Cabina de test para uso interno y en exterior Asegure por ...
Asegure su Red: Introducción a seguridad Alexandre Le Bienvenu Microsoft Consulting Services...
-
Upload
pancho-ferrera -
Category
Documents
-
view
7 -
download
2
Transcript of Asegure su Red: Introducción a seguridad Alexandre Le Bienvenu Microsoft Consulting Services...
Asegure su Red:Asegure su Red:Introducción a seguridadIntroducción a seguridad
Alexandre Le BienvenuAlexandre Le Bienvenu
Microsoft Consulting ServicesMicrosoft Consulting Services
Microsoft PerúMicrosoft Perú
AgendaAgenda
Aspectos teóricosAspectos teóricos TecnologíasTecnologías EjemplosEjemplos
Aspectos teóricosAspectos teóricos
Principios básicosPrincipios básicos Un poco de historiaUn poco de historia Costos relacionadosCostos relacionados
El desafío de seguridadEl desafío de seguridad
Proveer servicios diversosProveer servicios diversos Acceso Web, e-mail, archivos, mensajería, bases Acceso Web, e-mail, archivos, mensajería, bases
de datos, cadena de negocios entre otrosde datos, cadena de negocios entre otros
Mientras se protegen los activos.Mientras se protegen los activos. Información financiera, procesamiento, recursos Información financiera, procesamiento, recursos
de red, propiedad intelectual, satisfacción del de red, propiedad intelectual, satisfacción del clientecliente
El acceso correcto El acceso correcto al contenido debidoal contenido debido
por las personas indicadaspor las personas indicadas
Principios básicos de Principios básicos de seguridadseguridad AutenticaciónAutenticación
Identificar correctamente al usuario o aplicación Identificar correctamente al usuario o aplicación que requiere el accesoque requiere el acceso
AutorizaciónAutorización Permitir al usuario identificado el correcto acceso Permitir al usuario identificado el correcto acceso
a la informacióna la información
ConfidencialidadConfidencialidad Definir que información puede el usuario o Definir que información puede el usuario o
aplicación acceder y cual es su derecho sobre la aplicación acceder y cual es su derecho sobre la mismamisma
El Compromiso de El Compromiso de Microsoft a la SeguridadMicrosoft a la Seguridad
Amenaza a todos los usuarios y los sistemas del Amenaza a todos los usuarios y los sistemas del mercado, en una etapa de expansión global y mercado, en una etapa de expansión global y desafíos de reducción de costos y confidencialidad. desafíos de reducción de costos y confidencialidad.
Microsoft tiene una obligación especial para ayudar Microsoft tiene una obligación especial para ayudar asegurar la seguridad de la Internet y los datos de asegurar la seguridad de la Internet y los datos de nuestros clientes. nuestros clientes.
Nosotros en Microsoft estamos trabajando para Nosotros en Microsoft estamos trabajando para ayudar a nuestros clientes conseguir estar seguros y ayudar a nuestros clientes conseguir estar seguros y mantenerse seguros.mantenerse seguros.
Todo era más Todo era más sencillo antes…sencillo antes…
MainframeMainframe Terminales tontasTerminales tontas ““hibernadero”hibernadero” Seguridad física, Seguridad física,
conectividad limitadaconectividad limitada
Todo era más Todo era más sencillo antes…sencillo antes…
Cliente-ServidorCliente-Servidor Conectividad LANConectividad LAN Servicios de archivos e Servicios de archivos e
impresiónimpresión Acceso externo limitadoAcceso externo limitado
Todo era más Todo era más sencillo antes…sencillo antes…
El mundo se tornó El mundo se tornó complejo y difícil…complejo y difícil…
La InternetLa Internet ““Siempre encendida”Siempre encendida” No tiene dueñoNo tiene dueño Múltiples aplicacionesMúltiples aplicaciones La WWWLa WWW
InternetInternet
Perfiles de ataquesPerfiles de ataques
Código hostilCódigo hostil VirusVirus Worms (Gusanos)Worms (Gusanos) Trojan horses (Caballos de troya)Trojan horses (Caballos de troya)
Denial of Service Denial of Service (Denegación de servicio)(Denegación de servicio) Web page defacement Web page defacement (Cambio de contenido)(Cambio de contenido) Eavesdropping, Interception Eavesdropping, Interception (Observar (Observar
información, interceptarla)información, interceptarla) Identity theft Identity theft (Robo de identidad)(Robo de identidad)
Métodos comunes de crímenesMétodos comunes de crímenes
Amenazas recientesAmenazas recientes
NimdaNimda: Virus auto extendible por varios mecanismos.: Virus auto extendible por varios mecanismos. Code RedCode Red: Servidores Web infectados que : Servidores Web infectados que
proporcionaban acceso administrativo.proporcionaban acceso administrativo. Víruses de scripting: Víruses de scripting: Clientes OutlookClientes Outlook OtrosOtros: Denial of Service, Defacement: Denial of Service, Defacement
Microsoft tiene la obligación de tomar un Microsoft tiene la obligación de tomar un enfoque proactivo a la seguridadenfoque proactivo a la seguridad
Casos localesCasos locales
Robo de informaciónRobo de información Falla de confidencialidadFalla de confidencialidad Utilización indebida de información Utilización indebida de información
corporativa (Mensajería, Documentos, corporativa (Mensajería, Documentos, conocimiento tácito)conocimiento tácito)
Cambio de información en sistemas de Cambio de información en sistemas de misión críticamisión crítica
Entre otrosEntre otros
Impacto al negocio Impacto al negocio
Según el estudio de Crimen de sistemas y Seguridad de 2001, por el Según el estudio de Crimen de sistemas y Seguridad de 2001, por el Instituto de Seguridad de Computadora (CSI) y el FBI:Instituto de Seguridad de Computadora (CSI) y el FBI: Cuantificó pérdidas financieras de por lo menos $377M, o $2M por los Cuantificó pérdidas financieras de por lo menos $377M, o $2M por los
encuestados encuestados en el estudio en el estudio
40% descubrieron la penetración del sistema del exterior; 25% de crecimiento 40% descubrieron la penetración del sistema del exterior; 25% de crecimiento respecto al 2000respecto al 2000
94% descubrieron los viruses de computadora; 85% de crecimiento respecto al 94% descubrieron los viruses de computadora; 85% de crecimiento respecto al 20002000
InformationWeek estima:InformationWeek estima: Las brechas de seguridad costarán a los negocios $1.4 billones de dolares a Las brechas de seguridad costarán a los negocios $1.4 billones de dolares a
nivel mundial este añonivel mundial este año 2/3 de compañías han experimentado viruses, gusanos, o los Caballos troyanos2/3 de compañías han experimentado viruses, gusanos, o los Caballos troyanos 15% han experimentado Denial Of Service (Denegación de servicio)15% han experimentado Denial Of Service (Denegación de servicio)
La seguridad tienen costos realesLa seguridad tienen costos reales
Fuente: Computer Security Institute (CSI) Computer Crime and Fuente: Computer Security Institute (CSI) Computer Crime and Security Survey 2001Security Survey 2001Fuente 2: InformationWeek.com, 10/15/01Fuente 2: InformationWeek.com, 10/15/01
¿Es la seguridad ¿Es la seguridad importante?importante?
Tipo de ataques detectados en el último año
36%
64%
10%
49%
94%
12%
91%
40%
10%18%
26%
0%10%20%30%40%50%60%70%80%90%
100%
Per
cen
tag
e o
f re
spo
nd
ents
¿Es la seguridad ¿Es la seguridad importante?importante?
Fuentes comunes de ataque
25%
31%
81%
49%
76%
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
Foreign government Foreign corporation Independent hackers U.S. competitors Disgruntledemployees
Per
cen
tag
e o
f re
spo
nd
ents
¿Es el problema real?¿Es el problema real?
0
5000
10000
15000
20000
25000
30000
35000
1995 1996 1997 1998 1999 2000 2001*
Vulnerabilidades Incidentes
Toda la información obtenidad en http://www.cert.org/stats
*Hasta el 2001 Q1-Q3
Crecimiento de actividad hostilCrecimiento de actividad hostil
Porque la seguridad no Porque la seguridad no se implementase implementa
Security Magazine Julio 2001
Razón n.1 Presupuesto
El resto de las razones son generalmente administrativas y de planeamiento.
29%
14%
10%9%
8%
8%
6%
4%
3%
9%
Budget Constraints Lack of Senior Management Support
Lack of Employee Training / End-User Awareness Lack of Competent Infosecurity Personnel
Lack of Internal Policies Lack of Centralized Authority
Technical Complexity Unclear Responsibilities
Lack of Good Security Products Other
Activos de Infraestructura Activos de Infraestructura a protegera proteger
DataData Información comercial o Información comercial o
financierafinanciera Planes de marketingPlanes de marketing Código fuenteCódigo fuente Información salarialInformación salarial
ServiciosServicios Web sitesWeb sites Acceso a InternetAcceso a Internet Controladores de Controladores de
dominiodominio ERPsERPs CRMsCRMs
CommunicaciónCommunicación Ingreso de usuariosIngreso de usuarios TransaccionesTransacciones Intercambio de informaciónIntercambio de información Envío de e-MailEnvío de e-Mail
¿Cuales son las ¿Cuales son las vulnerabilidades?vulnerabilidades?
Tecnología
Planeamiento,
procedimientos
y procesos
El fa
ctor
hu
man
o
Los productos Los productos carecen de carecen de capacidades de capacidades de seguridad seguridad
Los productos tienen Los productos tienen bugsbugs
Muchas de las Muchas de las vulnerabildiades no vulnerabildiades no son causadas por son causadas por problemática técnicaproblemática técnica
Diseñar orientado a seguridadDiseñar orientado a seguridad Roles y responsabilidadesRoles y responsabilidades Auditar, análisis y seguimientoAuditar, análisis y seguimiento Planes de recuperación en caso de Planes de recuperación en caso de
desastredesastre Mantenerse al día en el avanze técnologico Mantenerse al día en el avanze técnologico
de seguridadde seguridad
Fallas en la barrera de protección
Falta de conocimientoFalta de conocimiento Falta de compromisoFalta de compromiso Error humanoError humano
Marco de trabajo Marco de trabajo orientado a la protecciónorientado a la protección
Data
ServicesCommuni-
cation
Prevencíon
Detección
Reacció
n
Tecnología
Planeamiento,
procedimientos
y procesos El F
acto
r hu
man
o
Beneficio económico
Infligir daño
Motivos personales
Estrategia de Seguridad
Predecir ataque / Evaluar riesgo
Por cada tipo de riesgo (p.e., ataque malicioso)
Estrategia proactiva
Predecir daño posible
Determinar vulnerabilidades
Minimizar vulnerabilidades
Desarrollar planes de contingecia
Implementar plan y desarrollarpolíticas de seguridad y procesos
Estrategia reactiva
Evaluar daño ocasionado
Determinar la causa
Documentar y Probar
Reparar el daño
Implementar plan de contingencia
Implementar plan y desarrollarpolíticas de seguridad y control
Revisión de resultados / SimulaciónRevisión de efectividadAjustar políticas como correspónde
Por cada método de ataque (p.e.., virus)
Una metodología para definir políticas deseguridad, procesos, tecnología y controlComo Como
enfrentar enfrentar ataquesataques Hacer un cuadro Hacer un cuadro
por cada activopor cada activo Planificar por cada Planificar por cada
riesgo o ataque riesgo o ataque potencialpotencial
Generar planes de Generar planes de prevención, prevención, detección y detección y reacciónreacción
Asegurar la Asegurar la contínua mejora contínua mejora de seguridad en el de seguridad en el tiempotiempo
Los 7 pasos para Los 7 pasos para implementar un proceso implementar un proceso de seguridadde seguridad1.1. Establecer un equipo de seguridad u Establecer un equipo de seguridad u
OrganizaciónOrganización2.2. Realizar una revisión (assesment) de la Realizar una revisión (assesment) de la
infraestructura, procesos y tecnologías infraestructura, procesos y tecnologías actualesactuales
3.3. Desarrollar las políticas de seguridad de la Desarrollar las políticas de seguridad de la organizaciónorganización
4.4. Realizar un análisis de riego respecto a los Realizar un análisis de riego respecto a los activosactivos
5.5. Diseñar e implementar estándares de Diseñar e implementar estándares de seguridadseguridad
6.6. Implementar la educación y conciencia del Implementar la educación y conciencia del personalpersonal
7.7. Ejecutar un proceso continuo de Ejecutar un proceso continuo de administración de seguridadadministración de seguridad
El marco de seguridad El marco de seguridad requiere:requiere:
ProcesosProcesos
TecnologíaTecnología
PersonasPersonas
Planeamiento de seguridadPlaneamiento de seguridad PrevenciónPrevención DetecciónDetección ReacciónReacción
Tecnología baseTecnología base Estándares, Encriptación, Estándares, Encriptación,
ProtecciónProtección Capacidad de los productosCapacidad de los productos Herramientas y productos de Herramientas y productos de
seguridadseguridad
Personal dedicadoPersonal dedicado EntrenamientoEntrenamiento Seguridad – El cambio de Seguridad – El cambio de
mentalidad es la prioridadmentalidad es la prioridad Personas externasPersonas externas
TecnologíasTecnologías
TecnologíasTecnologías
Active directoryActive directory Estándares soportadosEstándares soportados Arquitectura de autenticación de la Arquitectura de autenticación de la
plataforma Microsoftplataforma Microsoft KerberosKerberos BiométricaBiométrica
Windows UsersWindows Users• Account infoAccount info• PrivilegesPrivileges• ProfilesProfiles• PolicyPolicy
Windows ClientsWindows Clients• Mgmt profileMgmt profile• Network infoNetwork info• PolicyPolicy
Windows ServersWindows Servers• Mgmt profileMgmt profile• Network infoNetwork info• ServicesServices• PrintersPrinters• File sharesFile shares• PolicyPolicy
A Focal Point for:A Focal Point for:• ManageabilityManageability• SecuritySecurity• InteroperabilityInteroperability
ActiveActiveDirectoryDirectory
ApplicationsApplications• Server configServer config• Single Sign-OnSingle Sign-On• App-specificApp-specific
directory info directory info • PolicyPolicy
Network DevicesNetwork Devices• ConfigurationConfiguration• QoS policyQoS policy• Security policySecurity policy
InternetInternet
Firewall ServicesFirewall Services• ConfigurationConfiguration• Security PolicySecurity Policy• VPN policyVPN policy
OtherOtherDirectoriesDirectories• White pagesWhite pages• E-CommerceE-Commerce
Other NOSOther NOS• User registryUser registry• SecuritySecurity• PolicyPolicy
E-Mail ServersE-Mail Servers• Mailbox infoMailbox info• Address bookAddress book
WindowsWindows 2000 Active Directory 2000 Active Directory
Estándares soportados plataforma Estándares soportados plataforma 20002000
FIPS 140-1FIPS 140-1 Level 1 crypto module Level 1 crypto module
certificationcertification DSS, RSADSS, RSA Web, e-mail, andWeb, e-mail, and
certificate servicescertificate services S/MIME V3S/MIME V3 DMSDMS C2/E3*C2/E3* FortezzaFortezza
Web servicesWeb services Spyrus CSP, Litronic readerSpyrus CSP, Litronic reader
ITU X.509ITU X.509 RSA PKCSRSA PKCS IETFIETF
PKIXPKIX SSL/TLSSSL/TLS S/MIMES/MIME
PC/SCPC/SC MIT V5 KerberosMIT V5 Kerberos Services for UNIX Services for UNIX
password password synchronizationsynchronization
Host Integration Host Integration Server 2000Server 2000
Secure RPCSecure RPC HTTPHTTP
SSPISSPI
Internet Explorer,Internet Explorer,
Internet InformationInternet InformationServerServer
NTLMNTLM KerberosKerberos SChannelSChannelSSL/TLSSSL/TLS
MSV1_0/MSV1_0/ SAM SAM KDC/DSKDC/DS
DCOM DCOM applicationapplication
DPADPA
MembershipMembershipservicesservices
POP3, NNTPPOP3, NNTP
Mail, Mail, Chat, Chat, NewsNews
CIFS/SMBCIFS/SMB
Remote Remote filefile
Arquitectura de Arquitectura de AutenticaciónAutenticación
LDAPLDAP
DirectoryDirectoryenabled appsenabled appsusing ADSIusing ADSI
Kerberos básicoKerberos básico
Client MachineClient Machine
ApplicationsApplications
FilesFiles
Windows 2000 Windows 2000 Server(s)Server(s)
ACL
ACL
DevicesDevices
ACL
ActiveActiveDirectoryDirectory
Windows 2000 Windows 2000 Domain ControllerDomain Controller
KDC KDC
4.4. ResourceResource
4.4. Server verifies the ticket, compares it Server verifies the ticket, compares it to the Access Control List (ACL) on to the Access Control List (ACL) on the resource and grants or denies the resource and grants or denies accessaccess
3.3. Client requests a resource Client requests a resource and presents a ticketand presents a ticket
RequestRequest TicketTicket(Authorization)(Authorization)
TicketTicket
2.2. Server grants Server grants Ticket(s) to Ticket(s) to clientclient
1.1. Client Client Authenticates Authenticates to Domain to Domain ControllerController
(Authentication)(Authentication)
Windows 2000 KerberosWindows 2000 KerberosMejoras de performanceMejoras de performance
Windows NT 4.0:Windows NT 4.0:
File ServerFile ServerClientClient
Domain ControllerDomain Controller
1. Request1. Request
4. Impersonate
4. Impersonate
2. Challenge2. Challenge
3. Response3. Response
5.5.
6. Resource6. Resource
Windows 2000 KerberosWindows 2000 KerberosImproved Network PerformanceImproved Network Performance
Windows 2000:Windows 2000:
File ServerFile ServerClientClient
Domain ControllerDomain Controller
N RequestsN Requests TicketTicket
N ResourcesN Resources
TicketTicket
11 Card insertion Card insertion causes Winlogon causes Winlogon to display GINAto display GINA
22 User User inputs inputs PINPIN
55 Kerberos sends certificate in a Kerberos sends certificate in a PKINIT login request to the KDCPKINIT login request to the KDC
77 KDC returns TGT, encrypted with a KDC returns TGT, encrypted with a session key which is in turn encrypted session key which is in turn encrypted using user’s public keyusing user’s public key
8 8 Smart card decrypts Smart card decrypts the TGT using private the TGT using private key allowing LSA to log key allowing LSA to log user onuser on
66 KDC verifies KDC verifies certificate then certificate then looks up looks up principal in DSprincipal in DS
ReaderReaderReaderReader
33 GINA GINA passes PIN passes PIN to LSAto LSA
SC
SC
4 4 LSA LSA accesses smart accesses smart card and card and retrieves cert retrieves cert from cardfrom card
LSALSALSALSA
Kerb
eros
Kerb
eros
Kerb
eros
Kerb
eros
Kerb
eros
Kerb
eros
Kerb
eros
Kerb
eros
KDCKDCKDCKDC
Smart Card LogonSmart Card Logon
Microsoft Operations Manager Microsoft Operations Manager
Permite el punto centralizado y único de manejoPermite el punto centralizado y único de manejo Provee manejo de servicios y aplicaciones tanto Provee manejo de servicios y aplicaciones tanto
reactivamente como proactivamentereactivamente como proactivamente Escala tecnológicamente como organizacionalmenteEscala tecnológicamente como organizacionalmente Elimina la necesidad de administrar el sistema de Elimina la necesidad de administrar el sistema de
administraciónadministración
Performance Thresholds Windows 2000 Events
WMI
Capacity Planning Data Windows NT Events
Application Events
UNIX System LogsSNMP Traps
OperationsManager
Agentes de MOM• Paquetes de administración por producto• Coleccionar y analizar eventos,
performance y configuración• Relación entre eventos, Respuesta
automática a errores
Agente consolidador:• Distribuye paquetes de adm.• Dinámicamente configura, administra, obtiene
información y realiza acciones• Correlación central de eventos, Respuesta
automática a errores
Servidore de acceso a BD:• Ingresa datos del consolidador• Provee datos al consolidador
MOM: Arquitectura y MOM: Arquitectura y configuraciónconfiguración
Base de datos:• Eventos y alertas• Paquetes de adm.• Políticas• Performance y capacidad
• Vistas• Reportes• Workflows de
resolución de problemas
ISA ServerISA ServerAsegurando la barrera de la redAsegurando la barrera de la red
ISA ServerISA ServerFirewall ArrayFirewall Array
IIS (Web Server)IIS (Web Server)
BizTalk ServerBizTalk Server
Exchange 2000Exchange 2000
InternetInternetpacketpacket
Permitir el paquete?Permitir el paquete? Si Si
InternetInternetpacketpacket
No.No.
InternetInternetpacketpacket(E-mail)(E-mail)
E-mailE-mailMessageMessage
Revisión de contenidoRevisión de contenidoArchivo adjuntoArchivo adjunto
No permidoNo permido
InternetInternet
Ejemplo: Red protegidaEjemplo: Red protegida
Diseño de una red seguraDiseño de una red segura
RED INTERNA
Exchange SQL
AD
Conf de Red: IP:192.168.x.x S:255.255.255.0 GW: 192.168.1.1
Servicios: TODOS
Conf de RedInterface 1 (DMZ) IP:172.20.20.2 S:255.255.255.240 GW: 172.20.20.1Interface 2 (RED Interna) IP:192.168.1.1 S:255.255.255.0LAT192.168.x.x
Integrated modeWeb Publishing
Conf de RedInterface 1 (Internet) IP:200.37.x.x S:255.255.255.240 GW: 200.37.x.xInterface 2 (DMZ) IP:172.20.20.1 S:255.255.255.0LAT172.20.20.1-254
Firewall ModeReverse Web Publishing
Conf de RED: IP:172.20.20.100 S:255.255.255.0 GW: 172.20.20.1
Servicios: DNS SMTP Relay WWW
ISA ServerIntegrado
DMZ Server
Internet
ISA ServerStandalone
¿Preguntas?¿Preguntas?
Gracias!Gracias!
Taller avanzado de ISA Taller avanzado de ISA Server 2000Server 2000 Asegure su red empresarial con las mejores Asegure su red empresarial con las mejores
prácticas de Microsoft Consulting Servicesprácticas de Microsoft Consulting Services Microsoft ofrece un taller avanzado en el que Microsoft ofrece un taller avanzado en el que
se revisarán las mejores prácticas y se revisarán las mejores prácticas y experiencias de campo, tanto teórico como experiencias de campo, tanto teórico como práctico.práctico.
Duración: 12 horasDuración: 12 horas Teoría: 8 horasTeoría: 8 horas Práctica: 4 horasPráctica: 4 horas
Fechas: 17, 20 y 21 de Mayo de 6:00 PM a Fechas: 17, 20 y 21 de Mayo de 6:00 PM a 10:00 PM10:00 PM
Contacto: Arturo ValenciaContacto: Arturo Valencia 2115600 x 56692115600 x 5669 [email protected]@microsoft.com