Professional Documents
Culture Documents
Microsoft TechNet
Agenda I
Introduccin
Tcnicas Hacker de envenenamiento en redes de datos
Spoofing ARP
DNS Hijacking
Phising
Mail Spoofing
Agenda II
VPNs
Introduccin
Motivos
Impacto
Anlisis de Incidentes
Anlisis de Vulnerabilidades
Que es Seguridad?
Porque Atacan?
Hacer Dao
Motivos Financieros
Robar informacin
Chantaje
Fraudes Financieros
Motivos Personales
Desquitarse
Fundamentos polticos o terrorismo
Gastar una broma
Lucirse y presumir
Motivos
Porque MOLA!!
Problema de la Industria IT
Vulnerabilidades en Sistemas Operativos - 2002
120
100
80
60
40
20
0
Windows XP EnGarde
Windows
2000
SuSE
Sun
(OS)
Mandrake
8.x
Trustix
1.5
RedHat
7.2
Debian
Problema de la Industria IT
Vulnerabilidades en Sistemas Operativos - 2003
120
100
80
60
40
20
0
Windows
2003
OpenBSD
Windows
XP
Windows
2000
SuSE
SUN
Mandrake
RedHat
Debian
Fuentes
Debian: http://www.nl.debian.org/security
Mandrake: http://www.mandrakesoft.com/security/advisories
Microsoft: http://www.microsoft.com/technet/security/current.aspx
Open BSD: http://www.openbsd.org/errata35.html
Sun: http://sunsolve.sun.com/pub-cgi/show.pl?target=security/sec
Suse: http://www.novell.com/linux/security/advisories.html
RedHat: http://www.redhat.com/security/updates/
Vulnerabilidades
http://www.securityfocus.com/bid
Problema de la Industria IT
Vulnerabilidades en Sistemas Operativos - Agosto 2004
Tcnicas Hacker de
Envenenamiento en Redes
de Datos
El Modelo OSI
7. Aplicacin
6. Presentacin
5. Sesin
4. Transporte
3. Red
2. Conexin
1.Fisico
En Realidad
Cuatro capas son suficientemente representativas
4. Aplicacin
8-5. usuario
3. Transporte
2. Red
1. interface
ARP, RARP
Tcnicas de Spoofing
Niveles Afectados
ENLACE
Direccin MAC
RED
Direccin IP
SERVICIO
Nombres de dominio
Direcciones de correo electrnico
Nombres de recursos compartidos
Spoofing ARP
Envenenamiento de conexiones.
Man in the Middle.
Spoofing IP
Rip Spoofing.
Hijacking.
Spoofing SMTP
Spoofing DNS
WebSpoofing.
Tcnicas de Sniffing
Tcnicas Combinadas
Sniffing + Spoofing
Hijacking (Secuestro) Y
Envenenamiento
Direccin Fsica
Tiene como objetivo definir un identificador nico para cada dispositivo de red.
Cada equipo cuenta con una cach local donde almacena la informacin que
conoce.
PC 2
PC HACKER
PC 3
Sniffer
PC 1
filtra
Da
tos
PC
4
filtra
PC 4
PC 2
PC HACKER
PC 3
Sniffer
PC 1
MAC 1
MAC 2
MAC H
Da
tos
PC
4
MAC 3
PC 4
MAC 4
Puerto 1 MAC 1
Puerto 2 MAC 2
Puerto 6 MAC H
Puerto 11 MAC 3
Puerto 12 MAC 4
PC 1
IP 1
MAC 1
CONEXIN
PC2
IP 2 MAC H
REENVO A
HOST
PC 2
IP 2
MAC 2
IP 1 MAC H
CACHE ARP
IP 1 MAC H
CACHE ARP
IP 2 MAC H
PC H
IP H
MAC H
ta
es
1
:
1.
66
1.
7:
1.
:7
en :88
99 :44
55
1.1.1
.1
1.
99 1 .
:8 1. 2
8: e
77 st
:6 a e
6: n
55
:4
4
e
n
e
i
t
n
e
i
u
Q
?
2
.
1
.
1.1
1.1.1.2 esta en
00:11:22:33:44:55:66
1.1.1
.2
DNS Spoofing.
WebSpoofing.
Hijacking.
Sniffing
Demo
Robo de contraseas.
DNS Hijacking.
Phising (WebSpoofing).
HTTPS Spoofing.
Medidas preventivas.
Control fsico de la red.
Bloqueo de puntos de acceso.
Segmentacin de red.
Gestin de actualizaciones de seguridad.
Proteccin contra Exploits.
Proteccin contra troyanos.
Medidas preventivas.
Cifrado de comunicaciones.
IPSec.
Cifrado a nivel de Aplicacin:
S/MIME.
SSL.
Certificado de comunicaciones.
Medidas preventivas.
Cifrado y autenticado de
conexiones con IPSec en
redes Windows 2003.
Cifrado de Comunicaciones
Cifrado de Comunicaciones
Cifrado de Comunicaciones
Soluciones:
Transporte:
TLS
SSL
Aplicacin:
HTTP-s
FTP-s
S/MIME
SSH.
IPSec - Definicin
IPSec es unprotocolo que sirve para proteger las comunicaciones entre equipos.
Autenticacin
Integridad
Confidencialidad (cifrado)
IPSec - Objetivos
Autenticacin de la cabecera.
Cifrado del contendio.
IPSec - Funcionamiento
IKE - Funcionamiento
Cabecera de Autenticacin
Autenticacion.
Integridad.
Funcionalidades
Kerberos, certificados o los secretos compartidos pueden ser utilizados para autenticar
el trfico.
La integridad se calcula con algoritmos SHA1 o MD5 que calculan el Integrity Check
Value (ICV)
Encabezados de autenticacin
Firmado
Encab.
Encab. IP
IP
AH
AH
Encab.
Encab.
TCP/UDP
TCP/UDP
Datos
Datos de
de
aplicaciones
aplicaciones
Cabecera ESP
ESP ofrece:
Confidencialidad.
Cabecera ESP
Cifrado de
los datos
Contra la
retransmisin
Proteccin contra
la suplantacin
Cifrado
Nuevo
ESP
Datos
Fin.
ESP Encab.
Aut.
Nuevo
Encab. IP
IP Encab.
Encab.
Datos de
de
Fin. Aut.
encab.
original
Hdr
ESP
encab. IP
IP Hdr
original TCP/UDP
TCP/UDP aplicaciones
aplicaciones ESP
ESP ESP
Firmado
IPSec - Firewalls
IP Protocol ID 50 (ESP)
IP Protocol ID 51 (AH)
UDP Port 500 (IKE)
SA Establishment
App or Service
client
IPSec
PolicyAgent
IKE (ISAKMP)
IPSec
Driver
TCPIP
filters
NIC
IKE Initiator
Application
Server or Gateway
IPSec
PolicyAgent
IKE (ISAKMP)
TCPIP
IPSec
Driver
NIC
IP protocol 50/51
IKE Responder
filters
Modo tnel donde el cifrado se realiza nicamente entre los extremos del tnel.
Modos IPSEC
Modo de transporte
Proporciona cifrado y autenticacin de extremo a extremo
Cifrado
Modo de tnel
Proporciona cifrado y autenticacin slo entre los puntos finales
del tnel
Cifrado
IPSec - Polticas
Cliente.
Servidor.
Servidor seguro.
Este modo est definido por 3 reglas que determinan el comportamiento general
del sistema a las peticiones IP, ICMP y el resto de trfico.
IPSEC - Reglas
Filtros.
Accin de filtros.
Mtodo de autentificacin.
IPSec - Filtros
IPSec - Autenticacin
Kerberos
Certificados
Secretos Compartidos.
IPSec Excepciones.
Broadcast
Multicast
RSVP
IKE
Kerberos
Windows 2003 por defecto securiza todo el trfico excepto IKE. Es posible
configuarlo como en Windows 2000
IPSec Default Exemptions Are Removed in Windows Server 2003
http://support.microsoft.com/default.aspx?scid=kb;EN-US;810207
IPSEC - Monitorizacin
IPSecmon
IP Security Monitor MMC Snap-In
IPSec - Despliegue
GPO
GPO
Despliegue centralizado desde el
Directorio Activo.
Configuracin posible mediante
plantillas.
Site
Domain
OU
Polticas de Grupo
Endurecimiento de
Servidores
Windows 2003
Plantillas de Seguridad
Endurecimiento
Plantillas de seguridad
Aplicacin de Plantillas
Componentes de las
Plantillas de Seguridad
Cuentas de usuario.
Auditoras.
Derechos de usuarios.
Opciones de seguridad.
Visor de sucesos.
Grupos restringidos.
Servicios.
Claves de registro.
Sistema de ficheros.
Configuracin y Anlisis
de la Seguridad.
Proporcionar los mecanismos para comparar la seguridad de una mquina con una
base de datos de anlisis.
Configurar una mquina con la informacin de una base de datos creada a travs de
plantillas.
Anlisis y configuracin.
Resultante de polticas.
Demo:
Aplicacin de Plantillas de Servidores
Analsis de Seguridad
Descanso!
Conlaparticipacinde:
y
Seguridad
Arquitectura
Cliente RPC/HTTPS.
Servidor RPC.
Implementaciones.
Versin 1.
No permite el establecimiento de una sesin SSL sobre el RCP Proxy.
No permite autentificacin sobre RPC/Proxy.
No opera en granja de servidores.
Versin 2.
Permite SSL.
Soporta autentificacin sobre RPC/Proxy.
Opera en granja de servidores.
Sistemas operativos.
Plataforma
Soporte
Implementacin
Windows
Server 2003
Cliente,
servidor y
Proxy RPC
Windows XP
con SP1 o SP2
Cliente y
Servidor
Windows XP
Cliente y
servidor
Windows 2000
Cliente,
Servidor y
Proxy RPC
Windows NT
4.0 with SP4
Cliente,
Servidor y
Proxy RPC
Windows 95/98
Cliente
Ventajas.
Inspeccin de trfico.
Instalar IIS.
Exchange
Demo:
Conexin RPC/HTTPs
Outlook 2003 Exchange 2003
MPLS y Hosting de
aplicaciones.
Interaccin con ISA Server
Conlaparticipacinde:
y
Indice
Quin es ONO?
QuesONO?
Servicios de
Portfoliodeservicios
Plataforma
de negocio
ASP Exchange
e-Baan: ASP Baan (ERP)
Streaming Video
Hosting Gestionado: Dedicado, compartido
Conectividad
Infraestructura
Indice
Quin es ONO?
VPNs de Nivel 2
VPNs de Nivel 3. IPSec
DefinicindeVPN
EvolucindelasVPNs
VPN de Nivel 2
Frame Relay y ATM
Definicin esttica de Circuitos Virtuales (PVCs)
Encaminamiento basado en DLCI
Escalabilidad y Flexibilidad Limitadas
EvolucindelasVPNs
Indice
Quin es ONO?
VPNs de Nivel 2
VPNs de Nivel 3. IPSec
Esquemabsicofuncionamiento
1a.- Mediante los protocolos de routing Existentes
(e.g. OSPF), establecemos los destinos mas
apropiados dentro de la red
1b.- A partir de esta informacin LDP genera el
mapeo de destinos mediante Labels
PE
PE
Delegacin
PE
PE
P
Sede Central
PE
PE
Esquemabsicofuncionamiento
Backbone MPLS
MP-iBGP
Cliente 1
Routing VPN
Cliente 2
Cliente 1
Routing VPN
Router PE
Router PE
Cliente 2
Router P
IGP IS-IS
Cliente 3
IGP IS-IS
Cliente 3
GeneracindeunaVPN
Sede #1
Cliente 1
Router Virtual
para el Cliente 1
Sede #2
Cliente 1
Sede #3
Cliente 1
Router Virtual
para el Cliente 2
Sede #1
Cliente 2
Tabla de Routing
GLOBAL
Tabla de Routing
GLOBAL
Router PE
P-Router
GeneracindeunaVPN
Plandedireccionamiento
Actualizacin MP-iBGP
Red= 10.1.1.0/24
Next Hop= PE-Router X
Actualizacin MP-iBGP
Red= 10.1.1.0/24
Next Hop= PE-Router Y
PE-Router V
VPN A
CPE
VPN B
10.1.1.0/24
CPE
VPN A
VPN B
10.1.1.0/24
PE-Router X
P-Router Z
PE-Router Y
Plandedireccionamiento
Actualizacin MP-iBGP
RD:100:27
Red= 10.1.1.0/24
Next Hop= PE-Router X
Actualizacin MP-iBGP
RD:100:26
Red= 10.1.1.0/24
Next Hop= PE-Router Y
PE-Router V
VPN A
CPE
VPN B
10.1.1.0/24
CPE
VPN A
VPN B
10.1.1.0/24
PE-Router X
P-Router Z
PE-Router Y
Simplicidaddeconfiguracin
!
interface FastEthernet0
PE
MPLS
ip address 192.168.3.254 255.255.255.0
Backbone
speed auto
PE
!
interface serial0
PE
PE
Simplicidaddeconfiguracin
ip vrf vpn_cliente
rd 12457:5
route-target export 12457:5
route-target import 12457:5
!
interface Serial1/1/1
no ip directed-broadcast
no ip proxy-arp
ip address 192.168.254.1255.255.255.252
PE
MPLS
Backbone
PE
PE
PE
Indice
Quin es ONO?
Visibilidadtodoscontodos
Cisco
CPE
ADSL
4Mb
PaP
2Mb
Red MPLS
ONO
Cisco
CPE
PaP
1Mb
Internet
Centralizado
Delegaciones VPN
Conexin SIG con router en Housing.
Conexin al Backbone IP
Alta flexibilidad y escalabilidad
NAT y Servicio Wall Clase C
INTERNET
VisibilidadparcialentreVPNs
Sede 1 CLIENTE A
Agrupacion de
VPNs
CPE
Router
CPE
ADSL
Delegaciones TIPO
Acceso
ADSL/PaP/Cable/RDSI
Cable
CPE
Sede 1 CLIENTE B
RED
ONO
(MPLS)
Sede Central
(Servicios Centrales)
VisibilidadparcialentreVPNs
ip vrf vpn_C
rd 12457:56
HostingdeAplicacionessobreMPLS
Delegacin 2
Delegacin 3
Servidores de
Aplicaciones
Internas
(INTRANET)
Delegacin 1
Red
MPLS
Microsoft
ISA Server
Servidor
Correo
Sede Central
VPN
HostingdeAplicacionessobreMPLS
ip vrf vpn_cliente
rd 12444:406
export map direcciones_loopback
route-target export 12444:406
route-target import 12444:406
route-target import 12457:1
!
interface GE-WAN8/2
no ip address
negotiation auto
mls qos trust dscp
!
interface GE-WAN8/2.300
description Conexion con HOSTING cliente
encapsulation dot1Q 300
Indice
Quin es ONO?
GestindeRedesatravsdeObjetosdeRed
Internet
VPN
Perimetro1
LAN1
Perimetro2
ReglasdeAcceso
Usuarios
Red Destino
IP Destino
Sitio de Destino
Red Origen
IP Origen
Schedule
Tipo de contenido
PorqueusarunServidorProxy?
ISA
Server
Web
Server
ServidorProxyDirecto.
Esta
El usuario permitido?
El Protocolo permitido?
El destino permitido?
5
2
ISA
Server
Web
Server
ServidorProxyinverso?
Esta
la peticn permitida?
Web
Server
el Protocolo permitido?
DNS
Server
el Destino permitido?
4
5
ISA
Server
1
6
CacheoenISAServer
La cache del servidor ISA almacena una copia del contenido web solicitado
en memoria o en el disco duro.
Nos proporciona:
Mejora de Rendimiento la informacin se almacena localmente en el
servidor ISA.
Reduce el ancho de banda no hay trafico adicional hacia internet.
Escenarios posibles en modo Cacheo:
Cacheo Directo Servidores Web de Internet
Cacheo Inverso Servidores Web internos
ComponentesTCP/IPafectados
Nivel de enlace
Nivel de red
IP payload
Nivel de
transporte
Puerto destino: 80
Puerto origen: 1159
N secuencia: 3837066872
ACK: 2982470625
Nivel de
aplicacin
TCP
payload
Queeselfiltradodepaquetes?
Est
l direccin fuente permitida?
Web
Server
ISA
Server
Packet
Filter
Queeselfiltradodepaquetes?
Reglas de conexin
Crear la regla de conexin
Web
Server
Web
Server
ISA
Server
Queeselfiltradoporaplicacin?
www.contoso.com
Respuesta al cliente
Web
Server
ISA
Server
FuncionalidadesIDS
Alerta al administrador
ISA
Server
Ataque de escaneo
de puertos
FiltradodeltrficoderedenISAServer2004
3
Filtrados
WEB
Filtrados
Proxy WEB
Filtrado de
Aplicaciones
Servicios de Firewall
Ingenieria Firewall
Modo Kernel
Bomba de datos
Reglas
De
Ingenier
ia
TCP/IP
Filtrado de paquetes
Resumen:ImplementingISAServer2004comoFirewall
Reglasdepublicacindeservicios
ISA
Server
MuchasGracias
Tcnicas de deteccin de
SPAM
Jacobo Crespo
Sybari Software
Conlaparticipacinde:
y
AGENDA
1.
Presentacin
2.
3.
4.
5.
Quienes Somos?
1.
2.
Que ofrece:
3.
Referencias
Por qu Antispam?
1. Circulan al da 2.3 billones de mensajes SPAM
1. ROI
Filtrado de Contenido
1. Evita que cierto tipo de palabras y tpicos sean enviados hacia o desde los usuarios
2. Sin embargo, es ineficiente para controlar el SPAM
Filtrado de Contenido
Anlisis Heurstico
Utiliza una tcnica que busca miles de caractersticas y/o palabras para identificar
SPAM y asignar una calificacin
El nivel de SPAM debe ser ajustado peridicamente
Filtros Bayesianos
Filtros Bayesianos
Ejemplo de palabras
aleatorias para evitar
filtros Bayesianos
Checksums
Curiosidades
1. Los Spammers estn continuamente creando trucos y tcnicas para evitar las
diferentes tecnologas de deteccin
2. Algunos Ejemplos..
Filtros AntiSpam en
MS Exchange Server 2003
Jacobo Crespo
Sybari Software
Conlaparticipacinde:
y
Problemtica
1. Plataforma Relay de correo:
Relay
No Relay
Pasarela SMTP
Buzones
Exchange Front-End
Exchange Back-End
1. Opciones de Seguridad para no admitir Relay y, por tanto, no ser plataforma de correo
Spam.
Bloqueo
Bloqueo
Bloqueo
Bloqueo
Filtro de Remitente.
Filtro de Destinatario. Nuevo.
Listas Autenticadas. Nuevo.
Filtro de Conexin en tiempo real. Nuevo.
Filtros de Junk e-mail. Nuevo.
IMF. Nuevo.
1. Listas Autenticadas
Se discrimina solo a usuarios autenticados para enviar mensajes a listas de correo.
Configuramos un filtro para que se consulte la zona anterior cada vez que se recibe
una conexin de servidor
Filtro de Conexin
Se envian los
mensajes al
servidor de
BackEnd
Se deniega la
Se recibe una
conexin
conexin desde
un servidor de
Servidor
correo
El servidor
FrontEnd
El servidor DNS
FrontEnd consulta
contesta si existe
la zona DNS de
o no ese registro.
bloqueo.
Servidor DNS
Servidor
BackEnd
Jacobo Crespo
Sybari Software
Conlaparticipacinde:
y
Dos Motores
1. Microsoft IMF
Utiliza la tecnologa SmartScreen
Conjunto detallado de reglas que son comparadas con el correo entrante
2. Sybari/Antigen ASM
Integra el motor de deteccin de spam SpamCure
Utiliza una combinacin de Bullet Signatures y el motor STAR
Tecnologa SmartScreen
1. IMF distingue entre los mensajes de correo legtimos y el correo comercial no solicitado
u otro tipo de correo electrnico no deseado
2. Hace un seguimiento de ms de 500.000 caractersticas de correo electrnico basadas
en datos de cientos de miles de suscriptores del servicio MSN Hotmail que
participaron voluntariamente en la clasificacin de millones de mensajes de correo
electrnico
3. Ayuda a filtrar el correo no deseado antes de que llegue a la bandeja de entrada del
usuario
Tecnologa SmartScreen
1. Base de datos utilizada para almacenar las caractersticas de los correos catalogados
como Spam se actualiza con nueva informacin de patrones del origen de la muestra,
lo que hace que el filtro sea ms eficaz y actual
2. Permite llevar a cabo una evaluacin ms precisa de la legitimidad de un mensaje de
correo electrnico entrante
SCL
ASM
Antigen Advanced Spam
Manager
Jacobo Crespo
Sybari Software
Conlaparticipacinde:
y
Bullet Signatures
Un conjunto de datos extrados de la cabecera, del campo asunto y del cuerpo del
mensaje
Funciona tanto para spam actual como futuro
Creados para conseguir caractersticas nicas del mensaje que no puedan estar
presentes en correos legtimos
No puede ser falseado por tcnicas como el Hash Busting
STAR Engine
Combinando Tecnologas
1.
2.
3.
4.
Resumen
1.
2.
3.
4.
5.
Referencias
1. LSSI :
http://www.lssi.es
2. MS ISA Server 2004:
http://www.microsoft.com/spain/servidores/isaserver
3. Exchange Server 2003
http://www.microsoft.com/spain/exchange
4. Message Screener:
http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/smtpfilter.mspx
5. Technet:
http://www.microsoft.com/spain/technet
6. Sybari:
http://www.sybari.com
7. Informtica 64
http://www.informatica64.com
Preguntas ?
Contactos
Contacto local
CDROM, S.A.
www.cdromsa.es
Jose Luis Yago
(jose.luis.yago@cdromsa.es)
Prximas Acciones