Gira Provincias 04/05 Microsoft Technet

Agenda
Tcnicas de envenenamiento en redes de datos.
Spoofing ARP DNS Hijacking Phising Mail Spoofing

Contramedidas Hacking.

Cifrado y autenticado de conexiones con IPSec en redes Windows 2003

Descanso (20 minutos) Contramedidas Hacking. (cont)

Endurecimiento de servidores Windows 2003 Conexiones seguras con RCP/HTTPS

Tcnicas de Spam

Tcnicas Euristicas, Bayesianas y FingerPrinting Contramedidas Spam y malware

Tcnicas de Envenenamiento en Redes de Datos con Windows 2003

Chema Alonso MVP Windows Server Security Jos Parada Gimeno Microsoft

El Modelo OSI
7. Aplicacin 6. Presentacin 5. Sesin 4. Transporte 3. Red 2. Conexin 1.Fisico

En Realidad
Cuatro capas son suficientemente representativas
8-5. usuario 3. Transporte 2. Red
HTTP, FTP, TFTP, telnet, ping, SMTP, POP3, IMAP4, RPC, SMB, NTP, DNS,

4. Aplicacin

TCP, UDP, IPsec IP, ICMP, IGMP

1. interface

ARP, RARP

Tcnicas de Spoofing
Las tcnicas spoofing tienen como objetivo suplantar validadores estticos Un validador esttico es un medio de autenticacin que permanece invariable antes, durante y despus de la concesin.

Niveles Afectados

ENLACE Direccin MAC RED Direccin IP SERVICIO Nombres de dominio Direcciones de correo electrnico Nombres de recursos compartidos

Tipos de tcnicas de Spoofing

Spoofing ARP
Envenenamiento de conexiones. Man in the Middle.

Spoofing IP
Rip Spoofing. Hijacking.

Spoofing SMTP Spoofing DNS

WebSpoofing.

Tcnicas de Sniffing
Capturan trfico de red. Necesitan que la seal fsica llegue al NIC. En redes de difusin mediante concentradores todas las seales llegan a todos los participantes de la comunicacin. En redes conmutadas la comunicacin se difunde en funcin de direcciones.
Switches utilizan direccin MAC.

Tcnicas Combinadas

Sniffing + Spoofing Hijacking Y Envenenamiento

Nivel de Enlace: Spoofing ARP

Suplantar identidades fsicas.

Saltar protecciones MAC. Suplantar entidades en clientes DHCP. Suplantar routers de comunicacin.

Solo tiene sentido en comunicaciones locales.

Direccin Fsica

Tiene como objetivo definir un identificador nico para cada dispositivo de red. Cuando una mquina quiere comunicarse con otra necesita conocer su direccin fsica. Protocolo ARP No se utilizan servidores que almacenen registros del tipo: Direccin MAC <-> Direccin IP. Cada equipo cuenta con una cach local donde almacena la informacin que conoce.

Sniffing en Redes de Difusin

PC 2 PC HACKER
Sniffer

PC 3

PC 1

filtra

filtra

PC 4

Da tos PC 4

Sniffing en Redes Conmutadas

PC 2 PC HACKER
Sniffer

PC 3

PC 1

MAC 2
Da tos PC 4

MAC H

MAC 3

PC 4

MAC 1

MAC 4
Puerto 1 MAC 1 Puerto 2 MAC 2 Puerto 6 MAC H Puerto 11 MAC 3 Puerto 12 MAC 4

Envenenamiento de Conexiones Man in the Middle

La tcnica consiste en interponerse entre dos sistemas. Para lograr el objetivo se utiliza el protocolo ARP. El envenenamiento puede realizarse entre cualquier dispositivo de red.

Envenenamiento de Conexiones Man in the Middle

PC 1 IP 1 MAC 1
CONEXIN PC2 REENVO A HOST

PC 2 IP 2 MAC 2

IP 2 MAC H CACHE ARP IP 2 MAC H

IP 1 MAC H CACHE ARP IP 1 MAC H

PC H IP H MAC H

Ataque ARP Man In The Middle

ta es 1 :5 1. 66 1. 7: 1. :7 en :88 9 9 44 5:

1.1.1 .1

1. 99 1. :8 1.2 8: e 77 st :6 a e 6: n 55 :4 4

e ien t ien Qu 1.2? . 1.1 1.1.1.2 esta en 00:11:22:33:44:55:66

1.1.1 .2

Man in the Middle

Sirve como plataforma para otros ataques.

DNS Spoofing. WebSpoofing. Hijacking. Sniffing

Se utiliza para el robo de contraseas.

Demo
Envenamiento entre hosts.
Robo de contraseas. DNS Hijacking. Phising (WebSpoofing). HTTPS Spoofing.

Proteccin contra Envenenamiento

Medidas preventivas.

Control fsico de la red. Bloqueo de puntos de acceso. Segmentacin de red. Gestin de actualizaciones de seguridad. Proteccin contra Exploits. Proteccin contra troyanos.

Proteccin contra Envenenamiento

Medidas preventivas.

Cifrado de comunicaciones. IPSec. Cifrado a nivel de Aplicacin: S/MIME. SSL. Certificado de comunicaciones.

Proteccin contra Envenenamiento

Medidas preventivas.

Utilizacin de detectores de Sniffers. Utilizan test de funcionamiento anmalo. Test ICMP. Test DNS. Test ARP.

Frase vs. Passwords

Las 4 leyes fundamentales de la proteccin de datos

Autentica en todas partes. Valida Siempre. Autoriza y audita todo. Cifra siempre que sea necesario.

Cifrado y autenticado de conexiones con IPSec en redes Windows 2003.

Cifrado de Comunicaciones
IPv4 no ofrece cifrado de comunicaciones a nivel de red y transporte. Solo se puede garantizar la no interceptacin de la informacin en lneas privadas. Los entornos son abiertos. Movilidad. La privacidad de la informacin es una necesidad

Cifrado de Comunicaciones
Mltiples tcnicas de ataque contra las comunicaciones.
Sniffers de alta calidad que ordenan la informacin y la decodifican. Tcnicas Man In The Middle:
Spoofing ARP. Envenenamiento de sesiones. Port Stealing. Hijacking. Achilles. RipSpoofing. DNS Spoofing.

Cifrado de Comunicaciones

Cifrado de Comunicaciones
Cifrar comunicaciones tiene carencias:
Las tcnicas de spoofing no se eliminan, es necesario autenticar a los participantes.
Cain -> HTTP-s. WebSpoofing.

Los cifrados extremo a extremo anulan:

Firewalls. Antivirus. Antispam. Sistemas de Deteccin de Intrusos.

Cifrado de Comunicaciones
La eleccin de la proteccin debe cumplir:
No anular otras defensas. Permitir autenticacin integrada. No suponer un coste excesivo en:
Rendimiento. Adquisicin. Implantacin. Mantenimiento.

Cifrado de Comunicaciones
Soluciones:
Red : IPv6 -> IPSec. Transporte:
TLS SSL

Aplicacin:
HTTP-s FTP-s S/MIME SSH.

Datos: Cifrado informacin.

IPSec - Definicin
IPSec es un protocolo que sirve para proteger las comunicaciones entre equipos. Ofrece las siguientes caractersticas:
Autenticacin Integridad Confidencialidad (cifrado)

IPSec - Objetivos
Proteger el contenido de las cabeceras IP contra ataques activos y pasivos mediante :
Autenticacin de la cabecera. Cifrado del contendio.

Defender los equipos contra ataques de red:

Filtrado de conexiones (sniffing). Autenticacin de conexiones.

IPSec - Funcionamiento
Dos grupos de protocolos distintos
Protocolos de gestin de claves:
IKE ( Internet Key Exchange) y sus asociados ISAKMP y OAKLEY KEY)

Protocolos de autenticacin, cifrado y manipulacin de paquetes:

AH ( Autentication Header ) ESP ( Encapsulating Security Payload )

IKE - Funcionamiento
IKE tiene dos modos de funcionamiento. Modo Principal y Modo Rpido.
Centraliza la gestin de asociaciones (SA) para reducir el tiempo. Genera y gestiona las claves usadas para securizar la informacin.

IPSec Proceso de Cifrado

El proceso de cifrado est compuesto de dos protocolos.
Autenticacin de cabecera (AH) Cifrado de Trfico (ESP)

Cabecera de Autenticacin
Authentication Header (AH) ofrece:
Autenticacion. Integridad.

Funcionalidades
Kerberos, certificados o los secretos compartidos pueden ser utilizados para autenticar el trfico. La integridad se calcula con algoritmos SHA1 o MD5 que calculan el Integrity Check Value (ICV)

IPSec Cabecera AH.

Encabezados de autenticacin
Autenticidad de los datos Integridad de los datos Contra la retransmisin Proteccin contra la suplantacin
Firmado
Encab. IP Encab. IP AH AH Encab. Encab. TCP/UDP TCP/UDP Datos de Datos de aplicaciones aplicaciones

Cabecera ESP
Encapsulating Security Payload (ESP) ESP ofrece:
Confidencialidad.

ESP puede ser utilizada sola o combinada con AH. Multiples algoritmos de cifrado
DES claves de cifrado de 56-bit 3DES claves de cifrado de 168-bit

Multiples algoritmos de firmado.

SHA1 160-bit digest MD5 128-bit

Cabecera ESP
Carga de seguridad de encapsulacin

Autenticacin del origen Cifrado de los datos Contra la retransmisin Proteccin contra la suplantacin
Nuevo Nuevo encab. IP encab. IP

Cifrado
ESP Encab. IP Encab. Datos de Fin. Aut. ESP Encab. IP Encab. Datos de Fin. Aut. Hdr Hdr original TCP/UDP aplicaciones ESP ESP original TCP/UDP aplicaciones ESP ESP

Firmado

IPSec - Firewalls
IPSec se enruta como trfico IPv4. En firewalls debe ser activado el reenvio IP para:
IP Protocol ID 50 (ESP) IP Protocol ID 51 (AH) UDP Port 500 (IKE)

El trfico IPSec que pasa por un firewall no puede ser inspeccionado.

SA Establishment
App or Service client
IPSec PolicyAgent

UDP port 500 negotiation 1 IKE SA 2 IPSec SAs

Application Server or Gateway

IPSec PolicyAgent

IKE (ISAKMP)

IKE (ISAKMP)

IPSec Driver
filters

TCPIP
NIC

TCPIP
NIC

IPSec Driver
filters

IKE Initiator

IP protocol 50/51

IKE Responder

IPSec - Modos de trabajo

El sistema IPSEC puede trabajar en dos modos:
Modo de transporte: donde el cifrado se realiza de extremo a extremo. Modo tnel donde el cifrado se realiza nicamente entre los extremos del tnel.

Modos IPSEC
Modo de transporte Proporciona cifrado y autenticacin de extremo a extremo

Cifrado

Modo de tnel Proporciona cifrado y autenticacin slo entre los puntos finales del tnel

Cifrado

IPSEC - Coste de cifrado

Disminucin del rendimiento que es proporcional al hardware del sistema.
Tiempo de negociacin IKE aproximadamente 2-5 segundos inicialmente Session rekey < 1-2 segundos

Prdida de la capacidad de filtrado de paquetes. Recursos destinados a la solucin de problemas. Concienciacin tcnica de su necesidad y su uso.

IPSec en Windows 2000- 2003

Se configura mediante polticas
Almacenadas en el Directorio Activo o en en Registro Local del Servidor. Controlan la entrada y salida de paquetes permitidos.

Las Politicas IPSec estn formadas por listas de reglas.

Estn compuestas de asociaciones de acciones y protocolos. Se definen a nivel de protocolo o a nivel de puerto. Acciones permitidas:
Bloquear. Permitir. Pedir seguirdad.

Se aplica el filtro ms permisivo.

IPSec - Polticas
Podrn utilizarse polticas por defecto o las creadas manualmente. El sistema proporciona 3 polticas por defecto que van a determinar diferentes comportamientos de la mquina con respecto a IPSEC.
Cliente. Servidor. Servidor seguro.

IPSec - Poltica de cliente.

Modo de solo respuestas. Un sistema en modo cliente responde a peticiones que le realicen en IPSEC. No inicia conversaciones en modo IPSEC, solamente en claro.

IPSec - Poltica de servidor.

Intenta establecer comunicaciones cifradas, pero si la otra mquina no tiene configurado IPSEC la comunicacin se establece en claro. Este modo est definido por 3 reglas que determinan el comportamiento general del sistema a las peticiones IP, ICMP y el resto de trfico.

IPSec - Poltica Servidor Seguro

El equipo solo puede establecer comunicaciones seguras. La poltica establece 3 reglas, para el trfico de peticiones IP, ICMP y el resto de trfico.

IPSEC - Reglas
Las reglas IPSEC determinan el comportamiento del sistema en la transmisin de la informacin. Las reglas estn compuestas por los siguientes objetos:
Filtros. Accin de filtros. Mtodo de autentificacin.

IPSec - Filtros
En la configuracin de los filtros hay que especificar los siguientes parmetros:
Determinar la posibilidad o no de establecer un tnel de comunicacin. Qu redes o equipos se van a ver afectados. El mtodo de autentificacin para la transmisin. Mtodos de seguridad. Las acciones de filtrado.

IPSec - Autenticacin
Kerberos
Requiere tiempo de sincronizacin. Solo dentro del bosque.

Certificados
Requiere la implementacin de PKI. CRL est deshabilitado por defecto.

Secretos Compartidos.
Tan seguro como sea el secreto. En entornos grandes es dificil de mantener.

IPSec - PKI Autodespliegue

Se puede configurar un entorno de autodespligue de certificados digitales para equipos :
Instalando una Entidad Certificadora Raiz integrada. Activando la Peticin de Certificado Automtico en la CPO del dominio.

IPSec Excepciones.
IPSec en Windows 2000 no securiza por defecto el siguiente trfico :
Broadcast Multicast RSVP IKE Kerberos

Windows 2003 por defecto securiza todo el trfico excepto IKE. Es posible configuarlo como en Windows 2000
IPSec Default Exemptions Are Removed in Windows Server 2003 http://support.microsoft.com/default.aspx?scid=kb;EN -US;810207

IPSEC - Monitorizacin
IPSecmon IP Security Monitor MMC Snap-In

IPSec - Despliegue
GPO Despliegue centralizado desde el Directorio Activo. Configuracin posible mediante plantillas.
GPO

Sit e

Doma in

OU

Polticas de Grupo

Demo Configuracin IPSec

Descanso

Endurecimiento de Servidores Windows 2003 Plantillas de Seguridad

Endurecimiento
El aumento de ataques en las redes han hecho necesarias implementar medidas para fortificar los servicios de las empresas. Entre las medidas caben destacar las actualizaciones de los sistemas y la fortificacin de los servidores desde la configuracin de la seguridad interna mediante plantillas.

Plantillas de seguridad
Proporcionan los mecanismos para incrementar la seguridad sobre los equipos. Son ficheros que proporcionan la capacidad para simplificar la implantacin de seguridad en equipos. Incrementan o modifican las directivas que se estn aplicando.

Aplicacin de Plantillas
Las plantillas pueden aplicarse por importacin en polticas locales o mediante el uso en GPO. Mediante la herramienta de configuracin de seguridad. Mediante lnea de comando con la ejecucin del comando Secedit.

Componentes de las Plantillas de Seguridad

Las plantillas de seguridad controlan los siguientes aspectos de una mquina:
Cuentas de usuario. Auditoras. Derechos de usuarios. Opciones de seguridad. Visor de sucesos. Grupos restringidos. Servicios. Claves de registro. Sistema de ficheros.

Herramientas de Gestin de Plantillas

La administracin de las plantillas puede ser realizada desde:
La consola Plantillas de seguridad. Consola configuracin y anlisis de la seguridad.

Ambas herramientas son aadidas como complementos de MMC.

Herramientas de Plantillas Administrativas.

Consola de Plantillas de Seguridad

Gestiona aquellas plantillas predefinidas por Microsoft. Se encuentran en la siguiente ruta: %systemroot%\security\templates. Permite generar nuevas plantillas y realizar administracin sobre ellas.

Plantillas Predefinidas.
Plantilla por defecto (Setup security). Plantilla de controladores de dominio (DC security). Compatible (Compatws). Seguridad (Securedc Securews). Altamente seguro (Hisecdc Hisecws). Seguridad permisos raz de las unidades (Rootsec).

Configuracin y Anlisis de la Seguridad.

Es una herramienta con doble objetivo:
Proporcionar los mecanismos para comparar la seguridad de una mquina con una base de datos de anlisis. Configurar una mquina con la informacin de una base de datos creada a travs de plantillas.

Anlisis.
El anlisis se basa en operaciones de una base de datos sobre la que se irn importando las plantillas necesarias. Posteriormente se ejecute el anlisis que determina la diferencias entre la base de datos y las directivas efectivas en la mquina.

Configuracin
Apertura de base de datos. Puede ser nueva o una ya existente. Importacin de plantillas hasta conseguir la configuracin deseada. Seleccionar configurar equipo ahora. Seleccionar la ruta del registro de errores.

Anlisis y configuracin.

Secedit
Comando que permite realizar operaciones sobre la configuracin de seguridad. Permite realizar operaciones mediante scripts. En windows 2003 pierde la funcionalidad de /refreshpolicy, reemplazada por la orden gpupdate

Funcionalidades Secedit
Analizar.
secedit /analyze /db FileName.sdb [/cfg FileName] [/overwrite] [/log FileName] [/quiet]

Configurar.
secedit /configure /db FileName [/cfg FileName ] [/overwrite][/areas Area1 Area2 ...] [/log FileName] [/quiet]

Exportar.
secedit /export [/DB FileName] [/mergedpolicy] [/CFG FileName] [/areas Area1 Area2 ...] [/log FileName] [/quiet]

Importar.
secedit /import /db FileName.sdb /cfg FileName.inf [/overwrite] [/areas Area1 Area2 ...] [/log FileName] [/quiet]

Resultante de polticas.
Sistema complementario de los anteriores que evala no solo plantillas de seguridad sino GPO. Presenta dos herramientas:
RSoP. Herramienta grfica. GPRESULT. Lnea de Comando.

Demo: Aplicacin de Plantillas de Servidores Analsis de Seguridad

RPC sobre HTTPs

RPC Sobre HTTP

Las llamadas a procedimiento remoto son una de las metodologas de comunicaciones entre mquinas. Outlook 2003 se conecta a Exchange 2003 mediante el protocolo RPC. El establecimiento de RPC sobre HTTP, proporciona 3 niveles de seguridad adicionales sobre las ofrecidas por RPC.

Seguridad
Proporciona seguridad y autentificacin a travs de Internet Information Server. Proporciona encriptacin SSL. Permite restricciones e inspecciones de informacin a nivel de RPC proxy.

Arquitectura
En el procedimiento de una comunicacin RPC/HTTPS intervienen los siguientes componentes:
Cliente RPC/HTTPS. Proxy/Firewall RPC (enrutador). Servidor RPC.

Implementaciones.
Microsoft proporciona 2 versiones de implementacin de RPC/HTTP.
Versin 1.
No permite el establecimiento de una sesin SSL sobre el RCP Proxy. No permite autentificacin sobre RPC/Proxy. No opera en granja de servidores.

Versin 2.
Permite SSL. Soporta autentificacin sobre RPC/Proxy. Opera en granja de servidores.

Sistemas operativos.
Plataforma
Windows Server 2003

Soporte
Cliente, servidor y Proxy RPC

Implementacin
Soporta RPC sobre HTTP v1 y RPC sobre HTTP v2. RPC Proxy soporta RPC sobre HTTP v2 cuando se est ejecutando IIS en modo 6.0 . RPC Proxy soporta RPC sobre HTTP v1 y RPC sobre HTTP v2 cuando IIS se ejecuta en modo IIS 5.0. Soporta RPC sobre HTTP v1 y RPC sobre HTTP v2 en modo cliente y servidor. No soporta PROXY RPC. Soporta RPC sobre HTTP v1 solamente en modo cliente y servidor. Soporta programas servidor RPC sobre HTTP y Proxy RPC sobre diferentes equipos. Solamente presenta soporte solo sobre HTTP v1. Programas servidor RPC sobre HTTP y Proxy RPC deben ser ejecutadas en la misma mquina. Presenta soporte solo sobre HTTP v1. No soporta servidor HTTP sobre RPC. Windows 95 deben tener instalados los componentes DCOM 95 v1.2 o posteriores

Windows XP con SP1 o SP2 Windows XP

Cliente y Servidor Cliente y servidor Cliente, Servidor y Proxy RPC Cliente, Servidor y Proxy RPC Cliente

Windows 2000

Windows NT 4.0 with SP4

Windows 95/98

Ventajas.
Soporta una plataforma para transmitir informacin segura a travs de Internet. Permite el enrutamiento de la informacin a travs de una red de forma segura. Proporciona una plataforma de integracin de antivirus y antispam para la inspeccin de trfico. Evita el uso de licencias e implantaciones VPN.

Inspeccin de trfico.
Con la arquitectura de RPC sobre HTTP antivirus y antispam pueden implementarse en los siguientes niveles:
Cliente. Por ejemplo Outlook 2003. Proxy RPC. Por ejemplo IIS 6.0/ISA Server 2004. Servidor RPC. Por ejemplo Exchange 2003.

Configuracin Proxy RPC

Instalar IIS. Instalar servicios RPC/HTTP desde componentes de Windows. Configuracin del servicio virtual RPC en IIS. Activar seguridad en el servicio para utilizar RPC/HTTPS

Exchange
Exchange soporta el servicio RPC sobre HTTPS. Puede integrarse en la arquitectura Front End / Back End. El servidor Front End podra funcionar como:
Servidor RPC Proxy. Servidor RPC recibiendo y enviando peticiones a un servidor Proxy.

Exchange como servidor RPC

Demo: Conexin RPC/HTTPs Outlook 2003 Exchange 2003

Tcnicas de deteccin de SPAM

Jacobo Crespo Sybari Software

AGENDA
1.- Presentacin 2.- Herramientas de Filtrado de Contenido 3.- Filtros AntiSpam en MS Exchange Server 2003 4.- Intelligent Message Filter en Exchange 2003 - Demo 5.- Advance Spam Manager SpamCure Demo

Quienes Somos?
1.- Fabricante de Seguridad orientado a Mensajera: a.- Correo Electrnico (Exchange) b.- Portales para publicacin de documentos (Sharepoint Portal Server) c.- Servidores de Mensajera Instantnea (Live Communication Server) 2.- Que ofrece: a.- Hasta 8 motores de AV Simultneos b.- Control del contenido enviado en el correo (palabras, adjuntos, tamao,) c.- Soluciones Antispam (borrado, etiquetado,.) d.- Auditoria sobre la utilizacin del email (Productividad, almacenamiento, ancho de banda) 3.- En US desde el ao 1994 y en Espaa desde el ao 2000 con mas de 600 clientes

Referencias

Por qu Antispam?
1.- Circulan al da 2.3 billones de mensajes SPAM 2.- Un buzn de correo normal recibe al da 75 correos de los cuales el 52% es SPAM 3.- Se ha cuantificado que el coste por ao por empleado del SPAM es de 300 4.- Los costes directos del SPAM son: a.- Transmitir esos mensajes Reduce el ancho de banda b.- Almacenar esos mensajes Aumenta el coste de almacenamiento c.- Borrar o leer esos mensajes Reduce la productividad del empleado 5.- ROI Proteccin Antispam por dos aos para 50 empleados = 1.200 300 x 50 empleados = 15.000 de coste de Spam anual x2 = 30.000 _____________________________________________________________________ Proteccin Antispam por dos aos para 1.000 empleados = 20.250 300 x 1.000 empleados = 300.000 de coste de Spam anual x2 = 600.000

Filtrado de Contenido
Evita que cierto tipo de palabras y tpicos sean enviados hacia o desde los usuarios Sin embargo, es ineficiente para controlar el SPAM
Requiere una atencin continua del Administrador (horas por da) Algunos simples trucos lo hacen vulnerable Ejemplos: $ave, V*i*a*gr*a, Ch Existen 105 variantes solo para la letra A! Genera muchos falsos positivos Imposible de utilizar en ciertas industrias

Filtrado de Contenido
V I @ G R A , V--1.@--G.R.a, \./iagra, Viiagra, V?agr?, V--i--a--g--r-a, V!agra, V1agra, VI.A.G.R.A, vi@gra, vIagr.a, via-gra, Via.gra, Vriagra, Viag*ra, vi-agra, Vi-ag.ra, v-iagra, Viagr-a, V^I^A^G^G^A, V'i'a'g'r'a', V*I*A,G,R.A, VI.A.G.R.A..., Viag\ra!, Vj@GRA, V-i:ag:ra, V'i'a'g'r'a, V/i;a:g:r:a, V i a g r @, V+i\a\g\r\a, Viag[ra, V?agra, V;I;A*G-R-A, V-i-a-g-r-a, V*I*A*G*R*A , V-i-@-g-r-a, VI@AGRA, Vi@gr@, \/^i^ag-ra, VlAGRA, V\i\a.g.r.a, V1@GRA, v_r_i_a_g_r_a, V\i\a:g:r:a, V^i^a^g^r^a, V-i-@-g-r-@, Viag(ra.

RBLs (Real Time Black Holes)

Las RBLs son listas de supuestos spammers y sus dominios/direcciones IP
Ejemplos: SpamCop, MAPS, SPEWS, Dorkslayers

Generalmente es manejado por voluntarios, por lo cual no existe una auditora, y a menudo bloquean mas de la cuenta
Algunos ISPs son agregados, an cuando envan correos legtimos Borrarse de estas listas puede llevar desde das a meses

Requiere la utilizacin de muchas listas blancas para no generar falsos positivos

Anlisis Heurstico
Utiliza una tcnica que busca miles de caractersticas y/o palabras para identificar SPAM y asignar una calificacin
El nivel de SPAM debe ser ajustado peridicamente

Es utilizado en muchos productos antispam Muy conocido por los spammers

Sitios Web de spammers permiten verificar el spam contra motores heursticos

Aumentar el nivel de deteccin = Aumentar los falsos +

Filtros Bayesianos
Sistema de aprendizaje basado en anlisis estadsticos de vocabulario
Listas de palabras buenas y malas

Necesita intervencin del usuario para que sea efectiva Puede ser muy efectiva para usuarios individuales Es atacado deliberadamente por los spammers
Incluyendo palabras buenas Generalmente con palabras escondidas dentro de cdigo HTML

Filtros Bayesianos
Ejemplo de palabras aleatorias para evitar filtros Bayesianos

Checksums
Crea un fingerprint de ejemplos de spam conocido La Base de Datos se actualiza peridicamente Es reactivo
Por definicin, el fingerprint es creado tras identificar el correo como spam

Es posible evitarlo con una tcnica llamada hash busting agregando diferentes caracteres dentro del mensaje

Ejemplo de Hash busting

Ejemplo de hash busting para evitar la tcnica de checksums

Curiosidades
Los Spammers estn continuamente creando trucos y tcnicas para evitar las diferentes tecnologas de deteccin Algunos Ejemplos..

Filtros AntiSpam en MS Exchange Server 2003

Problemtica
Plataforma Relay de correo: El ataque se produce cuando un usuario malicioso vulnera la seguridad de la plataforma para enviar correo masivo a travs de nuestro servidor. Receptor de Correo Spam: Se reciben correos que cargan el rendimiento, reducen la productividad de los empleados y generan gastos directos (sistemas de backup, conexiones GPRS, ancho de banda, soporte...)

Problemtica Tcnica Relay

Relay

Pasarela SMTP Exchange Front-End No Relay

Buzones Exchange Back-End

Soluciones Exchange Server 2003

Opciones de Seguridad para no admitir Relay y, por tanto, no ser plataforma de correo Spam.
Bloqueo de Relay por defecto para todos los clientes no autenticados. Bloqueo por dominios. Bloqueo por usuarios. Bloqueo por mquinas.

Soluciones Exchange Server 2003

Opciones para detener el correo Spam recibido: Filtro de Remitente. Filtro de Destinatario. Nuevo. Listas Autenticadas. Nuevo. Filtro de Conexin en tiempo real. Nuevo. Filtros de Junk e-mail. Nuevo. IMF. Nuevo.

Soluciones Exchange Server 2003

Filtro de Remitente. (Filtro Esttico)
Bloquea los mensajes que proceden de determinados usuarios.

Filtro de Destinatario (Filtro Esttico)

Bloquea los mensajes que van dirigidos a determinados destinatarios.

Soluciones Exchange 2003

Listas Autenticadas
Se discrimina solo a usuarios autenticados para enviar mensajes a listas de correo.

Soluciones Exchange 2003

Filtros de Conexin
Exchange Server 2003 comprueba en tiempo real si un servidor que est enviando correo est almacenado en una base de datos de servidores nocivos.

Implantacin de Filtros de Conexin

Implantamos en un servidor DNS una zona de consulta para almacenar los servidores bloqueados. Ej.[bloqueados.midominio.com ] Aadimos registros del tipo

13.12.11.10 Host 127.0.0.1

Configuramos un filtro para que se consulte la zona anterior cada vez que se recibe una conexin de servidor

Filtro de Conexin
Se deniega la Se recibe una conexin conexin desde un servidor de correo Servidor El servidor FrontEnd El servidor DNS FrontEnd consulta contesta si existe la zona DNS de o no ese registro. bloqueo. Se envian los mensajes al servidor de BackEnd

Servidor DNS

Servidor BackEnd

Soluciones Exchange 2003

Filtros Junk e-mail en Cliente
Opciones de Outlook 2003 El cliente tiene la opcin de configurar los correos nocivos El Servidor y SW de terceros (Antigen) catalogan los mensajes para entrar en la carpeta de Junk-email En conexiones de pago por transferencia permite ahorrar costes

Intelligent Message Filter & Advance Spam Manager

Dos Motores
Microsoft IMF
Utiliza la tecnologa SmartScreen Conjunto detallado de reglas que son comparadas con el correo entrante

Sybari/Antigen ASM
Integra el motor de deteccin de spam SpamCure Utiliza una combinacin de Bullet Signatures y el motor STAR

Tecnologa SmartScreen
IMF distingue entre los mensajes de correo legtimos y el correo comercial no solicitado u otro tipo de correo electrnico no deseado Hace un seguimiento de ms de 500.000 caractersticas de correo electrnico basadas en datos de cientos de miles de suscriptores del servicio MSN Hotmail que participaron voluntariamente en la clasificacin de millones de mensajes de correo electrnico Ayuda a filtrar el correo no deseado antes de que llegue a la bandeja de entrada del usuario

Tecnologa SmartScreen
Base de datos utilizada para almacenar las caractersticas de los correos catalogados como Spam se actualiza con nueva informacin de patrones del origen de la muestra, lo que hace que el filtro sea ms eficaz y actual Permite llevar a cabo una evaluacin ms precisa de la legitimidad de un mensaje de correo electrnico entrante

SCL Nivel de Confianza del correo no deseado

IMF evala el contenido de los
mensajes en busca de modelos reconocibles y les asigna una clasificacin basada en la probabilidad de que el mensaje sea correo comercial no solicitado o correo no deseado La clasificacin se almacena en una base de datos con el mensaje como una propiedad llamada nivel de confianza de correo no deseado (SCL) Los administradores configuran dos umbrales que determinan la forma en que IMF controla los mensajes de correo electrnico con diferentes niveles de SCL

Demo: Intelligent Message Filter (IMF)

ASM Antigen Advanced Spam Manager

Bullet Signatures
BD Bullet signatures es creada y revisada por un grupo de expertos Los Bullet signatures son una combinacin de atributos nicos de un spammer en particular
Un conjunto de datos extrados de la cabecera, del campo asunto y del cuerpo del mensaje Funciona tanto para spam actual como futuro Creados para conseguir caractersticas nicas del mensaje que no puedan estar presentes en correos legtimos No puede ser falseado por tcnicas como el Hash Busting

STAR Engine
El motor STAR busca trucos y tcnicas especficas de los spammers
Spammer Tricks Analysis and Response

Utiliza los Bullet Signatures para buscar mtodos especficos de spamming Se actualiza automticamente cuando se lanza una nueva versin del motor Desde el comienzo est diseado para soportar cualquier idioma, incluso los de doble byte.

Uno + Uno = TRES

Supongamos que recibimos 10.000 correos de SPAM Si el IMF analiza primero, el total de correos de SPAM se reducira a un total de 1500 (85% de deteccin) A partir de ah, SpamCure escanea el correo restante y detectara el 95% de los 1500 Lo que reduce a 75 los correos de SPAM que recibiramos

Combinando Tecnologas
El motor IMF analiza los correos en primer lugar Se aplica una clasificacin SCL a cada correo Despus pasa por ASM, que tambin analiza el mensaje ASM nunca reducir la clasificacin de IMF

Resumen
Dos sistemas de deteccin de spam para lograr una mayor efectividad Mnima intervencin humana Fcil de instalar y configurar Integracin entre cliente y servidor Ratio de deteccin del 99%, mucho mayor que la que pueda ofrecer cualquier tecnologa por s misma

Demo: Advance Spam Manager. Tecnologa SpamCure

Referencias
LSSI : MS ISA Server 2004:
http://www.lssi.es http://www.microsoft.com/spain/servidores/isaserver http://www.microsoft.com/spain/exchange http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/s mtpfilter.mspx http://www.microsoft.com/spain/technet http://www.sybari.com http://www.informatica64.com

Exchange Server 2003 Message Screener: Technet: Sybari:

Informtica 64

 Preguntas ?

Contactos
Jacobo Crespo - Sybari Software
jacob_crespo@sybari.com

Chema Alonso - Informtica 64

Chema@informatica64.com

Jos Parada Gimeno - Microsoft

jparada@microsoft.com

Prximas Acciones