Gira Seguridad 2005

Microsoft TechNet

Jos Parada Gimeno

Evangelista Microsoft TechNet
Chema Alonso
MVP Windows ServerSecurity
Conlaparticipacinde:
y

Agenda I

Introduccin
Tcnicas Hacker de envenenamiento en redes de datos

Spoofing ARP
DNS Hijacking
Phising
Mail Spoofing

Contramedidas Hacking I. Proteccin de servidores.

Cifrado y autenticado de conexiones. IpSec
Hardering de Servidores.

Agenda II

Contramedidas Hacking II. Proteccin de Servicios de correo.

Conexiones seguras con RPC/HTTPS

VPNs

Evolucin de las VPNs

VPNs Seguras con MPLS
Hosting de Aplicaciones en VPNs con MPLS
Soluciones con ISA Server 2004 sobre las VPNs de ONO.

Tecnicas Hacker de Spamming.

Tcnicas Eursticas, Bayesianas y Finger Printing
Contramedidas Spaming

Introduccin

Motivos
Impacto
Anlisis de Incidentes
Anlisis de Vulnerabilidades

Que es Seguridad?

Seguridad, es un termino relativo y no absoluto

Que es lo que esta seguro?

Contra quien se esta seguro?
Contra que se esta seguro?
Hasta cuando se esta seguro?
Que intensidad de ataque se puede resistir?

Por lo tanto sin un contexto el termino Seguridad no tiene sentido

Porque Atacan?

Hacer Dao

Alterar, daar or borrar informacin

Deneger servicio
Daar la imagen pblica

Motivos Financieros

Robar informacin
Chantaje
Fraudes Financieros

Motivos Personales

Desquitarse
Fundamentos polticos o terrorismo
Gastar una broma
Lucirse y presumir

Motivos

La tecnologa tiene fallos.

Es muy fcil hacerlo.
No hay conciencia clara del delito

Porque MOLA!!

Incidentes Reportados al CERT

Data Source: CERT ( http://www.cert.org)

Vulnerabilidades por Aos

Data Source: CERT ( http://www.cert.org)

Problema de la Industria IT
Vulnerabilidades en Sistemas Operativos - 2002

120
100
80
60
40
20
0
Windows XP EnGarde

Windows
2000

SuSE

Sun
(OS)

Mandrake
8.x

Trustix
1.5

RedHat
7.2

Debian

Source: Company web sites

Problema de la Industria IT
Vulnerabilidades en Sistemas Operativos - 2003

120
100
80
60
40
20
0
Windows
2003

OpenBSD

Windows
XP

Windows
2000

SuSE

SUN

Mandrake

RedHat

Debian

Source: Company web sites

Fuentes

Debian: http://www.nl.debian.org/security
Mandrake: http://www.mandrakesoft.com/security/advisories
Microsoft: http://www.microsoft.com/technet/security/current.aspx
Open BSD: http://www.openbsd.org/errata35.html
Sun: http://sunsolve.sun.com/pub-cgi/show.pl?target=security/sec
Suse: http://www.novell.com/linux/security/advisories.html
RedHat: http://www.redhat.com/security/updates/

Vulnerabilidades

http://www.securityfocus.com/bid

Problema de la Industria IT
Vulnerabilidades en Sistemas Operativos - Agosto 2004

Sofisticacin de los Ataques vs. Conocimientos requeridos

Tcnicas Hacker de
Envenenamiento en Redes
de Datos

Jos Parada Gimeno

Evangelista Microsoft TechNet
Chema Alonso
MVP Windows ServerSecurity
Conlaparticipacinde:
y

El Modelo OSI

7. Aplicacin
6. Presentacin
5. Sesin
4. Transporte
3. Red
2. Conexin
1.Fisico

En Realidad
Cuatro capas son suficientemente representativas

4. Aplicacin

8-5. usuario
3. Transporte

HTTP, FTP, TFTP, telnet, ping, SMTP,

POP3, IMAP4, RPC, SMB, NTP, DNS,

2. Red

TCP, UDP, IPsec

IP, ICMP, IGMP

1. interface

ARP, RARP

Tcnicas de Spoofing

Las tcnicas spoofing tienen como objetivo suplantar validadores

estticos

Un validador esttico es un medio de

autenticacin que permanece invariable
antes, durante y despus de la
concesin.

Niveles Afectados

ENLACE
Direccin MAC
RED
Direccin IP
SERVICIO

Nombres de dominio
Direcciones de correo electrnico
Nombres de recursos compartidos

Tipos de tcnicas de Spoofing

Spoofing ARP
Envenenamiento de conexiones.
Man in the Middle.
Spoofing IP
Rip Spoofing.
Hijacking.
Spoofing SMTP
Spoofing DNS
WebSpoofing.

Tcnicas de Sniffing

Capturan trfico de red.

Necesitan que la seal fsica llegue al NIC.
En redes de difusin mediante concentradores todas las seales
llegan a todos los participantes de la comunicacin.
En redes conmutadas la comunicacin se difunde en funcin de
direcciones.
Switches utilizan direccin MAC.

Tcnicas Combinadas

Sniffing + Spoofing
Hijacking (Secuestro) Y
Envenenamiento

Nivel de Enlace: Spoofing ARP

Suplantar identidades fsicas.

Saltar protecciones MAC.
Suplantar entidades en clientes DHCP.
Suplantar routers de comunicacin.
Solo tiene sentido en comunicaciones locales.

Direccin Fsica

Tiene como objetivo definir un identificador nico para cada dispositivo de red.

Cuando una mquina quiere comunicarse con otra necesita conocer su

direccin fsica.
Protocolo ARP

No se utilizan servidores que almacenen registros del tipo:

Direccin MAC <-> Direccin IP.

Cada equipo cuenta con una cach local donde almacena la informacin que
conoce.

Sniffing en Redes de Difusin

PC 2

PC HACKER

PC 3

Sniffer

PC 1

filtra

Da
tos
PC
4

filtra

PC 4

Sniffing en Redes Conmutadas

PC 2

PC HACKER

PC 3

Sniffer

PC 1

MAC 1

MAC 2

MAC H

Da
tos
PC
4

MAC 3

PC 4

MAC 4
Puerto 1 MAC 1
Puerto 2 MAC 2
Puerto 6 MAC H
Puerto 11 MAC 3
Puerto 12 MAC 4

Envenenamiento de Conexiones: Man in the Middle

La tcnica consiste en interponerse entre dos sistemas.

Para lograr el objetivo se utiliza el protocolo ARP.

El envenenamiento puede realizarse entre cualquier dispositivo de red.

Envenenamiento de Conexiones:Man in the Middle

PC 1
IP 1
MAC 1

CONEXIN
PC2

IP 2 MAC H

REENVO A
HOST

PC 2
IP 2
MAC 2

IP 1 MAC H
CACHE ARP
IP 1 MAC H

CACHE ARP
IP 2 MAC H

PC H
IP H
MAC H

ta
es
1
:
1.
66
1.
7:
1.
:7
en :88
99 :44
55

1.1.1
.1

1.
99 1 .
:8 1. 2
8: e
77 st
:6 a e
6: n
55
:4
4

Ataque ARP Man In The Middle

e
n
e
i
t
n
e
i
u
Q
?

2
.
1
.
1.1
1.1.1.2 esta en
00:11:22:33:44:55:66

1.1.1
.2

Man in the Middle

Sirve como plataforma para otros ataques.

DNS Spoofing.
WebSpoofing.
Hijacking.
Sniffing

Se utiliza para el robo de contraseas.

Demo

Envenamiento entre hosts.

Robo de contraseas.
DNS Hijacking.
Phising (WebSpoofing).
HTTPS Spoofing.

Proteccin contra Envenenamiento

Medidas preventivas.
Control fsico de la red.
Bloqueo de puntos de acceso.
Segmentacin de red.
Gestin de actualizaciones de seguridad.
Proteccin contra Exploits.
Proteccin contra troyanos.

Proteccin contra Envenenamiento

Medidas preventivas.
Cifrado de comunicaciones.
IPSec.
Cifrado a nivel de Aplicacin:
S/MIME.
SSL.
Certificado de comunicaciones.

Proteccin contra Envenenamiento

Medidas preventivas.

Utilizacin de detectores de Sniffers.

Utilizan test de funcionamiento anmalo.
Test ICMP.
Test DNS.
Test ARP.

Frase vs. Passwords

Las 4 leyes fundamentales de la proteccin de datos

Autentica en todas partes.

Valida Siempre.
Autoriza y audita todo.
Cifra siempre que sea necesario.

Cifrado y autenticado de
conexiones con IPSec en
redes Windows 2003.

Jos Parada Gimeno

Evangelista Microsoft TechNet
Chema Alonso
MVP Windows ServerSecurity
Conlaparticipacinde:
y

Cifrado de Comunicaciones

IPv4 no ofrece cifrado de comunicaciones a nivel de red y transporte.

Solo se puede garantizar la no interceptacin de la informacin en lneas

privadas.

Los entornos son abiertos. Movilidad.

La privacidad de la informacin es una necesidad

Cifrado de Comunicaciones

La eleccin de la proteccin debe cumplir:

No anular otras defensas.

Permitir autenticacin integrada.

No suponer un coste excesivo en:

Rendimiento.
Adquisicin.
Implantacin.
Mantenimiento.

Cifrado de Comunicaciones

Soluciones:

Red : IPv6 -> IPSec.

Transporte:
TLS
SSL

Aplicacin:
HTTP-s
FTP-s
S/MIME
SSH.

Datos: Cifrado informacin.

IPSec - Definicin

IPSec es unprotocolo que sirve para proteger las comunicaciones entre equipos.

Ofrece las siguientes caractersticas:

Autenticacin
Integridad
Confidencialidad (cifrado)

IPSec - Objetivos

Proteger el contenido de las cabeceras IP contra ataques activos y pasivos

mediante :

Autenticacin de la cabecera.
Cifrado del contendio.

Defender los equipos contra ataques de red:

Filtrado de conexiones (sniffing).

Autenticacin de conexiones.

IPSec - Funcionamiento

Dos grupos de protocolos distintos

Protocolos de gestin de claves:
IKE ( Internet Key Exchange) y sus asociados ISAKMP y OAKLEY KEY)
Protocolos de autenticacin, cifrado y manipulacin de paquetes:
AH ( Autentication Header )
ESP ( Encapsulating Security Payload )

IKE - Funcionamiento

IKE tiene dos modos de funcionamiento.

Modo Principal y Modo Rpido.

Centraliza la gestin de asociaciones (SA) para reducir el tiempo.

Genera y gestiona las claves usadas para securizar la informacin.

IPSec Proceso de Cifrado

El proceso de cifrado est compuesto de dos protocolos.

Autenticacin de cabecera (AH)

Cifrado de Trfico (ESP)

Cabecera de Autenticacin

Authentication Header (AH) ofrece:

Autenticacion.
Integridad.

Funcionalidades

Kerberos, certificados o los secretos compartidos pueden ser utilizados para autenticar
el trfico.
La integridad se calcula con algoritmos SHA1 o MD5 que calculan el Integrity Check
Value (ICV)

IPSec Cabecera AH.

Encabezados de autenticacin

Autenticidad de los datos

Integridad de los datos
Contra la retransmisin
Proteccin contra la suplantacin

Firmado
Encab.
Encab. IP
IP

AH
AH

Encab.
Encab.
TCP/UDP
TCP/UDP

Datos
Datos de
de
aplicaciones
aplicaciones

Cabecera ESP

Encapsulating Security Payload (ESP)

ESP ofrece:

Confidencialidad.

ESP puede ser utilizada sola o combinada con AH.

Multiples algoritmos de cifrado

DES claves de cifrado de 56-bit

3DES claves de cifrado de 168-bit

Multiples algoritmos de firmado.

SHA1 160-bit digest

MD5 128-bit

Cabecera ESP

Carga de seguridad de encapsulacin

Autenticacin del origen

Cifrado de
los datos

Contra la
retransmisin
Proteccin contra
la suplantacin

Cifrado

Nuevo
ESP
Datos
Fin.
ESP Encab.
Aut.
Nuevo
Encab. IP
IP Encab.
Encab.
Datos de
de
Fin. Aut.
encab.
original
Hdr
ESP
encab. IP
IP Hdr
original TCP/UDP
TCP/UDP aplicaciones
aplicaciones ESP
ESP ESP

Firmado

IPSec - Firewalls

IPSec se enruta como trfico IPv4.

En firewalls debe ser activado el reenvio IP para:

IP Protocol ID 50 (ESP)
IP Protocol ID 51 (AH)
UDP Port 500 (IKE)

El trfico IPSec que pasa por un firewall no puede ser inspeccionado.

SA Establishment

App or Service
client
IPSec
PolicyAgent

IKE (ISAKMP)

IPSec
Driver

UDP port 500

negotiation
1 IKE SA
2 IPSec SAs

TCPIP

filters

NIC

IKE Initiator

Application
Server or Gateway
IPSec
PolicyAgent

IKE (ISAKMP)

TCPIP

IPSec
Driver

NIC

IP protocol 50/51

IKE Responder

filters

IPSec - Modos de trabajo

El sistema IPSEC puede trabajar en dos modos:

Modo de transporte: donde el cifrado se realiza de extremo a extremo.

Modo tnel donde el cifrado se realiza nicamente entre los extremos del tnel.

Modos IPSEC

Modo de transporte
Proporciona cifrado y autenticacin de extremo a extremo

Cifrado

Modo de tnel
Proporciona cifrado y autenticacin slo entre los puntos finales
del tnel

Cifrado

IPSEC - Coste de cifrado

Disminucin del rendimiento que es proporcional al hardware del sistema.

Tiempo de negociacin IKE aproximadamente 2-5 segundos inicialmente

Session rekey < 1-2 segundos

Prdida de la capacidad de filtrado de paquetes.

Recursos destinados a la solucin de problemas.

Concienciacin tcnica de su necesidad y su uso.

IPSec en Windows 2000- 2003

Se configura mediante polticas

Almacenadas en el Directorio Activo o en en Registro Local del Servidor.

Controlan la entrada y salida de paquetes permitidos.

Las Politicas IPSec estn formadas por listas de reglas.

Estn compuestas de asociaciones de acciones y protocolos.

Se definen a nivel de protocolo o a nivel de puerto.
Acciones permitidas:
Bloquear.
Permitir.
Pedir seguirdad.
Se aplica el filtro ms permisivo.

IPSec - Polticas

Podrn utilizarse polticas por defecto o las creadas manualmente.

El sistema proporciona 3 polticas por defecto que van a determinar diferentes

comportamientos de la mquina con respecto a IPSEC.

Cliente.
Servidor.
Servidor seguro.

IPSec - Poltica de cliente.

Modo de solo respuestas.

Un sistema en modo cliente responde a peticiones que le realicen en IPSEC.

No inicia conversaciones en modo IPSEC, solamente en claro.

IPSec - Poltica de servidor.

Intenta establecer comunicaciones cifradas, pero si la otra mquina no tiene

configurado IPSEC la comunicacin se establece en claro.

Este modo est definido por 3 reglas que determinan el comportamiento general
del sistema a las peticiones IP, ICMP y el resto de trfico.

IPSec - Poltica Servidor Seguro

El equipo solo puede establecer comunicaciones seguras.

La poltica establece 3 reglas, para el trfico de peticiones IP, ICMP y el resto de

trfico.

IPSEC - Reglas

Las reglas IPSEC determinan el comportamiento del sistema en la transmisin de

la informacin.

Las reglas estn compuestas por los siguientes objetos:

Filtros.
Accin de filtros.
Mtodo de autentificacin.

IPSec - Filtros

En la configuracin de los filtros hay que especificar los siguientes parmetros:

Determinar la posibilidad o no de establecer un tnel de comunicacin.

Qu redes o equipos se van a ver afectados.
El mtodo de autentificacin para la transmisin.
Mtodos de seguridad.
Las acciones de filtrado.

IPSec - Autenticacin

Kerberos

Certificados

Requiere tiempo de sincronizacin.

Solo dentro del bosque.

Requiere la implementacin de PKI.

CRL est deshabilitado por defecto.

Secretos Compartidos.

Tan seguro como sea el secreto.

En entornos grandes es dificil de mantener.

IPSec - PKI Autodespliegue

Se puede configurar un entorno de autodespligue de certificados digitales para

equipos :

Instalando una Entidad Certificadora Raiz integrada.

Activando la Peticin de Certificado Automtico en la CPO del dominio.

IPSec Excepciones.

IPSec en Windows 2000 no securiza por defecto el siguiente trfico :

Broadcast
Multicast
RSVP
IKE
Kerberos

Windows 2003 por defecto securiza todo el trfico excepto IKE. Es posible
configuarlo como en Windows 2000
IPSec Default Exemptions Are Removed in Windows Server 2003

http://support.microsoft.com/default.aspx?scid=kb;EN-US;810207

IPSEC - Monitorizacin

IPSecmon
IP Security Monitor MMC Snap-In

IPSec - Despliegue

GPO
GPO
Despliegue centralizado desde el
Directorio Activo.
Configuracin posible mediante
plantillas.

Site

Domain

OU

Polticas de Grupo

Demo Configuracin IPSec

Endurecimiento de
Servidores
Windows 2003
Plantillas de Seguridad

Jos Parada Gimeno

Evangelista Microsoft TechNet
Chema Alonso
MVP Windows ServerSecurity
Conlaparticipacinde:
y

Endurecimiento

El aumento de ataques en las redes han hecho necesarias implementar medidas

para fortificar los servicios de las empresas.

Entre las medidas caben destacar las actualizaciones de los sistemas y la

fortificacin de los servidores desde la configuracin de la seguridad interna
mediante plantillas.

Plantillas de seguridad

Proporcionan los mecanismos para incrementar la seguridad sobre los equipos.

Son ficheros que proporcionan la capacidad para simplificar la implantacin de

seguridad en equipos.

Incrementan o modifican las directivas que se estn aplicando.

Aplicacin de Plantillas

Las plantillas pueden aplicarse por importacin en polticas locales o mediante el

uso en GPO.

Mediante la herramienta de configuracin de seguridad.

Mediante lnea de comando con la ejecucin del comando Secedit.

Componentes de las
Plantillas de Seguridad

Las plantillas de seguridad controlan los siguientes aspectos de una

mquina:

Cuentas de usuario.
Auditoras.
Derechos de usuarios.
Opciones de seguridad.
Visor de sucesos.
Grupos restringidos.
Servicios.
Claves de registro.
Sistema de ficheros.

Herramientas de Gestin de Plantillas

La administracin de las plantillas puede ser realizada desde:

La consola Plantillas de seguridad.

Consola configuracin y anlisis de la seguridad.

Ambas herramientas son aadidas como complementos de MMC.

Herramientas de Plantillas Administrativas.

Configuracin y Anlisis
de la Seguridad.

Es una herramienta con doble objetivo:

Proporcionar los mecanismos para comparar la seguridad de una mquina con una
base de datos de anlisis.

Configurar una mquina con la informacin de una base de datos creada a travs de
plantillas.

Anlisis y configuracin.

Resultante de polticas.

Sistema complementario de los anteriores que evala no solo plantillas de

seguridad sino GPO.

Presenta dos herramientas:

RSoP. Herramienta grfica.

GPRESULT. Lnea de Comando.

Demo:
Aplicacin de Plantillas de Servidores
Analsis de Seguridad

Descanso!

Conlaparticipacinde:
y

RPC sobre HTTPs

Jos Parada Gimeno

Evangelista Microsoft TechNet
Chema Alonso
MVP Windows ServerSecurity
Conlaparticipacinde:
y

RPC Sobre HTTP

Las llamadas a procedimiento remoto son una de las metodologas de

comunicaciones entre mquinas.

Outlook 2003 se conecta a Exchange 2003 mediante el protocolo RPC.

El establecimiento de RPC sobre HTTP, proporciona 3 niveles de seguridad

adicionales sobre las ofrecidas por RPC.

Seguridad

Proporciona seguridad y autentificacin a travs de Internet Information Server.

Proporciona encriptacin SSL.

Permite restricciones e inspecciones de informacin a nivel de RPC proxy.

Arquitectura

En el procedimiento de una comunicacin RPC/HTTPS intervienen los siguientes

componentes:

Cliente RPC/HTTPS.

Proxy/Firewall RPC (enrutador).

Servidor RPC.

Implementaciones.

Microsoft proporciona 2 versiones de implementacin de RPC/HTTP.

Versin 1.
No permite el establecimiento de una sesin SSL sobre el RCP Proxy.
No permite autentificacin sobre RPC/Proxy.
No opera en granja de servidores.

Versin 2.
Permite SSL.
Soporta autentificacin sobre RPC/Proxy.
Opera en granja de servidores.

Sistemas operativos.

Plataforma

Soporte

Implementacin

Windows
Server 2003

Cliente,
servidor y
Proxy RPC

Soporta RPC sobre HTTP v1 y RPC sobre HTTP v2. RPC

Proxy soporta RPC sobre HTTP v2 cuando se est
ejecutando IIS en modo 6.0 . RPC Proxy soporta RPC
sobre HTTP v1 y RPC sobre HTTP v2 cuando IIS se
ejecuta en modo IIS 5.0.

Windows XP
con SP1 o SP2

Cliente y
Servidor

Soporta RPC sobre HTTP v1 y RPC sobre HTTP v2 en

modo cliente y servidor. No soporta PROXY RPC.

Windows XP

Cliente y
servidor

Soporta RPC sobre HTTP v1 solamente en modo cliente

y servidor.

Windows 2000

Cliente,
Servidor y
Proxy RPC

Soporta programas servidor RPC sobre HTTP y Proxy

RPC sobre diferentes equipos. Solamente presenta
soporte solo sobre HTTP v1.

Windows NT
4.0 with SP4

Cliente,
Servidor y
Proxy RPC

Programas servidor RPC sobre HTTP y Proxy RPC deben

ser ejecutadas en la misma mquina. Presenta soporte
solo sobre HTTP v1.

Windows 95/98

Cliente

No soporta servidor HTTP sobre RPC. Windows 95 deben

tener instalados los componentes DCOM 95 v1.2 o
posteriores

Ventajas.

Soporta una plataforma para transmitir informacin segura a travs de Internet.

Permite el enrutamiento de la informacin a travs de una red de forma segura.

Proporciona una plataforma de integracin de antivirus y antispam para la

inspeccin de trfico.

Evita el uso de licencias e implantaciones VPN.

Inspeccin de trfico.

Con la arquitectura de RPC sobre HTTP antivirus y antispam pueden

implementarse en los siguientes niveles:

Cliente. Por ejemplo Outlook 2003.

Proxy RPC. Por ejemplo IIS 6.0/ISA Server 2004.

Servidor RPC. Por ejemplo Exchange 2003.

Configuracin Proxy RPC

Instalar IIS.

Instalar servicios RPC/HTTP desde componentes de Windows.

Configuracin del servicio virtual RPC en IIS.

Activar seguridad en el servicio para utilizar RPC/HTTPS

Exchange

Exchange soporta el servicio RPC sobre HTTPS.

Puede integrarse en la arquitectura

Front End / Back End.

El servidor Front End podra funcionar como:

Servidor RPC Proxy.

Servidor RPC recibiendo y enviando peticiones a un servidor Proxy.

Exchange como servidor RPC

Demo:
Conexin RPC/HTTPs
Outlook 2003 Exchange 2003

MPLS y Hosting de
aplicaciones.
Interaccin con ISA Server

Julio Csar Gmez Martn

Conlaparticipacinde:
y

Indice

Quin es ONO?

Evolucin de las VPNs

VPNs de Nivel 2
VPNs de Nivel 3. IPSec

VPNs Seguras con MPLS

Hosting de Aplicaciones con MPLS

Soluciones con ISA Server 2004 sobre las VPNs de ONO

ISA Server 2004 como Proxy
ISA Server 2004 como Firewall

QuesONO?

ONO es la mayor compaa de comunicaciones integradas por banda ancha

para particulares y una de las principales para empresas en Espaa

Servicios de

televisin + telfono + internet al mercado residencial (en las demarcaciones con

concesin de cable)
servicios y aplicaciones sobre redes IP para empresas (en toda Espaa)

Licencias de cable en la Comunidad Valenciana, Mallorca, Castilla La Mancha,

Murcia, Santander, Cdiz y Huelva.

En febrero de 2004, ONO complet la compra del 61% de Retecal, el operador

de telecomunicaciones por cable de Castilla y Len.

Portfoliodeservicios
Plataforma
de negocio

ASP Exchange
e-Baan: ASP Baan (ERP)
Streaming Video
Hosting Gestionado: Dedicado, compartido

VIP: Redes Privadas Virtuales

SIG: Acceso a Internet Garantizado
Wall: Firewall Gestionado
ISP virtual: ISP virtual

ITS: Trnsito Internet

Housing: Alojamiento de servidores

Conectividad

Infraestructura

Indice

Quin es ONO?

Evolucin de las VPNs

VPNs de Nivel 2
VPNs de Nivel 3. IPSec

VPNs Seguras con MPLS

Hosting de Aplicaciones con MPLS

Soluciones con ISA Server 2004 sobre las VPNs de ONO

ISA Server 2004 como Proxy

ISA Server 2004 como Firewall

DefinicindeVPN

Conexiones realizadas sobre una infraestructura compartida

Funcionalidad similar (mejor?) que una red privada real:

comportamiento (servicio garantizado)

seguridad (integridad datos, confidencialidad)
Seguridad aislamiento

EvolucindelasVPNs

VPN de Nivel 3. IPSec

Tneles GRE y sobre todo IPSec
Autenticacin y cifrado de los datos en Internet
Encaminamiento basado en IP del tnel
Aceleracin de cifrado por HW y SW

VPN de Nivel 2
Frame Relay y ATM
Definicin esttica de Circuitos Virtuales (PVCs)
Encaminamiento basado en DLCI
Escalabilidad y Flexibilidad Limitadas

EvolucindelasVPNs

VPN de Nivel 3. MPLS

Combina los niveles 2 y 3 empleando paquetes
etiquetados
Separacin de la componente de routing de la
de envo
Seguridad inherente: diferencia y asla el trfico
VPN generando redes privadas reales
Comportamiento de la red: ingeniera trfico

Indice

Quin es ONO?

Evolucin de las VPNs

VPNs de Nivel 2
VPNs de Nivel 3. IPSec

VPNs Seguras con MPLS

Hosting de Aplicaciones con MPLS

Soluciones con ISA Server 2004 sobre las VPNs de ONO

ISA Server 2004 como Proxy

ISA Server 2004 como Firewall

Esquemabsicofuncionamiento
1a.- Mediante los protocolos de routing Existentes
(e.g. OSPF), establecemos los destinos mas
apropiados dentro de la red
1b.- A partir de esta informacin LDP genera el
mapeo de destinos mediante Labels

PE

4. El Router de Borde destino (PE2)

elimina la etiqueta y entrega el
paquete

PE

Delegacin

PE

2. El Router de Borde (PE1) recibe un

paquete, marca el paquete con una
etiqueta y lo introduce en la red

PE
P

Sede Central

PE
PE

3. Los Routers de Backbone (P)

conmutan los paquetes mediante
la etiqueta de los paquetes

Esquemabsicofuncionamiento

Backbone MPLS
MP-iBGP

Cliente 1

Routing VPN
Cliente 2

Cliente 1

Routing VPN

Router PE

Router PE

Cliente 2

Router P

IGP IS-IS
Cliente 3

IGP IS-IS
Cliente 3

GeneracindeunaVPN

Tablas de envo (VRF) para cada VPN en el PE permiten encaminar el trfico a

cada miembro de una VPN

Sede #1
Cliente 1

Router Virtual
para el Cliente 1

Sede #2
Cliente 1

Tabla de Routing Virtual

para Cliente 1

Sede #3
Cliente 1

Router Virtual
para el Cliente 2

Sede #1
Cliente 2

Tabla de Routing Virtual

para Cliente 2

Tabla de Routing
GLOBAL

Tabla de Routing
GLOBAL

Router PE

P-Router

GeneracindeunaVPN

Tablas de envo (VRF) para cada VPN en el PE permiten encaminar el trfico a

cada miembro de una VPN

Identidad VPN mediante un distintivo de ruta de 64-bit (Route Distinguisher RD)

RD asignado por el operador, desconocido por el cliente
RD + direccin IP cliente = direccin IP-VPN, globalmente unvoca
Empleo de Route Tarjet (RT) que definen las rutas a importar y exportar de las
VRFs

Plandedireccionamiento

Actualizacin MP-iBGP
Red= 10.1.1.0/24
Next Hop= PE-Router X

Actualizacin MP-iBGP
Red= 10.1.1.0/24
Next Hop= PE-Router Y
PE-Router V

VPN A
CPE
VPN B

10.1.1.0/24

CPE
VPN A

VPN B

10.1.1.0/24
PE-Router X

P-Router Z

PE-Router Y

Plandedireccionamiento

Actualizacin MP-iBGP
RD:100:27
Red= 10.1.1.0/24
Next Hop= PE-Router X

Actualizacin MP-iBGP
RD:100:26
Red= 10.1.1.0/24
Next Hop= PE-Router Y
PE-Router V

VPN A
CPE
VPN B

10.1.1.0/24

CPE
VPN A

VPN B

10.1.1.0/24
PE-Router X

P-Router Z

PE-Router Y

Simplicidaddeconfiguracin

!
interface FastEthernet0

PE

MPLS
ip address 192.168.3.254 255.255.255.0
Backbone

speed auto
PE

!
interface serial0

PE

ip address 192.168.254.2 255.255.255.252

no ip directed-broadcast
no ip route-cache
!

ip route 0.0.0.0 0.0.0.0 serial0

PE

Simplicidaddeconfiguracin
ip vrf vpn_cliente

rd 12457:5
route-target export 12457:5
route-target import 12457:5
!
interface Serial1/1/1
no ip directed-broadcast
no ip proxy-arp
ip address 192.168.254.1255.255.255.252

PE
MPLS
Backbone

PE

ip vrf forwarding vpn_cliente

!
router bgp 12457
address-family ipv4 vrf
vpn_cliente
redistribute static
exit-address-family
!

ip route vrf vpn_cliente 192.168.0.0

255.255.255.0 192.168.254.2

PE

PE

Indice

Quin es ONO?

Evolucin de las VPNs

VPNs de Nivel 2
VPNs de Nivel 3. IPSec

VPNs Seguras con MPLS

Hosting de Aplicaciones con MPLS

Soluciones con ISA Server 2004 sobre las VPNs de ONO

ISA Server 2004 como Proxy
ISA Server 2004 como Firewall

Visibilidadtodoscontodos

Sede Central VPN

Cisco
CPE

Cisco
CPE

ADSL
4Mb

PaP
2Mb

Red MPLS
ONO

Cisco
CPE
PaP
1Mb

Internet
Centralizado

Delegaciones VPN
Conexin SIG con router en Housing.
Conexin al Backbone IP
Alta flexibilidad y escalabilidad
NAT y Servicio Wall Clase C

INTERNET

VisibilidadparcialentreVPNs

Sede 1 CLIENTE A
Agrupacion de
VPNs

CPE

Router
CPE

ADSL

Delegaciones TIPO
Acceso
ADSL/PaP/Cable/RDSI
Cable
CPE

Sede 1 CLIENTE B

RED
ONO
(MPLS)
Sede Central
(Servicios Centrales)

VisibilidadparcialentreVPNs

ip vrf vpn_C
rd 12457:56

route-target import 12457:100

route-target export 12457:100
route-target import 12457:101
route-target import 12457:102
ip vrf vpn_A
rd 12457:3
route-target export 12457:101
route-target import 12457:101

route-target import 12457:100

ip vrf vpn_B
rd 12457:55
route-target export 12457:102
route-target import 12457:102

route-target import 12457:56

HostingdeAplicacionessobreMPLS

Delegacin 2

Delegacin 3

Servidores de
Aplicaciones
Internas
(INTRANET)

Delegacin 1

Red
MPLS

Microsoft
ISA Server
Servidor
Correo

Sede Central
VPN

HostingdeAplicacionessobreMPLS
ip vrf vpn_cliente
rd 12444:406
export map direcciones_loopback
route-target export 12444:406
route-target import 12444:406
route-target import 12457:1
!
interface GE-WAN8/2
no ip address
negotiation auto
mls qos trust dscp
!

interface GE-WAN8/2.300
description Conexion con HOSTING cliente
encapsulation dot1Q 300

ip vrf forwarding vpn_cliente

ip address 192.168.60.254 255.255.255.0
mls qos trust dscp
!
router bgp 12457
address-family ipv4 vrf vpn_cliente_s
redistribute connected

Indice

Quin es ONO?

Evolucin de las VPNs

VPNs de Nivel 2
VPNs de Nivel 3. IPSec

VPNs Seguras con MPLS

Hosting de Aplicaciones con MPLS

Soluciones con ISA Server 2004 sobre las VPNs de ONO

ISA Server 2004 como Proxy
ISA Server 2004 como Firewall

GestindeRedesatravsdeObjetosdeRed

Internet
VPN

Soporta cualquier N de Redes

Pertenecia dinamica a la Red
Reglas y Polticas por Red

Perimetro1

LAN1

Perimetro2

ReglasdeAcceso

Las reglas de acceso siempre definen:

Permitir
Denegar

Usuarios

Red Destino
IP Destino
Sitio de Destino

accin en trafic del usuario del origen al destino con condiciones

Protocolo
IP
Port/Tipo

Red Origen
IP Origen

Schedule
Tipo de contenido

PorqueusarunServidorProxy?

ISA
Server

Mejora la seguridad en el acceso a internet:

Autenticacin de Usuarios
Filtrado de peticiones de cliente
Inspeccin de contenido
Log del acceso de los usuarios
Esconder los detalles de la red interna.

Mejora el rendimiento en el acceso a Internet.

Web
Server

ServidorProxyDirecto.

Esta
El usuario permitido?

El Protocolo permitido?
El destino permitido?

5
2
ISA
Server

Web
Server

ServidorProxyinverso?

Esta
la peticn permitida?

Web
Server

el Protocolo permitido?

DNS
Server

el Destino permitido?

4
5

ISA
Server

1
6

CacheoenISAServer

La cache del servidor ISA almacena una copia del contenido web solicitado
en memoria o en el disco duro.
Nos proporciona:
Mejora de Rendimiento la informacin se almacena localmente en el
servidor ISA.
Reduce el ancho de banda no hay trafico adicional hacia internet.
Escenarios posibles en modo Cacheo:
Cacheo Directo Servidores Web de Internet
Cacheo Inverso Servidores Web internos

ComponentesTCP/IPafectados

Nivel de enlace

Nivel de red

Direccin destino: 0003FFD329B0 Physical

Direccin fuente: 0003FFFDFFFF payload
Destino: 192.168.1.1
fuente: 192.168.1.10
Protocolo: TCP

IP payload

Nivel de
transporte

Puerto destino: 80
Puerto origen: 1159
N secuencia: 3837066872
ACK: 2982470625

Nivel de
aplicacin

HTTP, Mtodo de peticin: Get

HTTP, Versin del protocolo: =HTTP/1.1
HTTP Host: =www.contoso.com

TCP
payload

Queeselfiltradodepaquetes?

Est
l direccin fuente permitida?

Web
Server

l direccin destino permitida?

el protocolo permitido?
sl puerto de destino permitido?

ISA
Server

Packet
Filter

Queeselfiltradodepaquetes?
Reglas de conexin
Crear la regla de conexin

Web
Server

Es el paquete parte de la conexin?

Web
Server

ISA
Server

Queeselfiltradoporaplicacin?

www.contoso.com

Est permitido el mtodo?

Respuesta al cliente

Web
Server

ISA
Server

Est la respuesta permitida en

contenido y mtodos?

FuncionalidadesIDS

Alerta al administrador

Excedido el lmite del

escaneo de puertos

ISA
Server

Ataque de escaneo
de puertos

FiltradodeltrficoderedenISAServer2004

3
Filtrados
WEB

Filtrado por aplicacin

Filtrados
Proxy WEB

Filtrado de
Aplicaciones

Servicios de Firewall
Ingenieria Firewall

Modo Kernel
Bomba de datos

Filtrado por estado

y protocolo

Reglas
De
Ingenier
ia

TCP/IP

Filtrado de paquetes

Resumen:ImplementingISAServer2004comoFirewall

En un entorno de Hosting de aplicaciones con MPLS:

Determinar el permetro de configuracin de Red
Configurar las reglas sobre las distintas redes
Configurar la poltica del sistema
Configurar la deteccin de intrusiones
Configurar las reglas de acceso
Configurar los servicios y polticas de anunci WEB

Reglasdepublicacindeservicios

Las reglas de publicacin aplican a los servidores:

Publicar el contenido usando
mltiples protocolos
Filtrado a nivel de aplicacin para
protocolos con filtros de aplicacin
en ISA

Soporte para encriptacin

Logar direccin IP de
clientes

Redirecconar la peticin a la red interna (DMZ)

Comunicaciones basadas en protocolo y puerto

ISA
Server

MuchasGracias

Tcnicas de deteccin de
SPAM

Jacobo Crespo
Sybari Software

Conlaparticipacinde:
y

AGENDA
1.

Presentacin

2.

Herramientas de Filtrado de Contenido

3.

Filtros AntiSpam en MS Exchange Server 2003

4.

Intelligent Message Filter en Exchange 2003 Demo

5.

Advance Spam Manager SpamCure Demo

Quienes Somos?

1.

Fabricante de Seguridad orientado a Mensajera:

2.

Que ofrece:

3.

Correo Electrnico (Exchange)

Portales para publicacin de documentos (Sharepoint Portal Server)
Servidores de Mensajera Instantnea (Live Communication Server)

Hasta 8 motores de AV Simultneos

Control del contenido enviado en el correo (palabras, adjuntos, tamao,)
Soluciones Antispam (borrado, etiquetado,.)
Auditoria sobre la utilizacin del email (Productividad, almacenamiento, ancho de banda)

En US desde el ao 1994 y en Espaa desde el ao 2000 con mas de 600 clientes

Referencias

Por qu Antispam?
1. Circulan al da 2.3 billones de mensajes SPAM

2. Un buzn de correo normal recibe al da 75 correos de los cuales el 52% es SPAM

3. Se ha cuantificado que el coste por ao por empleado del SPAM es de 300

4. Los costes directos del SPAM son:

1. ROI

Transmitir esos mensajes Reduce el ancho de banda

Almacenar esos mensajes Aumenta el coste de almacenamiento
Borrar o leer esos mensajes Reduce la productividad del empleado

Proteccin Antispam por dos aos para 50 empleados = 1.200

300 x 50 empleados = 15.000 de coste de Spam anual x2 = 30.000
Proteccin Antispam por dos aos para 1.000 empleados = 20.250
300 x 1.000 empleados = 300.000 de coste de Spam anual x2 = 600.000

Filtrado de Contenido

1. Evita que cierto tipo de palabras y tpicos sean enviados hacia o desde los usuarios
2. Sin embargo, es ineficiente para controlar el SPAM

Requiere una atencin continua del Administrador (horas por da)

Algunos simples trucos lo hacen vulnerable

Ejemplos: $ave, V*i*a*gr*a, Ch

Existen 105 variantes solo para la letra A!

Genera muchos falsos positivos

Imposible de utilizar en ciertas industrias

Filtrado de Contenido

V I @ G R A , V--1.@--G.R.a, \./iagra, Viiagra,

V?agr?, V--i--a--g--r-a, V!agra, V1agra,
VI.A.G.R.A, vi@gra, vIagr.a, via-gra, Via.gra,
Vriagra, Viag*ra, vi-agra, Vi-ag.ra, v-iagra,
Viagr-a, V^I^A^G^G^A, V'i'a'g'r'a',
V*I*A,G,R.A, VI.A.G.R.A..., Viag\ra!, Vj@GRA,
V-i:ag:ra, V'i'a'g'r'a, V/i;a:g:r:a, V i a g r @,
V+i\a\g\r\a, Viag[ra, V?agra, V;I;A*G-R-A, V-ia-g-r-a, V*I*A*G*R*A , V-i-@-g-r-a, VI@AGRA,
Vi@gr@, \/^i^ag-ra, VlAGRA, V\i\a.g.r.a,
V1@GRA, v_r_i_a_g_r_a, V\i\a:g:r:a,
V^i^a^g^r^a, V-i-@-g-r-@, Viag(ra.

RBLs (Real Time Black Holes)

Las RBLs son listas de supuestos spammers y sus dominios/direcciones IP

Ejemplos: SpamCop, MAPS, SPEWS, Dorkslayers

Generalmente es manejado por voluntarios, por lo cual no existe una auditora, y

a menudo bloquean mas de la cuenta
Algunos ISPs son agregados, an cuando envan correos legtimos
Borrarse de estas listas puede llevar desde das a meses

Requiere la utilizacin de muchas listas blancas para no generar falsos positivos

Anlisis Heurstico

Utiliza una tcnica que busca miles de caractersticas y/o palabras para identificar
SPAM y asignar una calificacin
El nivel de SPAM debe ser ajustado peridicamente

Es utilizado en muchos productos antispam

Muy conocido por los spammers

Sitios Web de spammers permiten verificar el spam contra motores heursticos

Aumentar el nivel de deteccin = Aumentar los falsos +

Filtros Bayesianos

1. Sistema de aprendizaje basado en anlisis estadsticos de vocabulario

Listas de palabras buenas y malas
2. Necesita intervencin del usuario para que sea efectiva
3. Puede ser muy efectiva para usuarios individuales
4. Es atacado deliberadamente por los spammers
Incluyendo palabras buenas
Generalmente con palabras escondidas dentro de cdigo HTML

Filtros Bayesianos

Ejemplo de palabras
aleatorias para evitar
filtros Bayesianos

Checksums

1. Crea un fingerprint de ejemplos de spam conocido

2. La Base de Datos se actualiza peridicamente
3. Es reactivo
Por definicin, el fingerprint es creado tras identificar el correo como spam
4. Es posible evitarlo con una tcnica llamada hash busting agregando diferentes
caracteres dentro del mensaje

Ejemplo de Hash busting

Ejemplo de hash busting para

evitar la tcnica de checksums

Curiosidades

1. Los Spammers estn continuamente creando trucos y tcnicas para evitar las
diferentes tecnologas de deteccin
2. Algunos Ejemplos..

Filtros AntiSpam en
MS Exchange Server 2003

Jacobo Crespo
Sybari Software

Conlaparticipacinde:
y

Problemtica
1. Plataforma Relay de correo:

El ataque se produce cuando un usuario malicioso vulnera la seguridad de la

plataforma para enviar correo masivo a travs de nuestro servidor.

2. Receptor de Correo Spam:

Se reciben correos que cargan el rendimiento, reducen la productividad de los

empleados y generan gastos directos (sistemas de backup, conexiones GPRS, ancho
de banda, soporte...)

Problemtica Tcnica Relay

Relay

No Relay

Pasarela SMTP

Buzones

Exchange Front-End

Exchange Back-End

Soluciones Exchange Server 2003

1. Opciones de Seguridad para no admitir Relay y, por tanto, no ser plataforma de correo
Spam.

Bloqueo
Bloqueo
Bloqueo
Bloqueo

de Relay por defecto para todos los clientes no autenticados.

por dominios.
por usuarios.
por mquinas.

Soluciones Exchange Server 2003

1. Opciones para detener el correo Spam recibido:

Filtro de Remitente.
Filtro de Destinatario. Nuevo.
Listas Autenticadas. Nuevo.
Filtro de Conexin en tiempo real. Nuevo.
Filtros de Junk e-mail. Nuevo.
IMF. Nuevo.

Soluciones Exchange Server 2003

1. Filtro de Remitente. (Filtro Esttico)

Bloquea los mensajes que proceden de determinados usuarios.

2. Filtro de Destinatario (Filtro Esttico)

Bloquea los mensajes que van dirigidos a determinados destinatarios.

Soluciones Exchange 2003

1. Listas Autenticadas
Se discrimina solo a usuarios autenticados para enviar mensajes a listas de correo.

Soluciones Exchange 2003

1. Filtros de Conexin
Exchange Server 2003 comprueba en tiempo real si un servidor que est enviando
correo est almacenado en una base de datos de servidores nocivos.
2. Implantacin de Filtros de Conexin
Implantamos en un servidor DNS una zona de consulta para almacenar los servidores
bloqueados.
Ej.[bloqueados.midominio.com ]
Aadimos registros del tipo

Configuramos un filtro para que se consulte la zona anterior cada vez que se recibe
una conexin de servidor

13.12.11.10 Host 127.0.0.1

Filtro de Conexin

Se envian los
mensajes al
servidor de
BackEnd

Se deniega la
Se recibe una
conexin
conexin desde
un servidor de
Servidor
correo
El servidor
FrontEnd
El servidor DNS
FrontEnd consulta
contesta si existe
la zona DNS de
o no ese registro.
bloqueo.

Servidor DNS

Servidor
BackEnd

Soluciones Exchange 2003

1. Filtros Junk e-mail en Cliente

Opciones de Outlook 2003

El cliente tiene la opcin de configurar los correos nocivos

El Servidor y SW de terceros (Antigen) catalogan los mensajes para entrar en la

carpeta de Junk-email

En conexiones de pago por transferencia permite ahorrar costes

Intelligent Message Filter &

Advance Spam Manager

Jacobo Crespo
Sybari Software

Conlaparticipacinde:
y

Dos Motores

1. Microsoft IMF
Utiliza la tecnologa SmartScreen
Conjunto detallado de reglas que son comparadas con el correo entrante

2. Sybari/Antigen ASM
Integra el motor de deteccin de spam SpamCure
Utiliza una combinacin de Bullet Signatures y el motor STAR

Tecnologa SmartScreen

1. IMF distingue entre los mensajes de correo legtimos y el correo comercial no solicitado
u otro tipo de correo electrnico no deseado
2. Hace un seguimiento de ms de 500.000 caractersticas de correo electrnico basadas
en datos de cientos de miles de suscriptores del servicio MSN Hotmail que
participaron voluntariamente en la clasificacin de millones de mensajes de correo
electrnico
3. Ayuda a filtrar el correo no deseado antes de que llegue a la bandeja de entrada del
usuario

Tecnologa SmartScreen

1. Base de datos utilizada para almacenar las caractersticas de los correos catalogados
como Spam se actualiza con nueva informacin de patrones del origen de la muestra,
lo que hace que el filtro sea ms eficaz y actual
2. Permite llevar a cabo una evaluacin ms precisa de la legitimidad de un mensaje de
correo electrnico entrante

SCL

Nivel de Confianza del correo no deseado

1. IMF evala el contenido de los mensajes en

busca de modelos reconocibles y les asigna una
clasificacin basada en la probabilidad de que
el mensaje sea correo comercial no solicitado o
correo no deseado
2. La clasificacin se almacena en una base de
datos con el mensaje como una propiedad
llamada nivel de confianza de correo no
deseado (SCL)
3. Los administradores configuran dos umbrales
que determinan la forma en que IMF controla
los mensajes de correo electrnico con
diferentes niveles de SCL

Demo: Intelligent Message Filter (IMF)

ASM
Antigen Advanced Spam
Manager

Jacobo Crespo
Sybari Software

Conlaparticipacinde:
y

Bullet Signatures

1. BD Bullet signatures es creada y revisada por un grupo de expertos

2. Los Bullet signatures son una combinacin de atributos nicos de un spammer en
particular

Un conjunto de datos extrados de la cabecera, del campo asunto y del cuerpo del
mensaje
Funciona tanto para spam actual como futuro
Creados para conseguir caractersticas nicas del mensaje que no puedan estar
presentes en correos legtimos
No puede ser falseado por tcnicas como el Hash Busting

STAR Engine

1. El motor STAR busca trucos y tcnicas especficas de los spammers

Spammer Tricks Analysis and Response
2. Utiliza los Bullet Signatures para buscar mtodos especficos de spamming
3. Se actualiza automticamente cuando se lanza una nueva versin del motor
4. Desde el comienzo est diseado para soportar cualquier idioma, incluso los de doble
byte.

Uno + Uno = TRES

1. Supongamos que recibimos 10.000 correos de SPAM

2. Si el IMF analiza primero, el total de correos de SPAM se reducira a un total de 1500
(85% de deteccin)
3. A partir de ah, SpamCure escanea el correo restante y detectara el 95% de los 1500
4. Lo que reduce a 75 los correos de SPAM que recibiramos

Combinando Tecnologas

1.
2.
3.
4.

El motor IMF analiza los correos en primer lugar

Se aplica una clasificacin SCL a cada correo
Despus pasa por ASM, que tambin analiza el mensaje
ASM nunca reducir la clasificacin de IMF

Resumen

1.
2.
3.
4.
5.

Dos sistemas de deteccin de spam para lograr una mayor efectividad

Mnima intervencin humana
Fcil de instalar y configurar
Integracin entre cliente y servidor
Ratio de deteccin del 99%, mucho mayor que la que pueda ofrecer cualquier
tecnologa por s misma

Demo: Advance Spam Manager. Tecnologa SpamCure

Referencias

1. LSSI :
http://www.lssi.es
2. MS ISA Server 2004:
http://www.microsoft.com/spain/servidores/isaserver
3. Exchange Server 2003
http://www.microsoft.com/spain/exchange
4. Message Screener:
http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/smtpfilter.mspx
5. Technet:
http://www.microsoft.com/spain/technet
6. Sybari:
http://www.sybari.com
7. Informtica 64
http://www.informatica64.com

 Preguntas ?

Contactos

Jacobo Crespo - Sybari Software

jacob_crespo@sybari.com

Chema Alonso - Informtica 64

Chema@informatica64.com

Jos Parada Gimeno - Microsoft

jparada@microsoft.com

Contacto local

CDROM, S.A.

Servicios de Sistemas y Telec.

Microsoft Certified Partner
Area de Seguridad de los S.I.

www.cdromsa.es
Jose Luis Yago
(jose.luis.yago@cdromsa.es)

Prximas Acciones