Gira Seguridad 2005Microsoft TechNet

Con la participación de:

y

José Parada GimenoEvangelista Microsoft TechNet

Chema AlonsoMVP Windows Server Security

Agenda I

• Introducción

• Técnicas Hacker de envenenamiento en redes de datos • Spoofing ARP • DNS Hijacking • Phising • Mail Spoofing

• Contramedidas Hacking I. Protección de servidores. • Cifrado y autenticado de conexiones. IpSec • Hardering de Servidores.

Agenda II

• Contramedidas Hacking II. Protección de Servicios de correo. • Conexiones seguras con RPC/HTTPS

• VPN’s • Evolución de las VPNs • VPNs Seguras con MPLS • Hosting de Aplicaciones en VPNs con MPLS • Soluciones con ISA Server 2004 sobre las VPNs de ONO.

• Tecnicas Hacker de Spamming. • Técnicas Eurísticas, Bayesianas y Finger Printing • Contramedidas Spaming

Introducción

Motivos ImpactoAnálisis de IncidentesAnálisis de Vulnerabilidades

¿Que es Seguridad?

• Seguridad, es un termino relativo y no absoluto• ¿Que es lo que esta seguro?• ¿Contra quien se esta seguro?• ¿Contra que se esta seguro?• ¿Hasta cuando se esta seguro?• ¿Que intensidad de ataque se puede resistir?

• Por lo tanto sin un contexto el termino Seguridad no tiene sentido

¿Porque Atacan?

Motivos Personales• Desquitarse• Fundamentos políticos o terrorismo• Gastar una broma• Lucirse y presumir

Motivos Financieros• Robar información• Chantaje• Fraudes Financieros

Hacer Daño• Alterar, dañar or borrar información• Deneger servicio• Dañar la imagen pública

Motivos

• La tecnología tiene fallos.• Es muy fácil hacerlo.• No hay conciencia clara del delito

Porque MOLA!!

0

20000

40000

60000

80000

100000

120000

140000

160000

Incidentes Reportados al CERT

Data Source: CERT ( http://www.cert.org)

Vulnerabilidades por Años

0

500

1000

1500

2000

2500

3000

3500

4000

4500

1995 1996 1997 1998 1999* 2000 2001 2002 2003

Data Source: CERT ( http://www.cert.org)

Source: Company web sitesSource: Company web sites

TrustixTrustix1.51.5

DebianDebianWindows XPWindows XP SunSun(OS)(OS)

Mandrake Mandrake 8.x8.x

00

2020

4040

6060

8080

100100

120120

RedHatRedHat7.27.2

WindowsWindows20002000

EnGardeEnGarde

34 34 37

51

67

86 86 87

124

SuSESuSE

Problema de la Industria ITVulnerabilidades en Sistemas Operativos - 2002

Source: Company web sitesSource: Company web sites

00

2020

4040

6060

8080

100100

120120

9 12

23 24

3745

91 94

160

Windows Windows 20032003

OpenBSDOpenBSD Windows Windows XPXP

Windows Windows 20002000

SuSESuSE SUNSUN MandrakeMandrake RedHatRedHat DebianDebian

Problema de la Industria ITVulnerabilidades en Sistemas Operativos - 2003

Fuentes

• Debian: http://www.nl.debian.org/security• Mandrake: http://www.mandrakesoft.com/security/advisories• Microsoft: http://www.microsoft.com/technet/security/current.aspx• Open BSD: http://www.openbsd.org/errata35.html• Sun: http://sunsolve.sun.com/pub-cgi/show.pl?target=security/sec• Suse: http://www.novell.com/linux/security/advisories.html• RedHat: http://www.redhat.com/security/updates/

Vulnerabilidades

http://www.securityfocus.com/bid

Problema de la Industria ITVulnerabilidades en Sistemas Operativos - Agosto 2004

Sofisticación de los Ataques vs. Conocimientos requeridos

Técnicas Hacker de Envenenamiento en Redes

de Datos

Con la participación de:

y

José Parada GimenoEvangelista Microsoft TechNet

Chema AlonsoMVP Windows Server Security

El Modelo OSI

1.Fisico

2. Conexión

3. Red

4. Transporte

5. Sesión

6. Presentación

7. Aplicación

ARP, RARP

En Realidad

• Cuatro capas son suficientemente representativas

1. interface

2. Red

3. Transporte

4. Aplicación

IP, ICMP, IGMP

TCP, UDP, IPsec

HTTP, FTP, TFTP, telnet, ping, SMTP,POP3, IMAP4, RPC, SMB, NTP, DNS, …

8-5. usuario

Técnicas de Spoofing

• Las técnicas spoofing tienen como objetivo suplantar validadores estáticos

Un Un validador estáticovalidador estático es un medio de es un medio de autenticación que permanece invariable autenticación que permanece invariable antes, durante y después de la antes, durante y después de la concesión.concesión.

Niveles Afectados

SERVICIOSERVICIO

REDREDDirección IPDirección IP

ENLACEENLACEENLACEENLACE

Dirección MACDirección MAC

Nombres de dominioNombres de dominio

Direcciones de correo electrónicoDirecciones de correo electrónico

Nombres de recursos compartidosNombres de recursos compartidos

Tipos de técnicas de Spoofing

• Spoofing ARP• Envenenamiento de conexiones.• Man in the Middle.

• Spoofing IP • Rip Spoofing.• Hijacking.

• Spoofing SMTP

• Spoofing DNS• WebSpoofing.

Técnicas de Sniffing

• Capturan tráfico de red.

• Necesitan que la señal física llegue al NIC.

• En redes de difusión mediante concentradores todas las señales llegan a todos los participantes de la comunicación.

• En redes conmutadas la comunicación se difunde en función de direcciones.• Switches utilizan dirección MAC.

Sniffing + SpoofingSniffing + Spoofing

Hijacking (Secuestro) Y Hijacking (Secuestro) Y EnvenenamientoEnvenenamiento

Técnicas Combinadas

Nivel de Enlace: Spoofing ARP

• Suplantar identidades físicas.

• Saltar protecciones MAC.• Suplantar entidades en clientes DHCP.• Suplantar routers de comunicación.

• Solo tiene sentido en comunicaciones locales.

Dirección Física

• Tiene como objetivo definir un identificador único para cada dispositivo de red.

• Cuando una máquina quiere comunicarse con otra necesita conocer su dirección física.• Protocolo ARP

• No se utilizan servidores que almacenen registros del tipo: • Dirección MAC <-> Dirección IP.

• Cada equipo cuenta con una caché local donde almacena la información que conoce.

Sniffing en Redes de Difusión

PC HACKERPC HACKER

PC 1PC 1

PC 2PC 2 PC 3PC 3

PC 4PC 4

SnifferSniffer

Datos PC 4

Datos PC 4

filtrafiltra filtrafiltra

PC HACKERPC HACKER

PC 1PC 1

PC 2PC 2 PC 3PC 3

PC 4PC 4

SnifferSniffer

Datos PC 4

Datos PC 4MAC 1MAC 1

MAC 2MAC 2 MAC HMAC H MAC 3MAC 3

MAC 4MAC 4

Puerto 1 MAC 1Puerto 1 MAC 1Puerto 2 MAC 2Puerto 2 MAC 2Puerto 6 MAC HPuerto 6 MAC HPuerto 11 MAC 3Puerto 11 MAC 3Puerto 12 MAC 4Puerto 12 MAC 4

Sniffing en Redes Conmutadas

Envenenamiento de Conexiones: “Man in the Middle”

• La técnica consiste en interponerse entre dos sistemas.

• Para lograr el objetivo se utiliza el protocolo ARP.

• El envenenamiento puede realizarse entre cualquier dispositivo de red.

Envenenamiento de Conexiones:“Man in the Middle”

PC 1PC 1IP 1IP 1

MAC 1MAC 1

PC 2PC 2IP 2IP 2

MAC 2MAC 2

PC HPC HIP HIP H

MAC HMAC H

IP 2 – MAC HIP 2 – MAC H IP 1 – MAC HIP 1 – MAC H

CACHE ARPCACHE ARPIP 2 – MAC HIP 2 – MAC H

CACHE ARPCACHE ARPIP 1 – MAC HIP 1 – MAC H

CONEXIÓNCONEXIÓNPC2PC2

REENVÍO A REENVÍO A HOSTHOST

Ataque ARP Man In The Middle

¿Quien tiene

1.1.1.2?

1.1.

1.2

esta

en

99:8

8:77

:66:

55:4

4

1.1.1.2 esta en 00:11:22:33:44:55:66

1.1.1.1

1.1.1.2

1.1

.1.1

esta

en

99:8

8:7

7:6

6:

55:4

4

Man in the Middle

• Sirve como plataforma para otros ataques.

• DNS Spoofing.• WebSpoofing.• Hijacking.• Sniffing

• Se utiliza para el robo de contraseñas.

Demo

• Envenamiento entre hosts.

• Robo de contraseñas.• DNS Hijacking.• Phising (WebSpoofing).• HTTPS Spoofing.

Protección contra Envenenamiento

• Medidas preventivas.

• Control físico de la red.• Bloqueo de puntos de acceso.• Segmentación de red.

• Gestión de actualizaciones de seguridad.• Protección contra Exploits.• Protección contra troyanos.

Protección contra Envenenamiento

• Medidas preventivas.

• Cifrado de comunicaciones.• IPSec.• Cifrado a nivel de Aplicación:

• S/MIME. • SSL.

• Certificado de comunicaciones.

• Medidas preventivas.

• Utilización de detectores de Sniffers.

• Utilizan test de funcionamiento anómalo.• Test ICMP.• Test DNS.• Test ARP.

Protección contra Envenenamiento

Frase vs. Passwords

●●●●●● ●●●●●● ●● ●●● ●●●● ●●●●●●● ●● ●●●●●●●●●●● ●● ●●●●●●●●●●●●●●

●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●

Las 4 leyes fundamentales de la protección de datos

• Autentica en todas partes.• Valida Siempre.• Autoriza y audita todo.• Cifra siempre que sea necesario.

Cifrado y autenticado de conexiones con IPSec en

redes Windows 2003.

Con la participación de:

y

José Parada GimenoEvangelista Microsoft TechNet

Chema AlonsoMVP Windows Server Security

Cifrado de Comunicaciones

• IPv4 no ofrece cifrado de comunicaciones a nivel de red y transporte.

• Solo se puede garantizar la no interceptación de la información en líneas privadas.

• Los entornos son abiertos. Movilidad.

• La privacidad de la información es una necesidad

Cifrado de Comunicaciones

• La elección de la protección debe cumplir:

– No anular otras defensas.

– Permitir autenticación integrada.

– No suponer un coste excesivo en:– Rendimiento.– Adquisición.– Implantación.– Mantenimiento.

Cifrado de Comunicaciones

• Soluciones:

– Red : IPv6 -> IPSec.

– Transporte:– TLS– SSL

– Aplicación: – HTTP-s– FTP-s– S/MIME– SSH.

– Datos: Cifrado información.

IPSec - Definición

• IPSec es unprotocolo que sirve para proteger las comunicaciones entre equipos.

• Ofrece las siguientes características:

– Autenticación – Integridad– Confidencialidad (cifrado)

IPSec - Objetivos

• Proteger el contenido de las cabeceras IP contra ataques activos y pasivos mediante :

– Autenticación de la cabecera.– Cifrado del contendio.

• Defender los equipos contra ataques de red:– Filtrado de conexiones (sniffing).– Autenticación de conexiones.

IPSec - Funcionamiento

• Dos grupos de protocolos distintos– Protocolos de gestión de claves:

– IKE ( Internet Key Exchange) y sus asociados ISAKMP y OAKLEY KEY)– Protocolos de autenticación, cifrado y manipulación de paquetes:

– AH ( Autentication Header )– ESP ( Encapsulating Security Payload )

IKE - Funcionamiento

• IKE tiene dos modos de funcionamiento.

• Modo Principal y Modo Rápido.– Centraliza la gestión de asociaciones (SA) para reducir el tiempo.– Genera y gestiona las claves usadas para securizar la información.

IPSec – Proceso de Cifrado

• El proceso de cifrado está compuesto de dos protocolos.

– Autenticación de cabecera (AH)– Cifrado de Tráfico (ESP)

Cabecera de Autenticación

• Authentication Header (AH) ofrece:– Autenticacion.– Integridad.

• Funcionalidades– Kerberos, certificados o los secretos compartidos pueden ser utilizados para autenticar

el tráfico. – La integridad se calcula con algoritmos SHA1 o MD5 que calculan el Integrity Check

Value (ICV)

IPSec – Cabecera AH.

• Autenticidad de los datos• Integridad de los datos• Contra la retransmisión• Protección contra la suplantación

Encab. IPEncab. IPEncab. IPEncab. IP AHAH Encab. Encab. TCP/UDPTCP/UDPEncab. Encab.

TCP/UDPTCP/UDPDatos de Datos de

aplicacionesaplicacionesDatos de Datos de

aplicacionesaplicaciones

Firmado

Encabezados de autenticación

Cabecera ESP

• Encapsulating Security Payload (ESP)

• ESP ofrece:– Confidencialidad.

• ESP puede ser utilizada sola o combinada con AH.

• Multiples algoritmos de cifrado– DES – claves de cifrado de 56-bit – 3DES – claves de cifrado de 168-bit

• Multiples algoritmos de firmado.– SHA1 – 160-bit digest– MD5 – 128-bit

Cabecera ESP

Nuevo Nuevo encab. IPencab. IPNuevo Nuevo

encab. IPencab. IPESPESPHdrHdr

ESPESPHdrHdr

Cifrado

Firmado

Autenticación del origen

Cifrado de los datos

Contra la retransmisión

Protección contra la suplantación

Carga de seguridad de encapsulación

Encab. IP Encab. IP originaloriginal

Encab. IP Encab. IP originaloriginal

Encab.Encab.TCP/UDPTCP/UDPEncab.Encab.

TCP/UDPTCP/UDPDatos de Datos de

aplicacionesaplicacionesDatos de Datos de

aplicacionesaplicacionesFin.Fin.ESPESPFin.Fin.ESPESP

Aut.ESPAut.ESP

IPSec - Firewalls

• IPSec se enruta como tráfico IPv4.

• En firewalls debe ser activado el reenvio IP para:– IP Protocol ID 50 (ESP)– IP Protocol ID 51 (AH)– UDP Port 500 (IKE)

• El tráfico IPSec que pasa por un firewall no puede ser inspeccionado.

filtersfiltersfiltersfilters

SA Establishment

NICNIC

TCPIPTCPIP

ApplicationApplicationServer or GatewayServer or Gateway

IPSecIPSecDriverDriver

IPSecIPSecPolicyAgentPolicyAgent

IKE (ISAKMP)IKE (ISAKMP)

IPSecIPSecDriverDriver

IPSecIPSecPolicyAgentPolicyAgent

IKE (ISAKMP)IKE (ISAKMP)

NICNIC

TCPIPTCPIP

App or ServiceApp or Serviceclientclient

““IKE Responder”IKE Responder”““IKE Initiator”IKE Initiator”

UDP port 500 UDP port 500 negotiationnegotiation

1 IKE SA1 IKE SA

2 IPSec SAs2 IPSec SAs

IP protocol 50/51IP protocol 50/51

IPSec - Modos de trabajo

• El sistema IPSEC puede trabajar en dos modos:– Modo de transporte: donde el cifrado se realiza de extremo a extremo.

– Modo túnel donde el cifrado se realiza únicamente entre los extremos del túnel.

Modos IPSEC

Cifrado

Modo de túnelProporciona cifrado y autenticación sólo entre los puntos finales del túnel

Cifrado

Modo de transporteProporciona cifrado y autenticación de extremo a extremo

IPSEC - Coste de cifrado

• Disminución del rendimiento que es proporcional al hardware del sistema.– Tiempo de negociación IKE – aproximadamente 2-5 segundos inicialmente– Session rekey < 1-2 segundos

• Pérdida de la capacidad de filtrado de paquetes.

• Recursos destinados a la solución de problemas.

• Concienciación técnica de su necesidad y su uso.

IPSec en Windows 2000- 2003

• Se configura mediante políticas– Almacenadas en el Directorio Activo o en en Registro Local del Servidor.– Controlan la entrada y salida de paquetes permitidos.

• Las Politicas IPSec están formadas por listas de reglas. – Están compuestas de asociaciones de acciones y protocolos.– Se definen a nivel de protocolo o a nivel de puerto.– Acciones permitidas:

– Bloquear.– Permitir.– Pedir seguirdad.

– Se aplica el filtro más permisivo.

IPSec - Políticas

• Podrán utilizarse políticas por defecto o las creadas manualmente.

• El sistema proporciona 3 políticas por defecto que van a determinar diferentes comportamientos de la máquina con respecto a IPSEC.

– Cliente.– Servidor.– Servidor seguro.

IPSec - Política de cliente.

• Modo de solo respuestas.

• Un sistema en modo cliente responde a peticiones que le realicen en IPSEC.

• No inicia conversaciones en modo IPSEC, solamente en claro.

IPSec - Política de servidor.

• Intenta establecer comunicaciones cifradas, pero si la otra máquina no tiene configurado IPSEC la comunicación se establece en claro.

• Este modo está definido por 3 reglas que determinan el comportamiento general del sistema a las peticiones IP, ICMP y el resto de tráfico.

IPSec - Política Servidor Seguro

• El equipo solo puede establecer comunicaciones seguras.

• La política establece 3 reglas, para el tráfico de peticiones IP, ICMP y el resto de tráfico.

IPSEC - Reglas

• Las reglas IPSEC determinan el comportamiento del sistema en la transmisión de la información.

• Las reglas están compuestas por los siguientes objetos:– Filtros.– Acción de filtros.– Método de autentificación.

IPSec - Filtros

• En la configuración de los filtros hay que especificar los siguientes parámetros:

– Determinar la posibilidad o no de establecer un túnel de comunicación.– Qué redes o equipos se van a ver afectados.– El método de autentificación para la transmisión.– Métodos de seguridad.– Las acciones de filtrado.

IPSec - Autenticación

• Kerberos– Requiere tiempo de sincronización.– Solo dentro del bosque.

• Certificados – Requiere la implementación de PKI.– CRL está deshabilitado por defecto.

• Secretos Compartidos.– Tan seguro como sea el secreto.– En entornos grandes es dificil de mantener.

IPSec - PKI Autodespliegue

• Se puede configurar un entorno de autodespligue de certificados digitales para equipos :

– Instalando una Entidad Certificadora Raiz integrada.

– Activando la Petición de Certificado Automático en la CPO del dominio.

IPSec – Excepciones.

• IPSec en Windows 2000 no securiza por defecto el siguiente tráfico :– Broadcast– Multicast– RSVP– IKE– Kerberos

• Windows 2003 por defecto securiza todo el tráfico excepto IKE. Es posible configuarlo como en Windows 2000

– IPSec Default Exemptions Are Removed in Windows Server 2003– http://support.microsoft.com/default.aspx?scid=kb;EN

-US;810207

IPSEC - Monitorización

• IPSecmon • IP Security Monitor MMC Snap-In

IPSec - Despliegue

GPODespliegue centralizado desde el Directorio Activo.Configuración posible mediante plantillas.

Domain

OU

Site

GPOGPO

Políticas de Grupo

Demo – Configuración IPSec

Endurecimiento de Servidores

Windows 2003 Plantillas de Seguridad

Con la participación de:

y

José Parada GimenoEvangelista Microsoft TechNet

Chema AlonsoMVP Windows Server Security

Endurecimiento

• El aumento de ataques en las redes han hecho necesarias implementar medidas para fortificar los servicios de las empresas.

• Entre las medidas caben destacar las actualizaciones de los sistemas y la fortificación de los servidores desde la configuración de la seguridad interna mediante plantillas.

Plantillas de seguridad

• Proporcionan los mecanismos para incrementar la seguridad sobre los equipos.

• Son ficheros que proporcionan la capacidad para simplificar la implantación de seguridad en equipos.

• Incrementan o modifican las directivas que se están aplicando.

Aplicación de Plantillas

• Las plantillas pueden aplicarse por importación en políticas locales o mediante el uso en GPO.

• Mediante la herramienta de configuración de seguridad.

• Mediante línea de comando con la ejecución del comando Secedit.

Componentes de lasPlantillas de Seguridad

• Las plantillas de seguridad controlan los siguientes aspectos de una máquina:

– Cuentas de usuario.– Auditorías.– Derechos de usuarios.– Opciones de seguridad.– Visor de sucesos.– Grupos restringidos.– Servicios.– Claves de registro.– Sistema de ficheros.

Herramientas de Gestión de Plantillas

• La administración de las plantillas puede ser realizada desde:

– La consola Plantillas de seguridad.

– Consola configuración y análisis de la seguridad.

• Ambas herramientas son añadidas como complementos de MMC.

Herramientas de Plantillas Administrativas.

Configuración y Análisisde la Seguridad.

• Es una herramienta con doble objetivo:

– Proporcionar los mecanismos para comparar la seguridad de una máquina con una base de datos de análisis.

– Configurar una máquina con la información de una base de datos creada a través de plantillas.

Análisis y configuración.

Resultante de políticas.

• Sistema complementario de los anteriores que evalúa no solo plantillas de seguridad sino GPO.

• Presenta dos herramientas:

– RSoP. Herramienta gráfica.– GPRESULT. Línea de Comando.

Demo: Aplicación de Plantillas de Servidores

Analísis de Seguridad

¡Descanso!

Con la participación de:

y

RPC sobre HTTPs

Con la participación de:

y

José Parada GimenoEvangelista Microsoft TechNet

Chema AlonsoMVP Windows Server Security

RPC Sobre HTTP

• Las llamadas a procedimiento remoto son una de las metodologías de comunicaciones entre máquinas.

• Outlook 2003 se conecta a Exchange 2003 mediante el protocolo RPC.

• El establecimiento de RPC sobre HTTP, proporciona 3 niveles de seguridad adicionales sobre las ofrecidas por RPC.

Seguridad

• Proporciona seguridad y autentificación a través de Internet Information Server.

• Proporciona encriptación SSL.

• Permite restricciones e inspecciones de información a nivel de RPC proxy.

Arquitectura

• En el procedimiento de una comunicación RPC/HTTPS intervienen los siguientes componentes:

– Cliente RPC/HTTPS.

– Proxy/Firewall RPC (enrutador).

– Servidor RPC.

Implementaciones.

• Microsoft proporciona 2 versiones de implementación de RPC/HTTP.

– Versión 1.– No permite el establecimiento de una sesión SSL sobre el RCP Proxy.– No permite autentificación sobre RPC/Proxy.– No opera en granja de servidores.

– Versión 2.– Permite SSL.– Soporta autentificación sobre RPC/Proxy.– Opera en granja de servidores.

Sistemas operativos.

Plataforma Soporte Implementación

WindowsServer 2003

Cliente, servidor yProxy RPC

Soporta RPC sobre HTTP v1 y RPC sobre HTTP v2. RPCProxy soporta RPC sobre HTTP v2 cuando se estáejecutando IIS en modo 6.0 . RPC Proxy soporta RPCsobre HTTP v1 y RPC sobre HTTP v2 cuando IIS seejecuta en modo IIS 5.0.

Windows XPcon SP1 o SP2

Cliente y Servidor

Soporta RPC sobre HTTP v1 y RPC sobre HTTP v2 enmodo cliente y servidor. No soporta PROXY RPC.

Windows XPCliente yservidor

Soporta RPC sobre HTTP v1 solamente en modo clientey servidor.

Windows 2000Cliente,Servidor yProxy RPC

Soporta programas servidor RPC sobre HTTP y ProxyRPC sobre diferentes equipos. Solamente presentasoporte solo sobre HTTP v1.

Windows NT4.0 with SP4

Cliente,Servidor yProxy RPC

Programas servidor RPC sobre HTTP y Proxy RPC debenser ejecutadas en la misma máquina. Presenta soporte solo sobre HTTP v1.

Windows 95/98 ClienteNo soporta servidor HTTP sobre RPC. Windows 95 debentener instalados los componentes DCOM 95 v1.2 oposteriores

Ventajas.

• Soporta una plataforma para transmitir información segura a través de Internet.

• Permite el enrutamiento de la información a través de una red de forma segura.

• Proporciona una plataforma de integración de antivirus y antispam para la inspección de tráfico.

• Evita el uso de licencias e implantaciones VPN.

Inspección de tráfico.

• Con la arquitectura de RPC sobre HTTP antivirus y antispam pueden implementarse en los siguientes niveles:

– Cliente. Por ejemplo Outlook 2003.

– Proxy RPC. Por ejemplo IIS 6.0/ISA Server 2004.

– Servidor RPC. Por ejemplo Exchange 2003.

Configuración Proxy RPC

• Instalar IIS.

• Instalar servicios RPC/HTTP desde componentes de Windows.

• Configuración del servicio virtual RPC en IIS.

• Activar seguridad en el servicio para utilizar RPC/HTTPS

Exchange

• Exchange soporta el servicio RPC sobre HTTPS.

• Puede integrarse en la arquitectura Front – End / Back – End.

• El servidor Front – End podría funcionar como:

– Servidor RPC Proxy.

– Servidor RPC recibiendo y enviando peticiones a un servidor Proxy.

Exchange como servidor RPC

Demo:Conexión RPC/HTTPsOutlook 2003 – Exchange 2003

MPLS y Hosting de aplicaciones.

Interacción con ISA Server

Con la participación de:

y

Julio César Gómez Martín

•Indice

• ¿Quién es ONO?

• Evolución de las VPNs • VPNs de Nivel 2• VPNs de Nivel 3. IPSec

• VPNs Seguras con MPLS

• Hosting de Aplicaciones con MPLS

• Soluciones con ISA Server 2004 sobre las VPNs de ONO• ISA Server 2004 como Proxy• ISA Server 2004 como Firewall

¿Qué es ONO?

• ONO es la mayor compañía de comunicaciones integradas por banda ancha para particulares y una de las principales para empresas en España

• Servicios de– televisión + teléfono + internet al mercado residencial (en las demarcaciones con

concesión de cable)– servicios y aplicaciones sobre redes IP para empresas (en toda España)

• Licencias de cable en la Comunidad Valenciana, Mallorca, Castilla La Mancha, Murcia, Santander, Cádiz y Huelva.

• En febrero de 2004, ONO completó la compra del 61% de Retecal, el operador de telecomunicaciones por cable de Castilla y León.

Conectividad

• ITS: Tránsito Internet• Housing: Alojamiento de servidores

• ASP Exchange • e-Baan: ASP Baan (ERP)• Streaming Video• Hosting Gestionado: Dedicado, compartido

Plataformade negocio

Infraestructura

Portfolio de servicios

• VIP: Redes Privadas Virtuales• SIG: Acceso a Internet Garantizado• Wall: Firewall Gestionado• ISP virtual: ISP virtual

Indice

• ¿Quién es ONO?

• Evolución de las VPNs – VPNs de Nivel 2– VPNs de Nivel 3. IPSec

• VPNs Seguras con MPLS

• Hosting de Aplicaciones con MPLS

• Soluciones con ISA Server 2004 sobre las VPNs de ONO– ISA Server 2004 como Proxy– ISA Server 2004 como Firewall

Definición de VPN

• Conexiones realizadas sobre una infraestructura compartida

• Funcionalidad similar (¿mejor?) que una red privada real: – comportamiento (servicio garantizado)– seguridad (integridad datos, confidencialidad)

– Seguridad ð aislamiento

Evolución de las VPNs

VPN de Nivel 3. IPSecVPN de Nivel 3. IPSec

Túneles GRE y sobre todo IPSec

Autenticación y cifrado de los datos en Internet

Encaminamiento basado en IP del túnel

Aceleración de cifrado por HW y SW

Túneles GRE y sobre todo IPSec

Autenticación y cifrado de los datos en Internet

Encaminamiento basado en IP del túnel

Aceleración de cifrado por HW y SW

VPN de Nivel 2VPN de Nivel 2Frame Relay y ATM

Definición estática de Circuitos Virtuales (PVCs)

Encaminamiento basado en DLCI

Escalabilidad y Flexibilidad Limitadas

Frame Relay y ATM

Definición estática de Circuitos Virtuales (PVCs)

Encaminamiento basado en DLCI

Escalabilidad y Flexibilidad Limitadas

Evolución de las VPNs

VPN de Nivel 3. MPLSVPN de Nivel 3. MPLS

Combina los niveles 2 y 3 empleando paquetes “etiquetados”

Separación de la componente decomponente de routing routing de la de envíode envío

SeguridadSeguridad inherente: diferencia y aísla el tráfico VPN generando redes privadas reales

Comportamiento Comportamiento de la red: ingeniería tráfico

Combina los niveles 2 y 3 empleando paquetes “etiquetados”

Separación de la componente decomponente de routing routing de la de envíode envío

SeguridadSeguridad inherente: diferencia y aísla el tráfico VPN generando redes privadas reales

Comportamiento Comportamiento de la red: ingeniería tráfico

Indice

• ¿Quién es ONO?

• Evolución de las VPNs – VPNs de Nivel 2– VPNs de Nivel 3. IPSec

• VPNs Seguras con MPLS

• Hosting de Aplicaciones con MPLS

• Soluciones con ISA Server 2004 sobre las VPNs de ONO– ISA Server 2004 como Proxy– ISA Server 2004 como Firewall

Esquema básico funcionamiento

3. Los Routers de Backbone (P) conmutan los paquetes mediante la etiqueta de los paquetes

2. El Router de Borde (PE1) recibe un paquete, marca el paquete con una etiqueta y lo introduce en la red

4. El Router de Borde destino (PE2) elimina la etiqueta y entrega el paquete

Delegación

Sede Central

1b.- A partir de esta información LDP genera el mapeo de destinos mediante Labels

1a.- Mediante los protocolos de routing Existentes (e.g. OSPF), establecemos los destinos mas apropiados dentro de la red

1 2 3

PE

PE

P P

PE

PE

PE

PE

P P

Esquema básico funcionamiento

Cliente 1 Cliente 1

Cliente 2 Cliente 2

Cliente 3 Cliente 3

Router PE Router PERouter P

Backbone MPLS

MP-iBGP

IGP IS-IS IGP IS-IS

Routing VPNRouting VPN

Generación de una VPN

• Tablas de envío (VRF) para cada VPN en el PE permiten encaminar el tráfico a cada miembro de una VPN

Router PE

P-RouterTabla de Routing

GLOBAL

Tabla de Routing GLOBAL

Sede #1Cliente 1

Sede #2Cliente 1

Sede #3Cliente 1

Sede #1Cliente 2

Tabla de Routing Virtual para Cliente 1

Router Virtual para el Cliente 1

Tabla de Routing Virtual para Cliente 2

Router Virtual para el Cliente 2

Generación de una VPN

• Identidad VPN mediante un “distintivo de ruta” de 64-bit (Route Distinguisher - RD)

• RD asignado por el operador, desconocido por el cliente• RD + dirección IP cliente = dirección “IP-VPN”, globalmente unívoca

• Empleo de Route Tarjet (RT) que definen las rutas a importar y exportar de las VRFs

• Tablas de envío (VRF) para cada VPN en el PE permiten encaminar el tráfico a cada miembro de una VPN

Plan de direccionamiento

PE-Router X PE-Router YP-Router Z

VPN A

CPE VPN A

10.1.1.0/24CPE

VPN BVPN B

10.1.1.0/24

PE-Router V

Actualización MP-iBGPRed= 10.1.1.0/24

Next Hop= PE-Router X

Actualización MP-iBGPRed= 10.1.1.0/24

Next Hop= PE-Router Y

VPN A

CPE VPN A

VPN B CPE VPN B

10.1.1.0/24

10.1.1.0/24

PE-Router X PE-Router YP-Router Z

PE-Router V

Plan de direccionamiento

Actualización MP-iBGPRD:100:27

Red= 10.1.1.0/24Next Hop= PE-Router X

Actualización MP-iBGPRD:100:26

Red= 10.1.1.0/24Next Hop= PE-Router Y

Simplicidad de configuración

PE

MPLS MPLS BackboneBackbone

PE

PE

PE!interface FastEthernet0

ip address 192.168.3.254 255.255.255.0ip address 192.168.3.254 255.255.255.0speed auto

! interface serial0

ip address 192.168.254.2 255.255.255.252ip address 192.168.254.2 255.255.255.252 no ip directed-broadcast

no ip route-cache!

ip route 0.0.0.0 0.0.0.0 serial0ip route 0.0.0.0 0.0.0.0 serial0

PE

MPLS MPLS BackboneBackbone

PE

PE

PE

ip vrf vpn_cliente

rd 12457:5rd 12457:5 route-target export 12457:5route-target export 12457:5 route-target import 12457:5route-target import 12457:5!interface Serial1/1/1 no ip directed-broadcast no ip proxy-arp ip address 192.168.254.1255.255.255.252

ip vrf forwarding vpn_clienteip vrf forwarding vpn_cliente!router bgp 12457 address-family ipv4 vrf vpn_cliente redistribute static exit-address-family!

ip route vrf vpn_cliente 192.168.0.0 ip route vrf vpn_cliente 192.168.0.0 255.255.255.0 192.168.254.2255.255.255.0 192.168.254.2

Simplicidad de configuración

Indice

• ¿Quién es ONO?

• Evolución de las VPNs • VPNs de Nivel 2• VPNs de Nivel 3. IPSec

• VPNs Seguras con MPLS

• Hosting de Aplicaciones con MPLS

• Soluciones con ISA Server 2004 sobre las VPNs de ONO• ISA Server 2004 como Proxy• ISA Server 2004 como Firewall

Visibilidad “todos con todos”

Sede Central VPN

CiscoCPE

PaP2Mb

Cisco CPE

ADSL4Mb

PaP1Mb

Cisco CPE

Delegaciones VPN

Internet Centralizado

INTERNET

Red MPLSONO

Conexión SIG con router en Housing.©Conexión al Backbone IP

©Alta flexibilidad y escalabilidad

©NAT y Servicio Wall Clase C

Cable

CPE

ADSL

CPE

Agrupacion de VPNs

Visibilidad parcial entre VPNs

RED ONO

(MPLS)

Delegaciones TIPO Acceso

ADSL/PaP/Cable/RDSI

Sede Central (Servicios Centrales)

Sede 1 CLIENTE ASede 1 CLIENTE A

Sede 1 CLIENTE BSede 1 CLIENTE B

Router CPE

Visibilidad parcial entre VPNs

ip vrf vpn_C rd 12457:56

route-target import 12457:100route-target export 12457:100

route-target import 12457:101 route-target import 12457:102ip vrf vpn_A rd 12457:3 route-target export 12457:101 route-target import 12457:101 route-target import 12457:100 ip vrf vpn_B rd 12457:55 route-target export 12457:102 route-target import 12457:102 route-target import 12457:56

Servidores de Aplicaciones

Internas (INTRANET)

ServidorCorreo

Microsoft ISA Server

Hosting de Aplicaciones sobre MPLS

Sede Central VPN

Delegación 1

Delegación 2Delegación 3

Red MPLS

Hosting de Aplicaciones sobre MPLS

ip vrf vpn_cliente rd 12444:406 export map direcciones_loopback route-target export 12444:406 route-target import 12444:406 route-target import 12457:1!interface GE-WAN8/2 no ip address

negotiation auto mls qos trust dscp!

interface GE-WAN8/2.300interface GE-WAN8/2.300 description Conexion con HOSTING cliente encapsulation dot1Q 300

ip vrf forwarding vpn_clienteip vrf forwarding vpn_cliente ip address 192.168.60.254 255.255.255.0 mls qos trust dscp!router bgp 12457 address-family ipv4 vrf vpn_cliente_s redistribute connected redistribute static

Indice

• ¿Quién es ONO?

• Evolución de las VPNs • VPNs de Nivel 2• VPNs de Nivel 3. IPSec

• VPNs Seguras con MPLS

• Hosting de Aplicaciones con MPLS

• Soluciones con ISA Server 2004 sobre las VPNs de ONO• ISA Server 2004 como Proxy• ISA Server 2004 como Firewall

Gestión de Redes a través de Objetos de Red

• Soporta cualquier Nº de Redes• Pertenecia dinamica a la Red• Reglas y Políticas por Red

Perimetro2Perimetro2LAN1LAN1

Perimetro1Perimetro1

InternetInternet

VPNVPN

Reglas de Acceso

PermitirDenegarPermitirDenegar UsuariosUsuarios

Red DestinoIP DestinoSitio de Destino

Red DestinoIP DestinoSitio de Destino

ProtocoloIP Port/Tipo

ProtocoloIP Port/Tipo

Red OrigenIP OrigenRed OrigenIP Origen

ScheduleTipo de contenidoScheduleTipo de contenido

Las reglas de acceso siempre definen:

acción en traficó del usuario del origen al destino con condiciones

Porque usar un Servidor Proxy?

Mejora la seguridad en el acceso a internet:Mejora la seguridad en el acceso a internet:

Autenticación de UsuariosFiltrado de peticiones de clienteInspección de contenidoLog del acceso de los usuariosEsconder los detalles de la red interna.

Autenticación de UsuariosFiltrado de peticiones de clienteInspección de contenidoLog del acceso de los usuariosEsconder los detalles de la red interna.

ISAServer

ISAServer

WebServerWeb

Server

Mejora el rendimiento en el acceso a Internet.Mejora el rendimiento en el acceso a Internet.

Servidor Proxy Directo.

ISAServer

ISAServer

WebServerWeb

Server

11

33

66

22

55

44

Esta…

El usuario permitido?

El Protocolo permitido?

El destino permitido?

Servidor Proxy inverso?

33

WebServerWeb

Server

DNSServerDNS

Server

ISAServer

ISAServer

55

44

22

66

11

¿Esta…

la peticíón permitida?

el Protocolo permitido?

el Destino permitido?

Cacheo en ISA Server

• La cache del servidor ISA almacena una copia del contenido web solicitado en memoria o en el disco duro.

• Nos proporciona:• Mejora de Rendimiento — la información se almacena localmente en el

servidor ISA.• Reduce el ancho de banda — no hay trafico adicional hacia internet.

• Escenarios posibles en modo Cacheo:• Cacheo Directo — Servidores Web de Internet• Cacheo Inverso — Servidores Web internos

Componentes TCP/IP afectados

Dirección destino: 0003FFD329B0Dirección fuente: 0003FFFDFFFFDirección destino: 0003FFD329B0Dirección fuente: 0003FFFDFFFF

Physical payloadPhysical payloadNivel de enlaceNivel de enlace

Destino: 192.168.1.1fuente: 192.168.1.10Protocolo: TCP

Destino: 192.168.1.1fuente: 192.168.1.10Protocolo: TCP

IP payloadIP payloadNivel de redNivel de red

Puerto destino: 80Puerto origen: 1159Nº secuencia: 3837066872ACK: 2982470625

Puerto destino: 80Puerto origen: 1159Nº secuencia: 3837066872ACK: 2982470625

TCP payload

TCP payload

Nivel de transporteNivel de

transporte

HTTP, Método de petición: GetHTTP, Versión del protocolo: =HTTP/1.1HTTP Host: =www.contoso.com

HTTP, Método de petición: GetHTTP, Versión del protocolo: =HTTP/1.1HTTP Host: =www.contoso.com

Nivel de aplicaciónNivel de

aplicación

WebServerWeb

Server

ISAServer

ISAServer

PacketFilter

PacketFilter

¿Que es el filtrado de paquetes?

Está …

lá dirección fuente permitida?

lá dirección destino permitida?

el protocolo permitido?

sl puerto de destino permitido?

¿Que es el filtrado de paquetes?

WebServerWeb

Server

ISAServer

ISAServer

WebServerWeb

Server

Reglas de conexión

Crear la regla de conexión

Es el paquete parte de la conexión?

¿Que es el filtrado por aplicación?

ISAServer

ISAServer

www.contoso.comwww.contoso.com Respuesta al clienteRespuesta al clienteEstá permitido el método?Está permitido el método?

Está la respuesta permitida en contenido y métodos?

Está la respuesta permitida en contenido y métodos?

WebServerWeb

Server

Funcionalidades IDS

ISAServer

ISAServer

Alerta al administradorAlerta al administradorAtaque de escaneo

de puertosAtaque de escaneo

de puertosExcedido el límite del escaneo de puertos

Excedido el límite del escaneo de puertos

Filtrado del tráfico de red en ISA Server 2004

TCP/IPTCP/IP

Ingenieria Firewall Ingenieria Firewall

Servicios de Firewall Servicios de Firewall

Filtrado de Aplicaciones

Filtrado de Aplicaciones

Filtrados Proxy WEBFiltrados

Proxy WEB

ReglasDe

Ingenieria

ReglasDe

Ingenieria

Filtrados WEB

Filtrados WEB

Filtrado por estado y protocolo

Filtrado por estado y protocolo

Filtrado por aplicaciónFiltrado por aplicación

Modo KernelBomba de datos

Modo KernelBomba de datos

22

33

44

Filtrado de paquetesFiltrado de paquetes11

Resumen: Implementing ISA Server 2004 como Firewall

En un entorno de Hosting de aplicaciones con MPLS:En un entorno de Hosting de aplicaciones con MPLS:

Determinar el perímetro de configuración de Red

Configurar las reglas sobre las distintas redes

Configurar la política del sistema

Configurar la detección de intrusiones

Configurar las reglas de acceso

Configurar los servicios y políticas de anunció WEB

Determinar el perímetro de configuración de Red

Configurar las reglas sobre las distintas redes

Configurar la política del sistema

Configurar la detección de intrusiones

Configurar las reglas de acceso

Configurar los servicios y políticas de anunció WEB

Reglas de publicación de servicios

ISAServer

ISAServer

Las reglas de publicación aplican a los servidores:

Redireccíonar la petición a la red interna (DMZ)Comunicaciones basadas en protocolo y puerto

Las reglas de publicación aplican a los servidores:

Redireccíonar la petición a la red interna (DMZ)Comunicaciones basadas en protocolo y puerto

Publicar el contenido usando múltiples protocolosFiltrado a nivel de aplicación para protocolos con filtros de aplicación en ISA

Publicar el contenido usando múltiples protocolosFiltrado a nivel de aplicación para protocolos con filtros de aplicación en ISA

Soporte para encriptaciónLogar dirección IP de clientes

Soporte para encriptaciónLogar dirección IP de clientes

Muchas Gracias

Técnicas de detección de SPAM

Con la participación de:

y

Jacobo Crespo Sybari Software

AGENDA

1. Presentación

2. Herramientas de Filtrado de Contenido

3. Filtros AntiSpam en MS Exchange Server 2003

4. Intelligent Message Filter en Exchange 2003 – Demo

5. Advance Spam Manager – SpamCure – Demo

¿Quienes Somos?

1. Fabricante de Seguridad orientado a Mensajería:

• Correo Electrónico (Exchange)• Portales para publicación de documentos (Sharepoint Portal Server)• Servidores de Mensajería Instantánea (Live Communication Server)

2. Que ofrece:

• Hasta 8 motores de AV Simultáneos• Control del contenido enviado en el correo (palabras, adjuntos, tamaño,…)• Soluciones Antispam (borrado, etiquetado,….)• Auditoria sobre la utilización del email (Productividad, almacenamiento, ancho de banda)

3. En US desde el año 1994 y en España desde el año 2000 con mas de 600 clientes

Referencias

¿Por qué Antispam?

1. Circulan al día 2.3 billones de mensajes SPAM

2. Un buzón de correo normal recibe al día 75 correos de los cuales el 52% es SPAM

3. Se ha cuantificado que el coste por año por empleado del SPAM es de 300€

4. Los costes directos del SPAM son:

• Transmitir esos mensajes – Reduce el ancho de banda• Almacenar esos mensajes – Aumenta el coste de almacenamiento• Borrar o leer esos mensajes – Reduce la productividad del empleado

1. ROI• Protección Antispam por dos años para 50 empleados = 1.200€ • 300€ x 50 empleados = 15.000€ de coste de Spam anual x2 =

30.000€• Protección Antispam por dos años para 1.000 empleados = 20.250€ • 300€ x 1.000 empleados = 300.000€ de coste de Spam anual x2 = 600.000€

Filtrado de Contenido

1. Evita que cierto tipo de palabras y tópicos sean enviados hacia o desde los usuarios

2. Sin embargo, es ineficiente para controlar el SPAM

• Requiere una atención continua del Administrador (horas por día)

• Algunos simples trucos lo hacen vulnerable• Ejemplos: $ave, V*i*a*gr*a, Chëὰρ

• Existen 105 variantes solo para la letra A!

• Genera muchos falsos positivos• Imposible de utilizar en ciertas industrias

Filtrado de Contenido

V I @ G R A , V--1.@--G.R.a, \./iagra, Viiagra, V?agr?, V--i--a--g--r-a, V!agra, V1agra, VI.A.G.R.A, vi@gra, vIagr.a, via-gra, Via.gra, Vriagra, Viag*ra, vi-agra, Vi-ag.ra, v-iagra, Viagr-a, V^I^A^G^G^A, V'i'a'g'r'a', V*I*A,G,R.A, VI.A.G.R.A..., Viag\ra!, Vj@GRA, V-i:ag:ra, V'i'a'g'r'a, V/i;a:g:r:a, V i a g r @, V+i\a\g\r\a, Viag[ra, V?agra, V;I;A*G-R-A, V-i-a-g-r-a, V*I*A*G*R*A , V-i-@-g-r-a, VI@AGRA, Vi@gr@, \/^i^ag-ra, VlAGRA, V\i\a.g.r.a, V1@GRA, v_r_i_a_g_r_a, V\i\a:g:r:a, V^i^a^g^r^a, V-i-@-g-r-@, Viag(ra.

RBLs (Real Time Black Holes)

• Las RBLs son listas de supuestos spammers y sus dominios/direcciones IP– Ejemplos: SpamCop, MAPS, SPEWS, Dorkslayers

• Generalmente es manejado por voluntarios, por lo cual no existe una auditoría, y a menudo bloquean mas de la cuenta– Algunos ISPs son agregados, aún cuando envían correos legítimos– Borrarse de estas listas puede llevar desde días a meses

• Requiere la utilización de muchas listas blancas para no generar falsos positivos

Análisis Heurístico

• Utiliza una técnica que busca miles de características y/o palabras para identificar SPAM y asignar una calificación– El nivel de SPAM debe ser ajustado periódicamente

• Es utilizado en muchos productos antispam

• Muy conocido por los spammers– Sitios Web de spammers permiten verificar el spam contra motores heurísticos

• Aumentar el nivel de detección = Aumentar los falsos +

Filtros Bayesianos

1. Sistema de aprendizaje basado en análisis estadísticos de vocabulario• Listas de palabras “buenas” y “malas”

2. Necesita intervención del usuario para que sea efectiva

3. Puede ser muy efectiva para usuarios individuales

4. Es atacado deliberadamente por los spammers• Incluyendo palabras “buenas” • Generalmente con palabras escondidas dentro de código HTML

Ejemplo de palabras aleatorias para evitar filtros Bayesianos

Filtros Bayesianos

Checksums

1. Crea un “fingerprint” de ejemplos de spam conocido

2. La Base de Datos se actualiza periódicamente

3. Es reactivo• Por definición, el “fingerprint” es creado tras identificar el correo como spam

4. Es posible evitarlo con una técnica llamada “hash busting” – agregando diferentes caracteres dentro del mensaje

Ejemplo de hash busting para evitar la técnica de checksums

Ejemplo de Hash busting

Curiosidades

1. Los Spammers están continuamente creando trucos y técnicas para evitar las diferentes tecnologías de detección…

2. Algunos Ejemplos…..

Filtros AntiSpam en MS Exchange Server 2003

Con la participación de:

y

Jacobo Crespo Sybari Software

Problemática

1. Plataforma Relay de correo:

• El ataque se produce cuando un usuario malicioso vulnera la seguridad de la plataforma para enviar correo masivo a través de nuestro servidor.

2. Receptor de Correo Spam:

• Se reciben correos que cargan el rendimiento, reducen la productividad de los empleados y generan gastos directos (sistemas de backup, conexiones GPRS, ancho de banda, soporte...)

Problemática Técnica Relay

Pasarela SMTP

Exchange Front-End

Relay

Buzones

Exchange Back-End

No Relay

Soluciones Exchange Server 2003

1. Opciones de Seguridad para no admitir Relay y, por tanto, no ser plataforma de correo “Spam”.

• Bloqueo de Relay por defecto para todos los clientes no autenticados.• Bloqueo por dominios.• Bloqueo por usuarios.• Bloqueo por máquinas.

Soluciones Exchange Server 2003

1. Opciones para detener el correo Spam recibido:

• Filtro de Remitente.• Filtro de Destinatario. Nuevo.• Listas Autenticadas. Nuevo.• Filtro de Conexión en tiempo real. Nuevo. • Filtros de Junk e-mail. Nuevo.• IMF. Nuevo.

Soluciones Exchange Server 2003

1. Filtro de Remitente. (Filtro Estático)

• Bloquea los mensajes que proceden de determinados usuarios.

2. Filtro de Destinatario (Filtro Estático)

• Bloquea los mensajes que van dirigidos a determinados destinatarios.

Soluciones Exchange 2003

1. Listas Autenticadas• Se discrimina solo a usuarios autenticados para enviar mensajes a listas de correo.

Soluciones Exchange 2003

1. Filtros de Conexión• Exchange Server 2003 comprueba en tiempo real si un servidor que está enviando

correo está almacenado en una base de datos de servidores nocivos.

2. Implantación de Filtros de Conexión• Implantamos en un servidor DNS una zona de consulta para almacenar los servidores

bloqueados. Ej.[bloqueados.midominio.com ]• Añadimos registros del tipo

• Configuramos un filtro para que se consulte la zona anterior cada vez que se recibe una conexión de servidor

13.12.11.10 Host 127.0.0.1

Se recibe una conexión desde un servidor de correo

El servidor DNS contesta si existe o no ese registro.

Se deniega la conexión

El servidor FrontEnd consulta la zona DNS de bloqueo.

Filtro de Conexión

Se envian los mensajes al servidor de BackEnd

Servidor BackEnd

Servidor FrontEnd

Servidor DNS

Soluciones Exchange 2003

1. Filtros Junk e-mail en Cliente

• Opciones de Outlook 2003

• El cliente tiene la opción de configurar los correos nocivos

• El Servidor y SW de terceros (Antigen) catalogan los mensajes para entrar en la carpeta de Junk-email

• En conexiones de pago por transferencia permite ahorrar costes

Intelligent Message Filter & Advance Spam Manager

Con la participación de:

y

Jacobo Crespo Sybari Software

Dos Motores

1. Microsoft IMF• Utiliza la tecnología SmartScreen™ • Conjunto detallado de reglas que son comparadas con el correo entrante

2. Sybari/Antigen ASM• Integra el motor de detección de spam SpamCure™• Utiliza una combinación de “Bullet Signatures” y el motor STAR

Tecnología SmartScreen™

1. IMF distingue entre los mensajes de correo legítimos y el correo comercial no solicitado u otro tipo de correo electrónico no deseado

2. Hace un seguimiento de más de 500.000 características de correo electrónico basadas en datos de cientos de miles de suscriptores del servicio MSN® Hotmail® que participaron voluntariamente en la clasificación de millones de mensajes de correo electrónico

3. Ayuda a filtrar el correo no deseado antes de que llegue a la bandeja de entrada del usuario

1. Base de datos utilizada para almacenar las características de los correos catalogados como Spam se actualiza con nueva información de patrones del origen de la muestra, lo que hace que el filtro sea más eficaz y actual

2. Permite llevar a cabo una evaluación más precisa de la legitimidad de un mensaje de correo electrónico entrante

Tecnología SmartScreen™

1. IMF evalúa el contenido de los mensajes en busca de modelos reconocibles y les asigna una clasificación basada en la probabilidad de que el mensaje sea correo comercial no solicitado o correo no deseado

2. La clasificación se almacena en una base de datos con el mensaje como una propiedad llamada nivel de confianza de correo no deseado (SCL)

3. Los administradores configuran dos umbrales que determinan la forma en que IMF controla los mensajes de correo electrónico con diferentes niveles de SCL

SCL – Nivel de Confianza del correo no deseado

Demo: Intelligent Message Filter (IMF)

ASMAntigen Advanced Spam

Manager

Con la participación de:

y

Jacobo Crespo Sybari Software

Bullet Signatures

1. BD “Bullet signatures” es creada y revisada por un grupo de expertos

2. Los “Bullet signatures” son una combinación de atributos únicos de un spammer en particular

• Un conjunto de datos extraídos de la cabecera, del campo asunto y del cuerpo del mensaje

• Funciona tanto para spam actual como futuro• Creados para conseguir características únicas del mensaje que no puedan estar

presentes en correos legítimos• No puede ser falseado por técnicas como el “Hash Busting”

STAR Engine

1. El motor STAR busca trucos y técnicas específicas de los spammers• Spammer Tricks Analysis and Response

2. Utiliza los “Bullet Signatures” para buscar métodos específicos de spamming

3. Se actualiza automáticamente cuando se lanza una nueva versión del motor

4. Desde el comienzo está diseñado para soportar cualquier idioma, incluso los de doble byte.

Uno + Uno = TRES

1. Supongamos que recibimos 10.000 correos de SPAM 2. Si el IMF analiza primero, el total de correos de SPAM se reduciría a un total de 1500

(85% de detección)3. A partir de ahí, SpamCure™ escanea el correo restante y detectaría el 95% de los 15004. Lo que reduce a 75 los correos de SPAM que recibiríamos

Combinando Tecnologías

1. El motor IMF analiza los correos en primer lugar2. Se aplica una clasificación SCL a cada correo3. Después pasa por ASM, que también analiza el mensaje4. ASM nunca reducirá la clasificación de IMF

Resumen

1. Dos sistemas de detección de spam para lograr una mayor efectividad2. Mínima intervención humana3. Fácil de instalar y configurar4. Integración entre cliente y servidor5. Ratio de detección del 99%, mucho mayor que la que pueda ofrecer cualquier

tecnología por sí misma

Demo: Advance Spam Manager. Tecnología SpamCure

Referencias

1. LSSI : • http://www.lssi.es

2. MS ISA Server 2004:• http://www.microsoft.com/spain/servidores/isaserver

3. Exchange Server 2003• http://www.microsoft.com/spain/exchange

4. Message Screener:• http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/smtpfilter.mspx

5. Technet:• http://www.microsoft.com/spain/technet

6. Sybari:• http://www.sybari.com

7. Informática 64• http://www.informatica64.com

¿ Preguntas ?

Contactos

• Jacobo Crespo - Sybari Softwarejacob_crespo@sybari.com

• Chema Alonso - Informática 64Chema@informatica64.com

• José Parada Gimeno - Microsoftjparada@microsoft.com

Contacto local

• CDROM, S.A.– Servicios de Sistemas y Telec.– Microsoft Certified Partner– Area de Seguridad de los S.I.

www.cdromsa.esJose Luis Yago (jose.luis.yago@cdromsa.es)

Próximas Acciones