El documento describe varias estrategias y herramientas para fortalecer la seguridad de una implementación de SharePoint 2010, incluyendo fortalecer la arquitectura mediante principios como Mínimo Punto de Exposición, aplicar el modelo de seguridad de SharePoint, establecer planes de respaldo y auditoría, proteger contra fugas de datos y publicar contenido de manera segura.
Sesión de Forefront Unified Access Gateway UAG 2010 impartida por Chema Alonso y Alejandro Martín Bailón, de Informática64 [http://www.informatica64.com] durante el evento Asegúr@IT 7 que tuvo lugar en Barcelona, el día 24 de Marzo de 2010.
Presentación de FOCA 2.0 y MetaShield Protector impartida por Chema Alonso y Alejandro Martín Bailón, de Informática64, en el Asegúr@IT 7 que tuvo lugar en Barcelona el 24 de Marzo de 2010.
Codemotion 2013: Feliz 15 aniversario, SQL InjectionChema Alonso
Charla de Chema Alonso sobre la historia y evolución de las técnicas de SQL Injection en el evento Codemotion ES del año 2013 que tuvo lugar en la Escuela Universitaria de Informática de la Universidad Politécnica de Madrid
WebBrowsing Fingerprinting y Privacidad en entornos de Big DataChema Alonso
Charla de 20 minutos sobre cómo los entornos de Big Data pueden utilizar detalles de huellas digitales de las conexiones para poder seguir los usuarios más allá de los entornos en los que está identificado con su usuario.
Conferencia impartida en el Asegúr@IT Camp 2, en el año 2010, por Chema Alonso sobre cómo se pueden indexar XSS Reflejados para convertirlos en XSS Google Persistentes. El vídeo de la conferencia está en la siguiente URL: https://www.youtube.com/watch?v=0KYnnITHLNU
Presentación realizada el 3 de Julio en la que se presentaron los plugins de Latch para OS X, Latch para Windows [Personal/Enterprise] Edition y Latch para Linux. Los plugins están disponibles en: https://latch.elevenpaths.com/www/plugins_sdks.html
ASP.NET es un framework para aplicaciones web desarrollado y comercializado por Microsoft. Es usado por programadores y diseñadores para construir sitios web dinámicos, aplicaciones web y servicios web XML
Sesión de Forefront Unified Access Gateway UAG 2010 impartida por Chema Alonso y Alejandro Martín Bailón, de Informática64 [http://www.informatica64.com] durante el evento Asegúr@IT 7 que tuvo lugar en Barcelona, el día 24 de Marzo de 2010.
Presentación de FOCA 2.0 y MetaShield Protector impartida por Chema Alonso y Alejandro Martín Bailón, de Informática64, en el Asegúr@IT 7 que tuvo lugar en Barcelona el 24 de Marzo de 2010.
Codemotion 2013: Feliz 15 aniversario, SQL InjectionChema Alonso
Charla de Chema Alonso sobre la historia y evolución de las técnicas de SQL Injection en el evento Codemotion ES del año 2013 que tuvo lugar en la Escuela Universitaria de Informática de la Universidad Politécnica de Madrid
WebBrowsing Fingerprinting y Privacidad en entornos de Big DataChema Alonso
Charla de 20 minutos sobre cómo los entornos de Big Data pueden utilizar detalles de huellas digitales de las conexiones para poder seguir los usuarios más allá de los entornos en los que está identificado con su usuario.
Conferencia impartida en el Asegúr@IT Camp 2, en el año 2010, por Chema Alonso sobre cómo se pueden indexar XSS Reflejados para convertirlos en XSS Google Persistentes. El vídeo de la conferencia está en la siguiente URL: https://www.youtube.com/watch?v=0KYnnITHLNU
Presentación realizada el 3 de Julio en la que se presentaron los plugins de Latch para OS X, Latch para Windows [Personal/Enterprise] Edition y Latch para Linux. Los plugins están disponibles en: https://latch.elevenpaths.com/www/plugins_sdks.html
ASP.NET es un framework para aplicaciones web desarrollado y comercializado por Microsoft. Es usado por programadores y diseñadores para construir sitios web dinámicos, aplicaciones web y servicios web XML
Descubra cómo puede, de forma simple y rápida, configurar su plataforma de acuerdo a sus necesidades y como monitorear su integralmente infraestructura de TI usando Microsoft System Center.
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP7th_Sign
presentación utilizada en la plática de Seguridad en el Desarrollo de Aplicaciones Web PHP impartida por Jesus Reyna e Iván Rico en el flisol 2011 Mty NL México
Introducción a la monitorización y al stack de Prometheus, haciendo especialmente hincapié en el por qué y sus motivaciones. Se muestra brevemente el stack de Prometheus así como varios Exporters. Por ultimo, veremos varias alternativas para escalar con alta disponibilidad.
Windows 7, Compatibilidad De AplicacionesMicrosoft
En esta sesión presentamos temas que presentan problemas más frecuentes de compatibilidad de aplicaciones diseñadas para Windows XP en Windows 7. Explicamos porque estos problemas ocurren y como evitarles.
La labor de gestionar la seguridad de una empresa suele ser como bailar sobre el alambre. Hay que permitir que el negocio siga funcionando, estar a la última, proteger lo ya implantado e innovar en cosas nuevas. Eso sí, de forma más eficiente cada año y con menos presupuesto. Todo ello, con el objetivo de no que no pase nada. La conclusión de esto es que al final siempre queda Long Hanging Fruit para que cualquiera se aproveche.
Configurar y utilizar Latch en MagentoChema Alonso
Tutorial realizado por Joc sobre cómo instalar y configurar Latch en el framework Magento. El plugin puede descargarse desde https://github.com/jochhop/magento-latch y tienes un vídeo descriptivo de su uso en http://www.elladodelmal.com/2015/10/configurar-y-utilizar-latch-en-magento.html
Cazando Cibercriminales con: OSINT + Cloud Computing + Big DataChema Alonso
Diapositivas de la presentación impartida por Chema Alonso durante el congreso CELAES 2015 el 15 de Octubre en Panamá. En ella se habla de cómo en Eleven Paths y Telefónica se utilizan las tecnologías Tacyt, Sinfonier y Faast para luchar contra el e-crime.
New Paradigms of Digital Identity: Authentication & Authorization as a Servic...Chema Alonso
Technicall report created by Gartner analyst in which they explore Telefonica & Eleven Paths technologies to provide Authentication & Authorization as a Service. In it they analyse Mobile Connect, Latch, SealSign and SmartID
CritoReto 4: Buscando una aguja en un pajarChema Alonso
Los últimos meses la contrainteligencia británica ha avanzado a pasos agigantados en la localización de agentes rusos activos en suelo inglés. Los avances en criptoanálisis, del ahora ascendido Capitán Torregrosa, han permitido localizar el punto central de trabajo de los agentes rusos. Después de días vigilando “Royal China Club”, no se observa ningún movimiento, da la sensación que no es un lugar de encuentro habitual, aunque según las informaciones recopiladas los datos más sensibles de los operativos rusos se encuentran en esa localización. Por este motivo, se decide entrar en el club y copiar toda la información para analizarla. Entre las cosas más curiosas encontradas, se observa un póster en la pared con una imagen algo rara y una especie de crucigrama, así como un texto impreso en una mesa. Ningún aparato electrónico excepcional ni nada aparentemente cifrado. ¿Podrá la inteligencia británica dar por fin con los agentes rusos? El tiempo corre en su contra…
Talk delivered by Chema Alonso at RootedCON Satellite (Saturday 12th of September 2015) about how to do hacking & pentesting using dorks over Tacyt, a Big Data of Android Apps
Pentesting con PowerShell: Libro de 0xWordChema Alonso
Índice del libro "Pentesting con PowerShell" de 0xWord.com. Tienes más información y puedes adquirirlo en la siguiente URL: http://0xword.com/es/libros/69-pentesting-con-powershell.html
Recuperar dispositivos de sonido en Windows Vista y Windows 7Chema Alonso
Artículo de Windows Técnico que muestra cómo recuperar dispositivos de sonido en Windows Vista y Windows 7 cuando estos desaparecen. Más información en http://www.elladodelmal.com
Charla impartida por Chema Alonso en el congreso Internet 3.0 el 24 de Abril de 2015 en Alicante sobre cómo la gente que cree en las soluciones mágicas y gratuitas acaba siendo estafada o víctima de fraude. Todas las partes de la presentación llevan sus enlaces a los artículos correspondientes para ampliar información.
Conferencia impartida por Chema Alonso en el Primer Congreso Europeo de Ingenieros Informático realizado en Madrid el 20 de Abril de 2015 dentro de las actividades de la Semana de la Informática 2015. El vídeo de la conferencia está en la siguiente URL: https://www.youtube.com/watch?v=m6WPZmx7WoI
Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...Chema Alonso
Cuarta Edición del Curso Online de Especialización en Seguridad
Informática para la Ciberdefensa
Del 4 de mayo al 4 de junio de 2015
Orientado a:
- Responsables de seguridad.
- Cuerpos y fuerzas de seguridad del Estado.
- Agencias militares.
- Ingenieros de sistemas o similar.
- Estudiantes de tecnologías de la información
Auditoría de TrueCrypt: Informe final fase IIChema Alonso
Informe con los resultados de la fase II del proceso de auditoría del software de cifrado de TrueCrypt que buscaba bugs y posibles puertas traseras en el código.
La mayoría de la gente tiene una buena concepción del hardware de Apple. En este artículo, José Antonio Rodriguez García intenta desmontar algunos mitos.
Latch en Linux (Ubuntu): El cerrojo digitalChema Alonso
Artículo de cómo fortifica Linux (Ubuntu) con Latch: El cerrojo digital. El paper ha sido escrito por Bilal Jebari http://www.bilaljebari.tk/index.php/es/blog/5-latch-en-ubuntu
Índice de contenidos del libro "Hacking con Python" escrito por Daniel Echevarri y publicado por 0xWord. Más información en: http://0xword.com/es/libros/67-hacking-con-python.html
Talk delivered by Chema Alonso in CyberCamp ES 2014 about Shuabang Botnet discoverd by Eleven Paths. http://www.slideshare.net/elevenpaths/shuabang-with-new-techniques-in-google-play
Tu iPhone es tan (in)seguro como tu WindowsChema Alonso
Charla dada por Chema Alonso en Five Talks sobre cómo funciona la seguridad de iPhone. Más información y detalles en el libro Hacking iOS {iPhone & iPad} http://0xword.com/es/libros/39-libro-hacking-dispositivos-ios-iphone-ipad.html
Codemotion ES 2014: Love Always Takes Care & HumilityChema Alonso
Talk delivered by Chema Alonso in Codemotion 2014 ES {Madrid}. It is about passwords, second factor authentication and Second Factor Authorization using Latch... with a Breaking Bad touch.
Catalogo Cajas Fuertes BTV Amado Salvador Distribuidor OficialAMADO SALVADOR
Explora el catálogo completo de cajas fuertes BTV, disponible a través de Amado Salvador, distribuidor oficial de BTV. Este catálogo presenta una amplia variedad de cajas fuertes, cada una diseñada con la más alta calidad para ofrecer la máxima seguridad y satisfacer las diversas necesidades de protección de nuestros clientes.
En Amado Salvador, como distribuidor oficial de BTV, ofrecemos productos que destacan por su innovación, durabilidad y robustez. Las cajas fuertes BTV son reconocidas por su eficiencia en la protección contra robos, incendios y otros riesgos, lo que las convierte en una opción ideal tanto para uso doméstico como comercial.
Amado Salvador, distribuidor oficial BTV, asegura que cada producto cumpla con los más estrictos estándares de calidad y seguridad. Al adquirir una caja fuerte a través de Amado Salvador, distribuidor oficial BTV, los clientes pueden tener la tranquilidad de que están obteniendo una solución confiable y duradera para la protección de sus pertenencias.
Este catálogo incluye detalles técnicos, características y opciones de personalización de cada modelo de caja fuerte BTV. Desde cajas fuertes empotrables hasta modelos de alta seguridad, Amado Salvador, como distribuidor oficial de BTV, tiene la solución perfecta para cualquier necesidad de seguridad. No pierdas la oportunidad de conocer todos los beneficios y características de las cajas fuertes BTV y protege lo que más valoras con la calidad y seguridad que solo BTV y Amado Salvador, distribuidor oficial BTV, pueden ofrecerte.
Catalogo general Ariston Amado Salvador distribuidor oficial ValenciaAMADO SALVADOR
Distribuidor Oficial Ariston en Valencia: Amado Salvador distribuidor autorizado de Ariston, una marca líder en soluciones de calefacción y agua caliente sanitaria. Amado Salvador pone a tu disposición el catálogo completo de Ariston, encontrarás una amplia gama de productos diseñados para satisfacer las necesidades de hogares y empresas.
Calderas de condensación: Ofrecemos calderas de alta eficiencia energética que aprovechan al máximo el calor residual. Estas calderas Ariston son ideales para reducir el consumo de gas y minimizar las emisiones de CO2.
Bombas de calor: Las bombas de calor Ariston son una opción sostenible para la producción de agua caliente. Utilizan energía renovable del aire o el suelo para calentar el agua, lo que las convierte en una alternativa ecológica.
Termos eléctricos: Los termos eléctricos, como el modelo VELIS TECH DRY (sustito de los modelos Duo de Fleck), ofrecen diseño moderno y conectividad WIFI. Son ideales para hogares donde se necesita agua caliente de forma rápida y eficiente.
Aerotermia: Si buscas una solución aún más sostenible, considera la aerotermia. Esta tecnología extrae energía del aire exterior para calentar tu hogar y agua. Además, puede ser elegible para subvenciones locales.
Amado Salvador es el distribuidor oficial de Ariston en Valencia. Explora el catálogo y descubre cómo mejorar la comodidad y la eficiencia en tu hogar o negocio.
HPE presenta una competició destinada a estudiants, que busca fomentar habilitats tecnològiques i promoure la innovació en un entorn STEAM (Ciència, Tecnologia, Enginyeria, Arts i Matemàtiques). A través de diverses fases, els equips han de resoldre reptes mensuals basats en àrees com algorísmica, desenvolupament de programari, infraestructures tecnològiques, intel·ligència artificial i altres tecnologies. Els millors equips tenen l'oportunitat de desenvolupar un projecte més gran en una fase presencial final, on han de crear una solució concreta per a un conflicte real relacionat amb la sostenibilitat. Aquesta competició promou la inclusió, la sostenibilitat i l'accessibilitat tecnològica, alineant-se amb els Objectius de Desenvolupament Sostenible de l'ONU.
En este documento analizamos ciertos conceptos relacionados con la ficha 1 y 2. Y concluimos, dando el porque es importante desarrollar nuestras habilidades de pensamiento.
Sara Sofia Bedoya Montezuma.
9-1.
KAWARU CONSULTING presenta el projecte amb l'objectiu de permetre als ciutadans realitzar tràmits administratius de manera telemàtica, des de qualsevol lloc i dispositiu, amb seguretat jurídica. Aquesta plataforma redueix els desplaçaments físics i el temps invertit en tràmits, ja que es pot fer tot en línia. A més, proporciona evidències de la correcta realització dels tràmits, garantint-ne la validesa davant d'un jutge si cal. Inicialment concebuda per al Ministeri de Justícia, la plataforma s'ha expandit per adaptar-se a diverses organitzacions i països, oferint una solució flexible i fàcil de desplegar.
1. Fortificación de SharePoint 2010
Rubén Alonso
Microsoft MVP SharePoint
ralonso@infomatica64.com
http://www.puntocompartido.com/blogshare
2. Agenda
Fortificación de la arquitectura
Modelo de seguridad en SharePoint
Planes de respaldo
Gestión de la auditoría
Protección contra fugas de datos
Publicación segura
4. Fortificación de sistemas
Dependiente del rol/roles a desempeñar por el sistema, se
realizaran configuraciones ajustadas aplicando las reglas de
fortificación:
MPE (Mínimo Punto de Exposición): Un sistema deje ejecutar sólo
aquel software imprescindible para el desempeño de sus funciones
MPP (Mínimo Privilegio Posible): Todos los componentes de un
sistema deben ser ejecutados con los privilegios mínimos
imprescindibles
DeP (Defensa en Pronuncidad): Un sistema debe aplicar tantas
medidas de seguridad como pueda, asumiendo que todas las anteriores
han fallado, siempre y cuando una medida de seguridad no anule a
otras y la disponibilidad del sistema no se degrade
5. Administrador del servidor
Servidores de Microsoft configurados en base a roles
mediante la herramienta Server Manager
Aplica el principio del Mínimo Punto de Exposición
No configura reglas de firewall, opciones de seguridad en
servicios o configuraciones de registro ajustadas a la
seguridad
6. Asistente de Configuración de Seguridad
Disponible para plataformas Windows Server 2003 o superior a partir de SP1
Configuración automática del sistema en función de los roles que se ejecuten
Reduce la superficie de ataque mediante conjuntos de preguntas al usuario por
el entorno que se desea obtener para determinar los parámetros de seguridad
Se encarga de:
Deshabilitar servicios innecesarios
Desactiva extensiones web innecesarias en IIS
Bloque de puertos no utilizados y apertura de puertos segura utilizando IPSec
Configura parámetros de auditoría (acciones y resultados auditados en el
registro de eventso)
Importa plantillas de seguridad existentes
Reduce la exposición del protocolo para LDAP, NTLM y Server Message
Block
Plantillas de reducción de superficie en entornos SharePoint para el asistente
de configuración de seguridad mediante Microsoft SharePoint 2010
Administration Toolkit v1.0
7. Microsoft Baseline Security Analyzer
Herramienta de auditorías de seguridad
Detecta fallos o deficiencias en las
actualizaciones de seguridad o en apartados que
inciden directamente en SharePoint como:
Seguridad en el sistema Windows
Seguridad en Internet Information Services
Seguridad en SQL Server
Configuraciones administrativas
8. Monitorización de servicios
Control de arquitecturas SharePoint mediante System Center
Operations Manager (SCOM)
Microsoft SharePoint Foundation Management Pack for SCOM 2007
Microsoft SharePoint 2010 Management Pack for SCOM 2007
SCOM incorpora un asistente de monitorización de sitios que
permite:
Realizar conexiones periódicas entre distintos equipos desde distintos lugares
de la organización verificando y comprobando la accesibilidad y su estado
funcional
Monitorización de los intervalos de respuesta obtenidos
Control de servidores en ubicaciones o sitios geográficos dispersos mediante
la gestión de aplicaciones distribuidas
9. Actualizaciones periódicas
Plan de actualizaciones periódicas mediante el
rol Windows Server Update Services (WSUS)
Monitorización a través de políticas de grupo del
estado de salud en cuanto a actualizaciones se
refiere
Entornos más avanzados como System Center
Configuration Manager (SCCM) permiten la
opción de un despliegue forzado de
actualizaciones
11. Cuentas administradas
Se incorpora la gestión de cuentas administradas con
cambios de contraseñas automático
Administración más coherente de cuentas utilizadas en
los grupos de aplicaciones o servicios de SharePoint
12. Seguridad en aplicaciones web
Directiva de usuario de aplicación web
Permiten administrar los permisos que se aplicarán sobre una determinada aplicación
web a usuarios o grupos
Útil para establecer que distintos usuarios o grupos de seguridad obtengan diferentes
niveles de acceso a través de una zona a todas las colecciones de sitios dentro de una
aplicación web
Métodos de autenticación
Autenticación en modo clásico
Permite el uso de proveedores de autenticación Windows
Anónima, básica, NTLM, implícita, certificados, negociación (kerberos)
Autenticación basada en notificaciones
Basada en Microsoft Windows Identity Foundation (WIF)
Permite el uso de proveedores de autenticación Windows, autenticación basada en
formularios (FBA) y autenticación basada en token SAML permitiendo el uso de:
Servicios de federación de Active Directory
Windows Live ID
Proveedores de identidad de terceros
13. Servicio de almacenamiento Seguro
Aplicación de servicio que sustituye a la característica de
inicio de sesión único existente en la versión anterior
Configuración requerida para proporcionar soporte a
otras aplicaciones de servicio que requieran de
credenciales de acceso a orígenes de datos externos
Se utiliza una base de datos segura donde se almacenan
identificadores de aplicación para ser recuperados en el
acceso a los orígenes de datos
14. Privilegios de acceso
Privilegios de acceso a la granja
Administrador de la granja de servidores
Administrador de la aplicación de servicio
Privilegios de acceso al contenido
Permisos de usuario de la aplicación web
Administrador de la colección de sitios
Modelo de seguridad de una colección de sitios
Usuarios y grupos
Niveles de permisos
Acceso anónimo
15. Características de seguridad
Integración con RMS
Tipos de archivos bloqueados
Manejo de archivos en el explorador
HTTP X-Download-options:noopen
Analizador de salud de SharePoint
Métricas de seguridad
17. Copias de seguridad
Copia de seguridad del conjunto de servidores
Panel de disponibilidad:
Indicadores visuales que nos advierten de si podemos realizar
una copia de seguridad con éxito
Copia de seguridad de servicios:
Servicios de Excel, servicios de Formularios de Infopath, etc …
Limpieza de trabajos de copia de seguridad automática
Parámetros preconfigurados
Nº de subprocesos
Ubicación de la copia de seguridad
Copia de seguridad mediante PowerShell
18. Copias de seguridad
Copia de seguridad pormenorizada
Copia de seguridad de una colección de sitios
Exportación de sitios o listas mediante
entorno gráfico
La exportación de sitios o listas permite
elegir:
Exportar el modelo de seguridad
Exportar la información de versiones
20. Gestión de auditorías
La gestión de contenido empresarial engloba:
Administración de documentos
Administración de registros
Administración de activos digitales
La administración de documentos engloba:
Navegación mediante metadatos
Control de versiones
Aprobación de documentos
Directivas de administración de la información
Encargadas de los registros de auditoría
21. Gestión de auditorías
Directivas de administración de información
Auditorías
Códigos de barras
Retención
Etiquetas
Informes de uso de directivas
Informes de registros de auditoría
Configuración de auditoría de la colección de sitios
Registro de diagnósticos
23. Protección contra fugas de datos
Riesgos de seguridad y privacidad asociados a los
metadatos (Tony Blair in the butt)
Esquema Nacional de la Seguridad
Artículo 5.7.6 «Limpieza de documentos»
Prevención de Fuga de Datos (Data Lost Prevention)
mediante herramientas de limpieza de metadata
Microsoft Office XP, 2003: Remove Hidden Data Tool Add-in
Microsoft Office 2007, 2010: Nativo mediante el menú Preparar
MetaShield Protector
Herramienta para la eliminación de datos ocultos en
sitios web y arquitecturas SharePoint
24. Protección contra fugas de datos
Funcionamiento de MetaShield Protector:
MetaShield Protector “captura” las peticiones de ficheros al Servidor Web.
Recupera el contenido del fichero y lo limpia en memoria.
Sirve el fichero limpio al cliente
http://www.metashieldprotector.com
26. Publicación segura
Gestión antimalware y filtrado, protección de
datos en tránsito o publicación segura mediante
comprobación de seguridad en cliente mediante
línea Forefront:
Protección antimalware con Forefront Protection
for SharePoint 2010 (Antivirus)
Protección perimetral con Forefront Unified Access
Gateway 2010 (Portal de autenticación unificado y
comprobación de seguridad en el equipo cliente)
Protección con Forefront Threat Management
Gateway 2010 (Firewall)
27. Información de interés
Punto compartido (http://www.puntocompartido.com/blogshare)
Informática 64 (http://www.informatica64.com)
Seguros con Forefront (http://www.forefront-es.com)
Libro Microsoft SharePoint 2010: Seguridad
http://www.informatica64.com/libros.aspx
SharePoint User Group Spain , SUGES
(http://www.suges.es)
28. Más acciones desde TechNet
Para ver los webcast grabados sobre éste tema y otros temas, diríjase a:
http://www.microsoft.es/technet/jornadas/webcasts/webcasts_ant.asp
Para información y registro de Futuros Webcast de éste y otros temas diríjase a:
http://www.microsoft.es/technet/jornadas/webcasts/default.asp
Para mantenerse informado sobre todos los Eventos, Seminarios y webcast
suscríbase a nuestro boletín TechNet Flash en ésta dirección:
http://www.microsoft.es/technet/boletines/default.mspx
Descubra los mejores vídeos para TI gratis y a un solo clic:
http://www.microsoft.es/technet/itsshowtime/default.aspx
Para acceder a toda la información, betas, actualizaciones, recursos, puede
suscribirse a Nuestra Suscripción TechNet en:
http://www.microsoft.es/technet/recursos/cd/default.mspx