimiento de Seguridad Mantenimiento de Seguridad en Servidores en Servidores
Chema AlonsoChema Alonso
Expedientes de SeguridadExpedientes de Seguridad
Expedientes de seguridad de sw Expedientes de seguridad de sw comercial.comercial. Bug, Exploit, patch, fixBug, Exploit, patch, fix
Expedientes de seguridad de sw própioExpedientes de seguridad de sw própio Necesidad de aplicación de Necesidad de aplicación de
procedimientos internos. procedimientos internos. Desbordamientos de Buffer.Desbordamientos de Buffer. Cross-Site ScriptingCross-Site Scripting Inyecciones de código.Inyecciones de código.
Source: Source: CompanyCompany web sitesweb sites
00
2020
4040
6060
8080
100100
120120
9 12
23 24
3745
91 94
160
Windows Windows 20032003
OpenBSDOpenBSD Windows Windows XPXP
Windows Windows 20002000
SuSESuSE SUNSUN MandrakeMandrake RedHatRedHat DebianDebian
Problema de la Industria ITProblema de la Industria ITVulnerabilidades en Sistemas Operativos - 2003Vulnerabilidades en Sistemas Operativos - 2003
Source: Company web sitesSource: Company web sites
TrustixTrustix1.51.5
DebianDebianWindows XPWindows XP SunSun(OS)(OS)
Mandrake Mandrake 8.x8.x
00
2020
4040
6060
8080
100100
120120
RedHatRedHat7.27.2
WindowsWindows20002000
EnGardeEnGarde
34 3437
51
67
86 86 87
124
SuSESuSE
Problema de la Industria ITProblema de la Industria ITVulnerabilidades en Sistemas Operativos - 2002Vulnerabilidades en Sistemas Operativos - 2002
TTimpactoimpacto
TTriesgoriesgo
185
502
58
208
336
53
11
336
31 27
SlammerSlammer BugBearBugBear SlapperSlapper RamenRamen KlezKlez ScalperScalper NimdaNimda CodeRedCodeRed BlasterBlasterLionLion
Win32Win32
Linux/UnixLinux/Unix
Nombre Nombre del Virusdel Virus
Número de dias transcurridos entre la publicación del update de seguridad y el impacto del virus
Actualizaciones CríticasActualizaciones Críticas
Boletines de Boletines de SeguridadSeguridad
Windows Windows UpdateUpdate
SUSU SMS 2003SMS 2003
Plan de respuesta a los incidentesPlan de respuesta a los incidentes
Trigger PhaseTrigger Phase
SecuritySecurityScan/AuditScan/Audit
Response PhaseResponse Phase
On
go
ing
ev
alu
atio
nO
ng
oin
g e
va
lua
tion
an
d re
sp
on
se
rev
isio
ns
an
d re
sp
on
se
rev
isio
ns
ResponseResponseTeamTeam
AssembledAssembled
OperationsOperations
ExternalExternalWeb SiteWeb Site
InternalInternalWeb SiteWeb Site
UserUser
SupportSupport
Information Information on incident on incident
receivedreceived
Decision to Decision to begin Incident begin Incident Response PlanResponse Plan
Evaluate Evaluate SituationSituation
Establish First Establish First Course of Course of
ActionAction
Isolate and Isolate and ContainContain
Analyze and Analyze and RespondRespond
Alert Others Alert Others as Requiredas Required
Begin Begin RemediationRemediation
De-escalation:De-escalation:Return to Normal Return to Normal
OperationsOperations
Post-IncidentPost-IncidentReviewReview
Revise/Improve Revise/Improve Response Response ProcessProcess
Quick guide to determining Quick guide to determining the significance of incidentthe significance of incident
Severity of the eventSeverity of the event
Overall business impactOverall business impact
Criticality of Criticality of vulnerable/attacked assetsvulnerable/attacked assets
Public availability of informationPublic availability of information
Scope of exposureScope of exposure
Public relations impactsPublic relations impacts
Extent of use of groups outside Extent of use of groups outside of securityof security
AgendaAgenda
Microsoft y su entornoMicrosoft y su entorno Informática de ConfianzaInformática de ConfianzaModelo de Respuesta a IncidentesModelo de Respuesta a IncidentesAcceso Remoto (RAS) & Smart CardAcceso Remoto (RAS) & Smart CardSeguridad en la red Wireless de MSSeguridad en la red Wireless de MSSeguridad en Exchange y OutlookSeguridad en Exchange y Outlook
Servicio de Acceso Remoto (RAS)Servicio de Acceso Remoto (RAS)
Las soluciones de MS incluyen:Las soluciones de MS incluyen: Direct Dial RASDirect Dial RAS PPTP VPNPPTP VPN
Más de 175 puntos de acceso remoto en todo Más de 175 puntos de acceso remoto en todo el mundoel mundo
Utilizado por más de 70,000 empleadosUtilizado por más de 70,000 empleados Más de 300,000 conexiones cada semanaMás de 300,000 conexiones cada semana
Acceso a los sistemas de correo corporativo, Acceso a los sistemas de correo corporativo, intranet, internet y servidores de datosintranet, internet y servidores de datos
Asegurando el Perímetro de la red. Asegurando el Perímetro de la red. Estrategia para el Acceso RemotoEstrategia para el Acceso Remoto
MaliciousMaliciousUsersUsers
MaliciousMaliciousSoftwareSoftware
ThreatThreat
2 Factor2 FactorAuthenticationAuthentication
Enforce Remote Enforce Remote System SecuritySystem Security
ConfigurationConfigurationRequirementRequirement
Smart CardsSmart Cardsfor RASfor RAS
Connection ManagerConnection Manager and and
RAS Quarantine RAS QuarantineSolutionSolution
RAS - RequisitosRAS - Requisitos
Para conectarse a la red corporativa un Para conectarse a la red corporativa un usuario tiene que tener:usuario tiene que tener:
Una tarjeta Smartcard Una tarjeta Smartcard Windows XP Windows XP Personal firewall ActivadoPersonal firewall Activado Última versión de antivirus (Última versión de antivirus (eTrust)eTrust) Últimas actualizaciones de seguridadÚltimas actualizaciones de seguridad El software “Connection Manager”El software “Connection Manager”
Componentes de la solución SMART CARDComponentes de la solución SMART CARD
Smart CardSmart Card RFID BadgeRFID Badge 32k chip32k chip Windows for Smart cardsWindows for Smart cards
HardwareHardware PC PC Smart card readerSmart card reader
Client SoftwareClient Software Cryptographic Service Cryptographic Service
Provider (CSP)Provider (CSP) WindowsWindows
Resource ManagerResource ManagerReader driversReader drivers
Connection ManagerConnection Manager
Server SoftwareServer Software Windows Active DirectoryWindows Active Directory Windows Certificate ServerWindows Certificate Server Card management toolsCard management tools RAS Quarantine ServiceRAS Quarantine Service
Secure Remote AccessSecure Remote Access
1 Card inserted
2 User inputs PIN
5 RAS sends certificate in a EAP/TLS request to the IAS Server
7 IAS returns Radius Access Accept
6 IAS verifies certificate then looks up principal in DS
ReaderReaderReaderReader
SC
3 RAS client accesses smart card and retrieves cert from card
RAS ClientRAS Client IASIASVPNVPNServerServer
4 Connect to VPN server and pass config checks
AgendaAgenda
Microsoft y su entornoMicrosoft y su entorno Informática de ConfianzaInformática de ConfianzaModelo de Respuesta a IncidentesModelo de Respuesta a IncidentesAcceso Remoto (RAS) & Smart CardAcceso Remoto (RAS) & Smart CardSeguridad en la red Wireless de MSSeguridad en la red Wireless de MSSeguridad en Exchange y OutlookSeguridad en Exchange y Outlook
Microsoft IT WLANMicrosoft IT WLAN
Dirección de la compañía. Bill GatesDirección de la compañía. Bill Gates Desarrollo de software de Microsoft para entornos wirelessDesarrollo de software de Microsoft para entornos wireless Peticiones de los usuarios para la implantación de la Peticiones de los usuarios para la implantación de la
tecnología WLANtecnología WLAN Dar mayor mobilidad al usuarioDar mayor mobilidad al usuario PilotoPiloto
Puget Sound. Campus de RedmondPuget Sound. Campus de Redmond Extenderlo al resto de las subsidiarias de MS según Extenderlo al resto de las subsidiarias de MS según
viabilidad:viabilidad: CostesCostes Requisitos / Regulaciones legalesRequisitos / Regulaciones legales
Resultados de la encuesta:Resultados de la encuesta:
50% ahorraban entre 30-90 minutos diarios de trabajo 50% ahorraban entre 30-90 minutos diarios de trabajo gracias a la red wirelessgracias a la red wireless
10% usaban adicionalmente dispositivos Windows CE 10% usaban adicionalmente dispositivos Windows CE wirelesswireless
24% usaban la red wireless más de 6 horas diarias24% usaban la red wireless más de 6 horas diarias 93% usaban la red wireless “en cualquier sitio”93% usaban la red wireless “en cualquier sitio”
Salas de Reuniones, pasillos, despachos de otros empleadosSalas de Reuniones, pasillos, despachos de otros empleados
88% estaban interesados en comprar dispositivos Wireless 88% estaban interesados en comprar dispositivos Wireless para sus hogares.para sus hogares.
66% pensaban que podían desempeñar su trabajo 66% pensaban que podían desempeñar su trabajo perfectamente con la red wirelessperfectamente con la red wireless
802.11b. Problemática802.11b. Problemática WEPWEP
Clave única necesaria para toda la compañíaClave única necesaria para toda la compañía WLAN 802.11b es sólo 40-bitWLAN 802.11b es sólo 40-bit Las claves WEP no cambian dinámicamente y por lo tanto son Las claves WEP no cambian dinámicamente y por lo tanto son
vulnerables a los ataquesvulnerables a los ataques Una clave WEP de 128-bit puede ser decodificada en unas 2 horas. Una clave WEP de 128-bit puede ser decodificada en unas 2 horas.
Una de 40-bit en 40 minutosUna de 40-bit en 40 minutos Complicado de administrar.Complicado de administrar.
Filtrado por direcciones MAC (Media Access Control)Filtrado por direcciones MAC (Media Access Control) No es escalableNo es escalable
listas de excepción tienen que ser administradas y propagadas por los listas de excepción tienen que ser administradas y propagadas por los APs.APs.
La lista puede tener un límite de tamañoLa lista puede tener un límite de tamaño La dirección MAC tiene que estar asociada al nombre de usuarioLa dirección MAC tiene que estar asociada al nombre de usuario El usuario podría no informar en caso de pérdida de la tarjetaEl usuario podría no informar en caso de pérdida de la tarjeta El usuario podría cambiar su dirección MACEl usuario podría cambiar su dirección MAC
802.1X La Solución802.1X La Solución El AP controla el acceso a la red del cliente basándose en El AP controla el acceso a la red del cliente basándose en
la autentificación de la cuenta de dominio del usuario y/o la la autentificación de la cuenta de dominio del usuario y/o la cuenta de su máquinacuenta de su máquina
Se asegura el proceso de autentificación utilizando la Se asegura el proceso de autentificación utilizando la tecnología PKI (Public Key Infrastructure) disponible en tecnología PKI (Public Key Infrastructure) disponible en Windows XPWindows XP Extensible authentication protocol over LAN (EAPoL)Extensible authentication protocol over LAN (EAPoL) Transport Layer Security (TLS)Transport Layer Security (TLS)
El usuario y el ordenador negocian la autentificación con el El usuario y el ordenador negocian la autentificación con el Internet Authentication Server (IAS). Internet Authentication Server (IAS). IAS es la implementación que ha hecho Microsoft del estándar de IAS es la implementación que ha hecho Microsoft del estándar de
RADIUSRADIUS Las claves WEP son dinámicasLas claves WEP son dinámicas
Cambian en cada nueva sesión, al hacer roaming o a intervalos de Cambian en cada nueva sesión, al hacer roaming o a intervalos de tiempotiempo
802.1X802.1XAccess PointAccess Point
Domain UserDomain UserCertificateCertificate
LaptopLaptop
Con
trol
led
Port
Con
trol
led
Port
Unc
ontr
olle
d
Unc
ontr
olle
d Po
rtPo
rt
RADIUSRADIUS(IAS)(IAS)
DomainDomainControllerController
CertificateCertificateAuthorityAuthority
DHCPDHCP
ExchangeExchange
FileFilePeersPeers
Domain Domain ControllerControllerused to log onto used to log onto domain after domain after obtaining an IP obtaining an IP address from address from DHCPDHCP
EAP/TLS EAP/TLS ConnectionConnection
Secure WirelessSecure Wireless
Configuración de una red Configuración de una red Wireless SeguraWireless Segura
Chema AlonsoChema Alonso
Configuración de una red Configuración de una red Wireless SeguraWireless Segura
Adoptar 802.1xAdoptar 802.1x Utilizar Internet Authentication Service Utilizar Internet Authentication Service
(IAS) para Remote Authentication Dial-(IAS) para Remote Authentication Dial-In User Service (RADIUS) para In User Service (RADIUS) para autenticación de cuentas.autenticación de cuentas.
Elegir un método de autenticación EAP:Elegir un método de autenticación EAP: EAP-Transport Level Security (EAP-TLS)EAP-Transport Level Security (EAP-TLS) Protected EAP with MS-CHAPv2 (PEAP-MS-CHAPv2)Protected EAP with MS-CHAPv2 (PEAP-MS-CHAPv2) Protected EAP with EAP-TLS (PEAP-EAP-TLS)Protected EAP with EAP-TLS (PEAP-EAP-TLS)
Configurar una WLAN SeguraConfigurar una WLAN Segura
Configurar el WAPConfigurar el WAP
Configurar una WLAN SeguraConfigurar una WLAN Segura
Configurar un grupo Configurar un grupo para Wireless y para Wireless y configurarlo para configurarlo para administrarlo administrarlo mediante una mediante una Política de Acceso Política de Acceso Remoto.Remoto.
Configurar una WLAN SeguraConfigurar una WLAN Segura
Instalar una Root Certificate AuthorityInstalar una Root Certificate Authority Instalar Certificados de Servidor en Instalar Certificados de Servidor en
Servidor IASServidor IAS Instalar certificados de usuarios en Instalar certificados de usuarios en
clientes cuando utilicemos EAP-TLSclientes cuando utilicemos EAP-TLS
Configurar una WLAN SeguraConfigurar una WLAN SeguraConfigurar IAS
Configurar una WLAN SeguraConfigurar una WLAN Segura
Configurar una política Configurar una política de Acceso Remotode Acceso Remoto
Configurar una WLAN SeguraConfigurar una WLAN Segura
Configuramos unConfiguramos un
Pérfil para la Política de Pérfil para la Política de Acceso remotoAcceso remoto
Configurar una WLAN SeguraConfigurar una WLAN SeguraConfigurar los clientesConfigurar los clientes
Configurar una WLAN SeguraConfigurar una WLAN Segura
Configurar una WLAN SeguraConfigurar una WLAN Segura
Configurar una WLAN SeguraConfigurar una WLAN SeguraConfigurar la poíitica para Clientes WirelessConfigurar la poíitica para Clientes Wireless
AgendaAgenda
Microsoft y su entornoMicrosoft y su entorno Informática de ConfianzaInformática de ConfianzaModelo de Respuesta a IncidentesModelo de Respuesta a IncidentesAcceso Remoto (RAS) & Smart CardAcceso Remoto (RAS) & Smart CardSeguridad en la red Wireless de MSSeguridad en la red Wireless de MSSeguridad en Exchange y OutlookSeguridad en Exchange y Outlook
Infraestructura de ExchangeInfraestructura de Exchange 6 inbound/outbound IMCs & Virus Walls 5 regional outbound IMCs & Virus Walls
REDMOND
DUBLINClient
IMCs,Virus Walls
Regional IMCs,Virus Walls
MUNICH
LES ULIS
OTEMACHI
SINGAPORE
INTERNET
INBOUND &OUTBOUND
OUTBOUND
Solución Antivirus para ExchangeSolución Antivirus para Exchange
Requisitos del diseño:Todos los mensajes entrantes tienen que ser
“monitorizados” Todos los mensajes salientes tienen que ser
“monitorizados” Los ejecutables son eliminados y se notifica
al usuario de esta acciónMensajes a usuarios no existentes son
devueltos antes de ser revisados
Requisitos de Seguridad para el Requisitos de Seguridad para el correo electrónicocorreo electrónico
OTG soporta la versión actual de Outlook y la OTG soporta la versión actual de Outlook y la versión anteriorversión anterior El usuario es obligado mediante la configuración El usuario es obligado mediante la configuración
del servidor de Exchangedel servidor de Exchange Ver. Actual: Outlook 11 (2003)Ver. Actual: Outlook 11 (2003) Anterior: Outlook 2002Anterior: Outlook 2002
Se obliga a los usuarios mediante políticas Se obliga a los usuarios mediante políticas de grupo en el directorio activode grupo en el directorio activo
Reglas en el buzón de entrada de OutlookReglas en el buzón de entrada de Outlook
Posibilidades AdicionalesPosibilidades Adicionales
S/MIMES/MIME Firmas DigitalesFirmas Digitales Codificación de MensajesCodificación de Mensajes
Windows Rights Management Services Windows Rights Management Services (RMS) y Information Rights (RMS) y Information Rights Management (IRM)Management (IRM)
Gestión del SPAMGestión del SPAM Desde Septiembre del 2001: Desde Septiembre del 2001:
Incremento del 258%Incremento del 258% Incremento del correo 86% Incremento del correo 86%
Objetivo de MS: Boquear 100% de los Objetivo de MS: Boquear 100% de los mensajes identificados como SPAM en los mensajes identificados como SPAM en los internet mail Gateways.internet mail Gateways.
Emails con publicidad a la atención directa Emails con publicidad a la atención directa del usuario puede no ser identificado como del usuario puede no ser identificado como Spam y es por lo tanto enviado al buzón de Spam y es por lo tanto enviado al buzón de destino.destino.
Protección Servicios Protección Servicios Exchange Server 2003Exchange Server 2003
Chema AlonsoChema Alonso
Suplantación
Interceptación
Virus
Spam
Riesgos Riesgos
Intrusismo Exchange Server
2003
¿ Puedo controlar el uso de la información ?
Trustworthy Computing Iniciative
Filtro de Remitente
Filtro de Destinatario
Filtro de Conexión
Filtros de Junk e-mail
Seguridad de Relay
Firma digital en Outlook
Encriptación en Outlook
Bloqueo libreta direcciones
Bloqueo e-mail automático
RPC/HTTPS
Firma digital en OWA
Encriptación en OWA
Listas Autenticadas
VS API 2.5
ISA Exchange Features
Information Rights Management
Soluciones Exchange 2003Soluciones Exchange 2003
Filtros de ConexiónFiltros de Conexión
Exchange Server 2003 comprueba en Exchange Server 2003 comprueba en tiempo real si un servidor que está tiempo real si un servidor que está enviando correo está almacenado en una enviando correo está almacenado en una base de datos de servidores nocivos.base de datos de servidores nocivos.
Soluciones Exchange 2003Soluciones Exchange 2003
Implantación de filtros de conexiónImplantación de filtros de conexión Implantamos en un servidor DNS una zona de Implantamos en un servidor DNS una zona de
consulta para almacenar los servidores consulta para almacenar los servidores bloqueados. Ej. [ bloqueados.midominio.com ]bloqueados. Ej. [ bloqueados.midominio.com ]
Añadimos registros del tipoAñadimos registros del tipo
Configuramos un filtro para que se consulte la Configuramos un filtro para que se consulte la zona anterior cada vez que se recibe una zona anterior cada vez que se recibe una conexión de servidor.conexión de servidor.
13.12.11.10 Host 127.0.0.1
Se recibe una conexión desde un servidor de correo
El servidor DNS contesta si existe o no ese registro.
Se deniega la conexión
El servidor FrontEnd consulta la zona DNS de bloqueo.
Filtro de ConexiónFiltro de ConexiónSe envian los mensajes al servidor de BackEnd
Servidor BackEnd
Servidor FrontEnd
Servidor DNS
Gestión de Derechos digitales (RMS)Gestión de Derechos digitales (RMS)
Control de flujo de informaciónControl de flujo de información
¿Puedo controlar el uso de la información ¿Puedo controlar el uso de la información independientemente de su ubicación? independientemente de su ubicación?
¿Podría controlar los derechos digitales de ¿Podría controlar los derechos digitales de mis documentos?mis documentos?
““El 32% de los peores incidentes de seguridad son El 32% de los peores incidentes de seguridad son causados por empleados; 48% en grandes compañías!”causados por empleados; 48% en grandes compañías!” - Information Security Breaches Survey 2002, PWC- Information Security Breaches Survey 2002, PWC
““El robo de información confidencial provoca los El robo de información confidencial provoca los mayores daños financieros de todos los problemas de mayores daños financieros de todos los problemas de seguridad.” seguridad.” – CSI/FBI Computer Crime and Security Survey, 2001– CSI/FBI Computer Crime and Security Survey, 2001
Perímetros de Seguridad, ACLs, PKIs, son tecnologías Perímetros de Seguridad, ACLs, PKIs, son tecnologías imprescindibles pero no resuelven totalmente este imprescindibles pero no resuelven totalmente este problemaproblema
Gestión de Derechos digitales (RMS)Gestión de Derechos digitales (RMS)
Gestión de Derechos digitales (RMS)Gestión de Derechos digitales (RMS)
RMSRMS Gestiona el flujo de la información.Gestiona el flujo de la información. Controla, en sistemas de mensajería, el Controla, en sistemas de mensajería, el
uso que se realiza de la información.uso que se realiza de la información. Gestiona la utilización de los documentos.Gestiona la utilización de los documentos. Añade Privaciad al entorno colaborativo.Añade Privaciad al entorno colaborativo.
ConclusionesConclusiones Prevenir es menos costoso que reaccionar Prevenir es menos costoso que reaccionar
ante los incidentes. ante los incidentes. Es interesante desarrollar en las empresas Es interesante desarrollar en las empresas
un sistema de auditorias, monitorización de un sistema de auditorias, monitorización de los sistemas, y procedimientos de actuación los sistemas, y procedimientos de actuación a la vez que educamos a los usuarios sobre a la vez que educamos a los usuarios sobre como hacer que sus sistemas sean seguros.como hacer que sus sistemas sean seguros.
El impacto a la infraestructura se reduce si El impacto a la infraestructura se reduce si tenemos un plan de respuesta a incidentes tenemos un plan de respuesta a incidentes bien construido, detallado y flexible.bien construido, detallado y flexible.
Más InformaciónMás Información
Más información sobre las Más información sobre las implementaciones internas de OTG en: implementaciones internas de OTG en: http://http://www.microsoft.comwww.microsoft.com
TechNet: TechNet: http://http://www.microsoft.comwww.microsoft.com//technettechnet//showcaseshowcase
Case Study Resources:Case Study Resources:http://www.microsoft.com/resources/casestudieshttp://www.microsoft.com/resources/casestudies
Microsoft ITMicrosoft ITSecuritySecurity