ALGORITMOS

Vuelta a España TechNet 2005-2006: Mantenga su infraestructura Segura…. Contra Hackers. Chema Alonso (MVP de Microsoft) Jose Parada (Ingeniero TechNet) David Cervigon (Ingeniero TechNet)

Recursos Technet WebCasts IT ShowTime Guías y manuales Chats Blogs Eventos Seguridad Software Technet Flash Flash MSDN Newsletter Seguridad Videos Demo Videos Interactivos http :// wwww.microsoft.com / spain /technet

Agenda 09:00 - 09:30 : Registro 09:30 - 10:45 : Redes Wireless 10:45 - 11:15 : Café 11:30 - 12:30 : Actualizaciones de Seguridad 12:30 - 13:45 : Defensa nivel 7 13:45 - 14:00 : Preguntas

Redes Wireless Introducción, conceptos y funcionamiento DEMO: Técnicas Hacker de ataque a redes Wireless Redes Wireless Seguras DEMO: Securización de una red Wireless

Introducción Hoy en día, las Wireless LAN se están convirtiendo poco a poco en parte esencial de las redes LAN tradicionales: Bajos costes de instalación Disponibilidad No requiere de software adicional Movilidad La implantación se esta realizando a mayor velocidad en los entornos domésticos y PYMES que en las grades empresas Este mercado esta menos concienciado de los problema de seguridad El aire es un medio inseguro. Los estándares iniciales tienen muchos problemas de seguridad.

Introducción Componentes Routers/Gateways, Puntos de acceso (AP), Repetidores Equivalente al HUB de la tecnología ETHERNET. Ojo, no es un Switch por lo que los usuarios comparten el ancho de banda total. Adaptadores WIFI : PC Cards, PCI, Integradas, USB.... Antenas: unidireccionales y omnidireccionales Modos de funcionamiento Modo “AD-HOC”: los clientes se comunican directamente entre ellos. Solamente los clientes dentro de un rango de transmisión definido pueden comunicarse entre ellos. Modo “INFRASTUCTURE”: cada cliente envía toda sus comunicaciones a una estación central o punto de acceso (Access Point – AP). Este AP actúa como un bridge ethernet y reenvía las comunicaciones a la red apropiada, ya sea una red cableada u otra red inalámbrica.

Conceptos: Definiciones http://www.wi-fi.org/OpenSection/glossary.asp Frecuencia: de 2 a 5 GHz (Radio) Canal: Una porción del espectro de radiofrecuencias que usan los dispositivos para comunicarse. El uso de diferentes canales ayuda a reducir interferencias BSSID (Basic Service Set Identifier): Dirección única que identifica al Router/AP que crea la red wireless. Tiene formato de MAC address ESSID (Extended Service Set Identifier): Nombre único de hasta 32 caracteres para identificar a la red wireless. Todos los componentes de la misma red WLAN deben usar el mismo. SSID (Service Set Identifier): Equivalente a ESSID

Conceptos: Funcionamiento (I) Descubrimiento: La estación ha de conocer la existencia del PA al que conectarse. Escaneo Pasivo: Espera recibir la señal de PA Escaneo Activo: La estación lanza tramas a un PA determinado y espera una respuesta Autenticación: La estación ha de autenticarse para conectarse a la red Asociación: La estación ha de asociarse para poder intercambiar datos con otras. Cifrado: Protección de los datos que se envían a través de la red.

Conceptos: Funcionamiento (II) Tipos de tramas Wireless Tramas de Gestión: Ayudan al las estaciones a localizar y asociarse a PA disponibles. Se transmiten igual que las demás pero no se envía a las capas superiores. Nivel 2 Tramas Baliza o “Beacon Frames” envían: Sincronización horaria Anchos de banda, canal, tipo de señal, etc.. SSID Las redes que no emiten el SSID en las BFs se denominan “redes cerradas” Tramas de Control: Usadas para el control de acceso al medio. Tramas de Datos: Usadas para la transmisión de los datos

IEEE 802.11 Estándar de la IEEE: Opera en frecuencias de 2.4 a 5 GHz 802.11: 1 a 2 Mbps a 2.4GHz 802.11a: 54 Mbps a 5GHz 802.11b: 11Mbps a 2.4GHz 802.11g : 54 Mbps a 2.4GHz Además: d ( Cambios de MAC ), e ( QoS ), j ( Japón ), n ( x4, x8 ) ... Cada fabricante implementa sus propias soluciones para mejorar el rendimiento en la transferencia de datos. (108 Mbps)

Seguridad en IEEE 802.11 Inciso: Autenticación, Encriptación/Cifrado, Firmado Autenticación Open System Authentication Shared Key Authentication (WEP) Ambos permiten autenticación por filtrado de MAC Encriptación e Integridad de datos WEP (Wired Equivalent Privacy)  Usa un algoritmo RC4 de cifrado con claves de 40-bit o 104-bit Calcula un ICV de 32-bit a partir de los datos a enviar Genera un IV de 24-bit ¡Se usa el mismo secreto compartido tanto para autenticar (en el desafío/respuesta) como para encriptar!

Cifrado y descifrado WEP Cifrado Descifrado

DEMO: Técnicas Hacker de ataque a redes Wireless Ataque a WLAN protegida con: Ocultación de SSID Control de acceso por MAC Address Clave WEP

Ataque a Redes Wireless 802.11 Hemos sacado el SSID oculto y tipo de cifrado Averiguado: el canal de emisión BSSID y direcciones MAC Obtenemos la clave WEP Ya vemos el tráfico: Dirección IP, Puerta de enlace... Etc... “ Spoofeamos” la MAC Configuramos la red con los datos recogidos

La raíz de los problemas de 802.11 La clave WEP es compartida entre todos los clientes No se contempla la forma de distribuirla ni su cambio en el tiempo. ¡El estándar 802.11 especifica que cambiar el IV en cada paquete es opcional!. Y cada fabricante es libre de gestionarlo como quiera. Reutilización del IV El IV es de 24-bit -> se repite cada 16.777.216 tramas! Debilidad de RC4 El ICV es un CRC32 independiente del secreto compartido Conocido el texto de una trama puede sacarse el de cualquiera sin conocer la clave WEP (bit-flipping) Más en: http:// www.isaac.cs.berkeley.edu / isaac / wep - faq.html Crackearlas es “trivial”

Así es que con 802.11... Rogue APs. DoS, ataques por Asociación/Disociación. Fácil monitorización. No extensible a otros métodos de autenticación. Imposible autenticar por usuario No extensible a otros métodos de gestión de la clave compartida Hay que implementar nuevos mecanismos de Autenticación , Cifrado y Firmado

Implantación de Redes Wireless Seguras

Soluciones Wireless Seguras WPA y WPA2 WPA: Certificación de la WI-FI Alliance para las soluciones Wireless que cumplan ciertos requisitos de seguridad. Surgió mientras estaba listo el estándar IEEE802.11i WPA2: Certificación de la WI-FI Alliance para las soluciones Wireless que cumplan los requisitos de seguridad dictados por IEEE 802.11i

Cambios requeridos por WPA y WPA2 (IEEE802.11i) Autenticación WPA y WPA2: Open System Authentication para la asociación Para la autenticación mutua y del usuario: Enterprise  802.1X sobre 802.11 Personal  PSK (Pre-Sahred Key) ¡Ojo! Cifrado e Integridad de Datos WPA: TKIP (Temporary Key Integrity Protocol) WPA2: AES (Advanced Encryption Standard), aka Counter Mode Cipher Block Chaining-Message Authentication Code (CBC-MAC) protocol (CCMP)

Autenticación 802.1X sobre 802.11 802.1X surge como un método de autenticación de “puertos” redes LAN Implementa un Protocolo de Autenticación Extensible (EAP)  Nivel 2 Diseñado originalmente para ser usado en PPP y adaptado por 802.1X para ser encapsulado y enviado en redes LAN o Wireless No tiene seguridad “built-in”. Los protocolos de autenticación deben implementar sus propios métodos de seguridad. El método de autenticación es elegido por los equipos durante la negociación de forma transparente al AP Aplicado a redes Wireless 802.11 Evita la aparición de Rogue APs usando autenticación mutua. Evita accesos no autorizados autenticando tanto a los usuarios como a sus equipos. Produce una PMK (Pairwise Master Key) de 256-bit por cada sesión para cada cliente Mas detalles sobre su funcionamiento en: http:// www.microsoft.com /technet/ community / columns / cableguy /cg0402. mspx

Métodos de Autenticación EAP nos permite elegir TLS: Transport Layer Security (certificados de cliente y servidor) IKE: Internet Key Exchange Kerberos Otros (MD5, LEAP, etc.) PEAP: Protected Extensible Authentication Protocol. Evita que la conversación EAP vaya sin encriptar Genera un canal TLS usando el certificado del servidor RADIUS Posteriormente podemos implementar de nuevo un método EAP de autenticación mutua MS-CHAP v2 (usuario y contraseña) TLS (certificados de cliente y servidor)

Esquema de Autenticación Cliente Punto Acceso IAS Asociación Establecimiento de canal seguro TLS Autenticación MS-CHAP V2 sobre TLS Resultado Autenticación Disasociación Acceso Permitido

Generación de las claves de cifrado Cliente Punto Acceso IAS MK (Master Key) MK (Master Key) PMK (Pairwise Master Key) PMK (Pairwise Master Key) PMK (Pairwise Master Key) PTK (Pairwise temp. Key) PTK (Pairwise Temp. Key) GTK (Group temp. Key) GTK (Group temp. Key) 4 claves para cifrado UNICAST 1clave para cifrado Multicast

TKIP (Temporary Key Integrity Protocol) Utiliza cifrado entre la estación cliente y el Punto de Acceso con clave simétrica. Utiliza 4 claves distintas entre Punto de Acceso y cada Cliente Wireless para tráfico Unicast y 2 claves para tráfico broadcast y/o multicast. Las claves se recalculan para cada paquete con una función de mezclado para cada paquete Usa IV de 48-bit

Integridad de datos en TKIP: Michael Provee de integridad y “antireplay” Calcula un “Message Integrity Code” (MIC) de 8 bytes Estos 8 bytes se introducen entre los datos y los 4 Bytes del ICV de la trama 802.11 Se cifra junto con los datos y el ICV Mas información en: http:// www.microsoft.com /technet/ community / columns / cableguy /cg1104. mspx

AES Protocolo sustituto de DES Utiliza el algoritmo de cifrado por bloques de Rijndael Permite claves de 128, 196 y 256 bits Es el algoritmo de cifrado más seguro que podemos utilizar en redes WLAN. No vulnerado a fecha de hoy Mas información en: http:// www.microsoft.com /technet/ community / columns / cableguy /cg0805. mspx

RESUMEN: PEAP-MS-CHAP-v2 PEAP-TLS AES EAP-TLS 802.1x 802.11i WPA2 PEAP-MS-CHAP-v2 PEAP-TLS TKIP EAP-TLS 802.1x 802.11 WPA AES PEAP-MS-CHAP-v2 TKIP PEAP-TLS WEP EAP-TLS 802.1x 802.11 Mundo Real Shared WEP Open - 802.11 Wireless Original Cifrado/ Firmado Métodos Autenticación Estándar Autenticación Estándar Wireless Acuerdo

RECOMENDACIONES (de mas a menos seguras): Empresa: WPA2: AES y PEAP-TLS WPA2: AES y PEAP-MS-CHAP v2 WPA: TKIP y PEAP-TLS WPA: TKIP y PEAP-MS-CHAP v2 SOHO (Small Office, Home Office) WPA2: AES y secreto compartido WPA: TKIP y secreto compartido

DEMO: Implantación de una red Wireless Segura

Pasos Configurar puntos de acceso Agrupar usuarios y máquinas Configurar IAS (RADIUS) Dar de alta los AP como clientes Configurar la política de acceso Definir políticas Wireless Definir políticas para obtención de certificados

REFERENCIAS http:// www.microsoft.com /spain/servidores/windowsserver2003/ technologies / networking / wifi / default.aspx IEEE 802.11 Wireless LAN Security with Microsoft Windows XP Step -by- Step Guide for Setting Up Secure Wireless Access in a Test Lab Enterprise Deployment of Secure 802.11 Networks Using Microsoft Windows Configuring Windows XP IEEE 802.11 Wireless Networks for the Home and Small Business Troubleshooting Windows XP IEEE 802.11 Wireless Access http:// www.wi - fi.org / OpenSection / index.asp Configuring Wireless Settings Using Windows Server 2003 Group Policy TKIP: Wi - Fi Protected Access Data Encryption and Integrity AES: Wi - Fi Protected Access 2 Data Encryption and Integrity

Grupos Reducidos de 10 a 15 asistentes. Cada asistente tiene un escenario virtualizado para ejecución de laboratorios. Un técnico por grupo imparte explicaciones teóricas y plantea y resuelve las practicas con los asistentes al mismo tiempo que resuelve dudas. 6 horas de duración cada uno y 24 horas los seminarios de Contramedidas Hacker. Madrid Vigo Salamanca Pamplona Barcelona Santander Valladolid Valencia. Tenerife y Málaga/Sevilla próximamente. http://www.microsoft.com/spain/HOLdesarrollo Desarrollo http://www.microsoft.com/spain/HOLsistemas Sistemas

Actualizaciones de Seguridad Expedientes de Seguridad, Bugs y Exploits. Shellcodes. DEMO: Generación y ejecución de Exploits Terminología y consideraciones acerca de las Actualizaciones de Seguridad Herramientas de Monitorización y Actualización de sistemas. MBSA, EXBPA. MU, WSUS y SMS. Windows Server Update Services DEMO: Implantación WSUS, Administración y Despliegue de Actualizaciones.

Gestión de la Seguridad Estándares Productos desplegados Desarrollos propios Políticas de seguridad Gestión de actualizaciones Gestión de cambios Prevención de riesgos Auditorias Concienciación Formación Personas Tecnología Procesos

Bug Un error de software o computer bug , que significa bicho de computadora , es el resultado de un fallo de programación introducido en el proceso de creación de programas de computadora . El término bug fue acreditado erróneamente a Grace Murray Hopper , una pionera en la historia de la computación , pero Thomas Edison ya lo empleaba en sus trabajos para describir defectos en sistemas mecánicos por el año 1870 . Fuente: Wikipedia en Español

Exploit Exploit (viene de to exploit - aprovechar) - código escrito con el fin de aprovechar un error de programación para obtener diversos privilegios. software . Un buen número de exploits tienen su origen en un conjunto de fallos similares. Algunos de los grupos de vulnerabilidades más conocidos son: Vulnerabilidades de desbordamiento de pila o buffer overflow . Vulnerabilidades de condición de carrera (Race condition). Vulnerabilidades de error de formato de cadena (format string bugs). Vulnerabilidades de Cross Site Scripting (XSS) . Vulnerabilidades de inyección SQL ( SQL injection ). Vulnerabilidades de inyección de caracteres ( CRLF ). Fuente: Wikipedia en Español

Payload El payload de un virus o un gusano es cualquier acción que se programa para que se lleve a cabo además de su propia propagación. El término se usa para cualquiera de las funciones, independientemente de que lleguen a funcionar o no Fuente: Wikipedia

Proceso explotación de una Vulnerabilidad 1.- Se descubre una vulnerabilidad a) Por el fabricante b) Por un tercero 2.- Se aprende a explotarlo a) Ingeniería inversa de Código b) Ingeniería inversa de Patch 3.- Se usa un Payload para automatizar

Comunidades Hacker infohacking.com

DEMO: Generación y ejecución de Exploits

Terminología y Consideraciones acerca de las actualizaciones de Seguridad Update Microsoft Security Response Team Grupo de producto Cliente Descubrimiento vulnerabilidad tiempo Riesgo Microsoft Security Response Center Amenaza Impacto T impacto T riesgo

Slammer BugBear Slapper Ramen Klez Scalper Nimda CodeRed Blaster Lion Nombre del Virus Número de días transcurridos entre la publicación del update de seguridad y el impacto del virus Win32 Linux/Unix

Grados de Severidad en Microsoft La explotación es tremendamente dificil o su impacto es mínimo. Bajo Vulnerabilidad seria pero su explotación se be mitigada por un grado significativo de factores como la configuración, la auditoría, la necesidad de entornos muy concretos o la participación del usuario. Moderado Explotación puede tener como resultado el compromiso de la Seguridad de un sistema (Confidencialidad, Integridad, Disponibilidad de datos o servicios). Importante Explotación del mismo puede permitir la propagación de un gusano a través de Internet como Code Red o Nimda sin intervención de ninguna acción de usuarios. Crítico Definición Severidad

Herramientas de Monitorización y Auditoria El objetivo es dejar un Servidor en Día-0. Zero Day Server es aquel que tiene todo el software que corre en su sistema actualizado y no tiene ningún bug conocido. Es el máximo nivel de seguridad que se puede alcanzar con el software que corre en un sistema. Existen Zero Day Exploits Auditorias de seguridad No son las únicas que deben hacerse Se deben realizar de forma automática y de forma manual [“artesana”]. Con la visión de un atacante y con la visión del administrador.

Auditoría Caja Negra Se realiza desde fuera Ofrece la visión de un hacker No puede ser ejecutada desde dentro  Falsos positivos No garantiza “Servidor Seguro” No todos los escáner ofrecen los mismos resultados. SSS, Nessus, GFI Languard, Retina, ISS Real Secure, etc …

Scanners de Vulnerabilidades Satan, Saint, Sara Shadow Security Scanner http://www.safety-lab.com GFI Languard Network Security Scanner http:///www.gfihispana.com Retina http://www.eeye.com Nessus http://www.nessus.org NetBrute, R3X

Auditoría Caja Blanca Se realiza internamente Con privilegios y visualización completa del sistema Se utilizan herramientas proporcionadas por el fabricante o propias MBSA EXBPA MOM 2005 … .

MBSA Ayuda a identificar sistemas Windows vulnerables. Escanea buscando actualizaciones no aplicadas y fallos en la configuración del software. Escanea distintas versiones de Windows y distintas aplicaciones. Escanea en local o múltiples máquinas en remoto vía GUI o línea de comandos. Genera informes XML sobre los resultados de cada equipo. Corre en Windows Server 2003, Windows 2000 y Windows XP Se integra con SMS 2003 SP1, con SUS y WSUS

EXBPA Examina un despliegue de Exchange Server y determina si esta configurado siguiendo las recomendaciones de Microsoft. Genera una lista de puntos, como configuraciones mejorables, u opciones no recomendadas o soportadas. Juzga la salud general del sistema. Ayuda a resolver los problemas encontrados. Busca también Actualizaciones de Seguridad que falten.

Herramientas para la Gestión de Actualizaciones Usuario Final y Pequeña Empresa: Microsoft Update Pequeña y Mediana Empresa: Software Update Services Mediana Empresa y Corporaciones: SMS and the SMS Software Update Services Feature Pack

Productos de Terceros http://www.stbernard.com UpdateExpert St. Bernard Software http://www.patchlink.com PatchLink Update PatchLink Corp. http://www.novadigm.com Radia Patch Manager Novadigm, Inc. http://www.shavlik.com HFNetChk Pro Shavlik Technologies http://www.gfi.com GFI LANguard Network Security Scanner GFI Software, Ltd. http://www.securitybastion.com Service Pack Manager 2000 Gravity Storm Software, LLC http://www.landesk.com LANDesk Patch Manager LANDesk Software, Ltd http://www.configuresoft.com Security Update Manager Configuresoft, Inc. http://www.ecora.com Ecora Patch Manager Ecora, Inc. BigFix Patch Manager Altiris Patch Management Producto http://www.bigfix.com BigFix, Inc. http://www.altiris.com Altiris, Inc. URL Compañía

¿Qué es WSUS? Un “Feature Pack” RTW (Release to Web) de Microsoft Windows Server Gratuito: http:// www.microsoft.com / windowsserversystem / updateservices / evaluation / sysreqs.mspx No necesita ningún tipo de CAL adicional Una solución funcional: Automatiza el proceso de gestión de parches y actualizaciones todo lo posible Gestiona parches de otros productos además de Windows Incluye las funcionalidades que le demandabais SUS 1.0 Mejora y facilita las tareas del administrador Componente clave de las actuales y futuras soluciones de gestión de Parches y Actualizaciones de Microsoft Aprovechado por otras herramientas (i.e., SMS & MBSA) Expone un rico conjunto de API para facilitar la personalización y extensibilidad Escalabilidad hacia (Microsoft Update)

Contenido y Productos Soportados Contenido Microsoft Windows, Microsoft Office, Microsoft SQL Server, Microsoft Exchange Server Se agregarán productos adicionales (i.e. ISA Server 2004) Sistemas Operativos Cliente/agente Windows 2000 SP3 y posterior, Windows XP y posterior (Tb. versiones y x64) Windows 2003 (solo 32-bit), Windows 2003 SP1 (x64 y ia64) Servidor Windows 2000 SP4 y posterior Windows 2003 y posterior (solo 32-bit) Soporte Internacional 25 Windows client locales 17 Windows Server locales

Servidor WSUS Cómo funciona El Administrador se suscribe a las categorías de actualizaciones El servidor descarga las actualizaciones desde Microsoft Update Los clientes se registran en el servidor El agente instala los parches aprobados por el administrador El Administrador pone a los clientes en diferentes target groups El Administrador aprueba las actualizaciones Microsoft Update Clientes Windows XP Target Group 1 Clientes Windows Server Target Group 2 Administrador

Arquitectura Piezas de la solución Windows Server Update Services Automatic Updates client agent Microsoft Update Group Policy y Active Directory Piezas del servidor IIS / IE6 SP1 BITS y WinHTTP ( KB842773) MSI 3.1 Microsoft SQL Server WMSDE/MSDE .NET Framework 1.1 SP1 Scripting vía SDK

Arquitectura del Servidor Interfaz de administración Web. Motor de sincronización para descargar las actualizaciones de Microsoft Update. Base de datos SQL que mantiene el resto de los datos que no son actualizaciones. Permite una estructura de servidores jerárquica Usa BITS (Background Intelligent Transfer Service) para un uso eficiente del ancho de banda Escalable

Arquitectura del Servidor (cont.) Server API File Store (NTFS) Metadata Store MSDE/SQL Client/Server Web service Server/Server Web service Reporting Web service Admin UI Content sync Catalog sync Clientes Servidores WSUS/MU Estación del Administrador

Arquitectura del cliente El agente (Win32 Service) implementa la mayor parte de la funcionalidad Extensibilidad basada en manejadores de tipo Update Manejadores para MSI, update.exe, drivers etc. Se auto-actualiza automáticamente a nuevas versiones ofrecidas por el servidor. Controlable via GPO Seguro

Arquitectura del cliente WU o WSUS IE (WU Site) Scripts a medida API Cliente WU Automatic updates Update manager Update handlers Almacén de contenido Metadata DB WU Cliente BITS

Cosas a tener en cuenta ¿Que Base de datos voy a usar? ¿Necesito una jerarquía? ¿Necesito replicas? ¿Que método vamos a usar para instalar las actualizaciones? ¿Donde voy a almacenar las actualizaciones? ¿En que idiomas tengo los productos que voy a actualizar? ¿Cómo voy a configurar los clientes? ¿Qué opciones de seguridad tengo que considerar?

¿Que Base de datos voy a usar? La mejor  : Instalación local de WMSDE / MSDE. SQL Server ya existente (local o remoto). El principal factor es la infraestructura existente. WMSDE/MSDE valdrá en la mayoría de los casos. Utilizar SQL solamente si ya está instalado y tiene capacidad de aguantar más carga No modificar nunca directamente los datos en SQL. Usar WSUSUtil.exe para backup

Jerarquías y Réplicas Autónomo = padre/hijo Solo los elementos comunes suponen ancho de banda El almacén del padre es el común múltiplo de todos las aprobaciones de los hijos. Replica = Configuración espejo. Solamente la pertenencia a grupos es única. Puede repartir parcialmente las tareas de administración. Útil para distribuir la sobrecarga de red. Se configura durante la instalación y no puede cambiarse luego. El despliegue puede consistir en múltiples capas de servidores WSUS

Redes desconectadas Desktop Clients Microsoft Update WSUS Server WSUS Server

¿Qué método vamos a usar para instalar las actualizaciones? Instalación Express vs. estándar Instalación estándar: Descarga y reemplaza el fichero completo. Más costoso para el cliente y la red local Instalación Express: Descarga e instala solo “deltas” (diferencias) Más costoso para el servidor WSUS y el enlace WAN

¿Donde voy a almacenar las actualizaciones? Opciones de almacenamiento Dos opciones: Sistema de archivos local Microsoft Update (solo almacenamos la información acerca de las actualizaciones) Depende de dónde estén los clientes en relación al WSUS Clientes en “red local” – Local file system Clientes “fuera” – Microsoft Update

Por defecto son todos (3 tipos de Chino, dos de Japonés además del Coreano....) Eso es MUCHO tráfico y MUCHAS Gigas WSUS solamente podrá informar sobre un cliente si los datos para su idioma se han descargado Recomendación: No almacenar los datos localmente si hay gran variedad y variabilidad de idiomas ¿En que idiomas tengo los productos que voy a actualizar? Locales

¿Qué opciones de seguridad tengo que considerar? WSUS siempre detrás de un firewall Sobre el sistema operativo securizado Utilizar siempre SSL Los clientes deben validarse con su certificado de máquina para recibir las actualizaciones Usar una CA pública si no se tiene la opción de distribuir una CA raíz corporativa (nada más sencillo con Directorio Activo)

Opciones de configuración del cliente Nombre del servidor WSUS (en formato http://server:8530). Target Group (debe haberse creado previamente en WSUS). Tiempo de búsqueda de nuevas actualizaciones después de reiniciar. Frecuencia de actualización del cliente No reiniciar automáticamente tras la instalación. Demorar el reinicio Comportamiento de la descarga y la instalación Frecuencia de los recordatorios para reiniciar tras la instalación Instalar actualizaciones al Apagar Apariencia del botón de Apagar Usuarios no administradores pueden aprobar descargas e instalaciones

¿Cómo voy a configurar los clientes? Manualmente / Scripts HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate Por políticas (WUAU.ADM) Locales = Manualmente (gpedit.msc) GPOs en Directorio Activo Ver la “Deployment Guide ”

Migración desde SUS 1.0 Puntos a tener en cuenta: La instalación NO actualiza. Se migra el contenido y las aprobaciones, no la configuración. Dos Escenarios Al mismo servidor A un servidor remoto

RECURSOS Página principal de WSUS: http://www.microsoft.com/windowsserversystem/updateservices/default.mspx SDK: http://msdn.microsoft.com/library/default.asp?url=/library/en-us/wus/wus/portal.asp Documentación Online: http://www.microsoft.com/windowsserversystem/updateservices/techinfo/default.mspx Deployment Guide Operations Guide Troubleshooter

Defensa Nivel 7: Firewall de Aplicación: ISA Server 2004 Chema Alonso MS MVP Windows Security Informática64

Firewalls Se introducen entre redes para cortar tráfico. Implican la separación física de las redes para permitir que pasen o no los mensajes. Pueden inspeccionar la torre completa de comunicaciones y reconocer sesiones.

Firewalls Firewall de Red: Filtrado de direcciones IP, puertos, tipo de protocolos y flags de cabeceras. Filtrado discreto de paquetes. Implementados en Routers de conexión. Implementados por Software en protocolos de comunicaciones.

Firewalls Firewall Nivel de Aplicación: Inspeccionan y reconocen el protocolo utilizado en una sesión. Pueden utilizar para la toma de decisiones todos los objetos de seguridad de una red integrándolos en un árbol LDAP. Reglas complejas que pueden requerir el establecimiento de sesiones completas entre firewall y el cliente.

ISA Server: Novedades Enterprise Edition Gestión Empresarial Arrays Network Load Balancing ISA Server 2004 Appliance Pre-configurado y Pre-testeado Configuración bastionada para reducir la superficie de ataque Sencillez ISA Server SE 2004 SP1

Arquitectura ISA Server 2004 Firewall multired: Nivel de Red. Nivel de Aplicación. Servidor VPN: Túneles. Clientes. Servidor Caché.

Soporte Multired ISA Server 2004 divide los sistemas de red en función de las necesidades planteadas en el marco de la seguridad. Definición de redes y grupos de redes. Definición de la interconexión entre redes mediante NAT o enrutamiento. Permite gestión independiente. Presenta soporte para redes. Internas. Perimetrales. Externas. Interconexión sitios VPN. VPN de Cuarentena.

Características de seguridad. Filtros IP. Reglas de acceso. Publicación de servicios. Filtros de aplicación.

Filtros IP Filtrado IP a nivel de paquetes. Inspección de parámetros en cabeceras. Bloqueos de fragmentos IP.

Reglas de acceso Controlan el tráfico de información a través de las redes. Determinan la configuración de origen, destino, protocolos y usuarios que realizan la conexión. La aplicación de las reglas se determinan en un orden, quedando predefinida una regla que deniega cualquier tráfico de red.

Reglas de acceso ISA Server 2004 proporciona una serie de reglas con los que se puede controlar la información que circula por la red en función de: Protocolos. Usuarios. Tipos de contenido. Franjas de tiempo. Objetos de red.

Reglas de Publicación Se utilizan para publicar servidores. Asistentes de publicación: Web Server. Secure Web Server. Mail Server. Definición de servidores por servicios.

Necesidades Inspeccionar el tráfico al nivel de aplicación. Permitir o denegar el paso de datos a determinados contenidos o aplicaciones. Proporcionan controles sobre determinados ataques. Sistema extensible sobre filtrados de conexiones.

Métodos de implementación Implementadas directamente sobre las reglas de acceso y las publicaciones. Como un añadido sobre reglas y publicaciones. Como funcionalidad sobre ISA a nivel Firewall.

Filtro HTTP Las necesidades de la empresa permiten el tráfico a través del puerto 80. Por el puerto 80 no solo viaja tráfico HTTP puro, sino que puede disfrazar otras comunicaciones. Malware. P2P. Servicios de mensajería … Determinados ataques contra Servicios Web pueden ser controlados a este nivel.

Controles HTTP Mediante el filtro HTTP pueden ser controlados estos aspectos de la comunicación: Técnicas de Buffer Overflow. Denegación de servicio. Subida de datos en escenarios de publicación. Control de métodos. Control de cabeceras.

Filtro contenido HTTP Controlan el tráfico de datos a través de firmas. En transmisión de datos. En recepción de datos. Impedir tráfico a palabras claves. Control de acceso a sitios web. Detención de comunicaciones de aplicaciones por firma y cabecera.

Control de aplicaciones HTTP Morpheus Server Response header Morpheus e2dk User-Agent: Request headers Edonkey Gnutella Gnucleus User-Agent: Request headers Gnutella KaZaA X-Kazaa-Network: Request headers Kazaa KazaaClient User-Agent: Request headers Kazaa Kazaa, Kazaaclient: P2P-Agent Request headers Kazaa msg.yahoo.com Host Request headers Yahoo Messenger Gecko/ User-Agent: Request headers AOL Messenger (and Gecko browsers) MSMSGS User-Agent: Request headers Windows Messenger Firma Cabecera HTTP Petición Aplicación

Filtro ProxyWeb Se aplica de forma directa sobre HTTP. Permite la extensión del filtro HTTP y de autentificación sobre otros protocolos. Garantiza el control sobre comunicaciones en entornos propietarios.

Protocolos RPC Un número considerables de servicios se establecen mediante RPC. Problemática de las transmisiones RPC. Inicio de comunicación sobre 135 para localizar el puerto de comunicación. Establece comunicación en puertos por encima de 1024. El administrador no debería abrir todos los puertos por encima del 1024.

Filtro RPC Las comunicaciones RPC se pueden parametrizar por el UUID. Identificador del servicio RPC. Identificador del interface. ISA Server 2004 presenta un asistente para la creación de protocolos RPC basados en UUID. Manual. Automáticamente conectando a un servidor y seleccionando sus UUID correspondientes. El servicio de Firewall aplica con posterioridad los filtros para permitir la transferencia de datos a UUID determinados.

Filtro SMTP ISA Server 2004 para el protocolo SMTP presenta un filtro que realiza el control de los comandos SMTP. Se puede ampliar la funcionalidad del filtro SMTP mediante Message Screener.

Message Screener Message Screener se instala como un componente adicional de MS ISA 2004. Puede ser instalado sobre cualquier servidor que ejecute IIS 5.0 o 6.0 y tenga instalado el Servidor SMTP. No se recomienda su implementación sobre el servidor MS Exchange Server 2003, ya que podría interferir en los filtros propios.

Implicaciones de Implantación En función de los escenarios de implantación, habrá que tener en cuenta las siguientes medidas: Publicar DNS para reconocer los Servidores de correo Internos. Publicar o crear las reglas de acceso necesarias para los servidores SMTP. Establecer conexiones entre servidores SMTP.

Message Screener Message Screener aporta mayores funcionalidades que el filtro smtp controlando: Palabras en cabecera o cuerpo del mensaje. Permite parar Virus difundidos por e-mail cuando aún no hay vacunas. Bloqueos de remitente y dominios. Correos con attachments.

Message Screener Cuando se aplica una regla de filtrado se pueden establecer 3 acciones diferentes: Eliminar el mensaje. Retener el mensaje para inspeccionarlo posteriormente. Enviar una notificación a una dirección de correo.

Filtro FTP Controla la conexión a través de los puertos dinámicos FTP. Realiza la conversión de las direcciones para los clientes SecureNat. Controla los procesos de escritura, prioritariamente en entornos de publicación.

Filtros de autentificación ISA Server 2004 presenta una serie de mecanismos para garantizar los procedimientos de autentificación. Integración con Directorio Activo. Filtro Web RSA para autentificación de usuarios SecurID. Filtro de autentificación Radius. Filtros de formulario de autentificación para OWA.

Bridging HTTP-s con ISA Server 2004

“Problemática” HTTP-s Conexiones HTTP-s ofrecen: Autenticación mediante certificados. Cifrado mediante túneles SSL. Conexiones HTTP-s condicionan: Transmisión datos extremo-extremo. Paso a través de sistemas de protección de forma oculta.

“Problemática” HTTP-s Conexiones HTTP-s Firewalls e IDS no pueden inspeccionar tráfico. Ataques pasan sin ser detectados por firewalls: SQL Injections. Cross-Site Scripting (XSS) Red Code. Unicode.

“Problemática” HTTP-s Cifrado y autenticado es útil contra: Sniffers. Man In The Middle. Pero hay que dejar que los sistemas de protección inspeccionen el contenido. Firewalls. IDS.

Bridging HTTP-s El proceso de Bridging en conexiones HTTP-s permite que las conexiones se cifren en dos tramos. Entre cliente y Firewall. Entre Firewall y Servidor.

Bridging HTTP-s Ventajas: El Firewall puede inspeccionar el contenido. Se pueden aplicar reglas mediante filtros. Se pueden detectar ataques. No se pierde seguridad. Si se desea, se puede dejar descifrado para inspecciones NIDS.

Bridging HTTP-s MS ISA Server 2004 permite: Tunneling HTTPS por cualquier puerto. MS ISA Server 2000 hay que configurar puertos SSL. Bridging HTTPS con: Cifrado entre cliente-firewall y firewall servidor. Cifrado entre cliente-firewall. Cifrado entre firewall-Servidor.

Addons ISA Server 2004 presenta una arquitectura abierta para: Desarrollar (SDK ISA Server). Implementar nuevas herramientas. Software de terceros amplían las funcionalidades de ISA Server 2004.

Tipos de Addons Implementaciones de antivirus para ISA Server. Gestión de tráfico web. Websense. Gestión de tráfico y aplicación de cuotas. Ampliación de los componentes Sockets. Mejoras en sistemas de detección de intrusos.

Detección de Intrusos El servicio proporciona un mecanismo para identificar cuando se está produciendo un ataque. ISA Server compara el tráfico de red con registros y patrones de ataques bien conocidos. Cuando un ataque es reconocido se genera una alerta.

Controles Ataques Winnuke. Ataques tipo Land. Ping de la muerte. Ataques Half-Scan. Bombas UDP. Escaneo de puertos.

Detección de ataques DNS Desbordamiento de nombres de HOST sobre DNS. Desbordamiento de longitud DNS. Control de trasferencias de zona.

RECURSOS: Guía de la consolidación de Seguridad de ISA Server 2004. http:// www.microsoft.com / spain /technet/recursos/ articulos / securityhardeningguide.mspx

IT Forum en Barcelona (15-17 Nov) http:// www.mseventseurope.com / msitforum /05/ pre / content / default.aspx MÁS DE 260 SESIONES TÉCNICAS E INTERACTIVAS , incluyendo; Chalk-&-Talks y Panel Discussions para fomentar sus aptitudes técnicas. Una selección de SEMINARIOS PRECONFERNCIA para acelerar su aprendizaje. MÁS DE 65 HANDS-ON LABS (PRÁCTICAS CON ORDENADOR) para ponerse al día con las últimas novedades. CONTENIDO NUEVO EN ; Windows Server R2, SQL Server 2005, BizTalk Server 2006, Windows Vista y la siguiente versión de Microsoft Office así como Navision, Microsoft CRM y Great Plains. LOS MEJORES CONFERENCIANTES de los Grupos de Producto de Microsoft y expertos internacionales de la industria. PRESENTACIÓN DE KEYNOTE – Bob Muglia, Vicepresidente Senior, División de Windows Server. PREGUNTE A LOS EXPERTOS que desafían problemas técnicos en un entorno renovado. COMUNIDAD DEL IT FORUM DE MICROSOFT – Conecte con los profesionales que vienen a inspirarnos compartiendo sus ideas y conocimiento. PABELLÓN DE EXHIBICIÓN donde más de 100 partners y patrocinadores mostrarán soluciones que le ayudarán con su trabajo. INCREMENTE SU PRODUCTIVIDAD y respalde su negocio con nuevas oportunidades e ideas.

TechNet Flash Información técnica del producto Los últimos Boletines de Seguridad y actualizaciones de Microsoft Nuevos Service Packs y artículos Knowledge Base de Microsoft Downloads, Pruebas y Betas Convocatoria de Seminarios y Jornadas Técnicas TechNet Información de los Foros TechNet Próximos Videos Técnicos Online Trucos, pistas Suscríbete en http:// www.microsoft.com /spain/technet

TechNews Suscripción gratuita enviando un mail: mailto:technews@informatica64.com

Technet Webcasts Seminarios Online gratuitos en castellano 1 hora de duración Tecnología LiveMeeting En directo y también grabados Organizados por temáticas Directorio activo Exchange IIS 7 SQL 2005 Gestión de Actualizaciones de seguridad Novedades para Windows Server 2003 Despliegue de sistemas y aplicaciones Más información en: http:// www.microsoft.com /spain/technet/jornadas/webcasts/ default.asp

¿Preguntas? Chema Alonso Microsoft MVP Windows Security [email_address] . com David Cervigón Microsoft IT Evangelist [email_address] http:// blogs.technet.com / davidcervigon Jose Parada Microsoft IT Evangelist [email_address] http:// blogs.technet.com / padreparada

ALGORITMOS

Más contenido relacionado

La actualidad más candente

Similar a ALGORITMOS

ALGORITMOS