Microsoft IT Security Gestión de la Seguridad dentro de la red corporativa de Microsoft.

Microsoft ITMicrosoft ITSecuritySecurity

Gestión de la Seguridad dentro Gestión de la Seguridad dentro de la red corporativa de de la red corporativa de

MicrosoftMicrosoft

Necesidades de Seguridad en la Necesidades de Seguridad en la Infraestructura de la EmpresaInfraestructura de la Empresa

Chema AlonsoChema Alonso

Servicios en la EmpresaServicios en la Empresa

Active DirectoryActive Directory Servidores de AplicacionesServidores de Aplicaciones

CRM, ERP, B2C, B2B …CRM, ERP, B2C, B2B … Servidores WebServidores Web Servidores de Bases DatosServidores de Bases Datos Servidores de ComunicacionesServidores de Comunicaciones

Correo electrónico, charlasCorreo electrónico, charlas Servidores documentalesServidores documentales

Repositorios documentales ExchangeRepositorios documentales Exchange Aplicaciones de WorkFlowAplicaciones de WorkFlow

Retos de InfraestructuraRetos de Infraestructura

Mantenimiento y actualización de sistemas.Mantenimiento y actualización de sistemas. Soporte del máximo posible de clientes.Soporte del máximo posible de clientes. Soporte de clientes móviles.Soporte de clientes móviles. Accesos Remotos.Accesos Remotos. Flexibilidad del sistema.Flexibilidad del sistema. Alta disponibilidad de servicios.Alta disponibilidad de servicios. Máxima funcionalidad.Máxima funcionalidad. Seguridad.Seguridad.

Objetivos de SeguridadObjetivos de Seguridad

Confidencialidad.Confidencialidad. Interceptación.Interceptación. Accesos no autorizados.Accesos no autorizados. Suplantación.Suplantación.

Integridad.Integridad. Protección de sistema y elementos.Protección de sistema y elementos.

Disponibilidad.Disponibilidad. Denegaciones de ServicioDenegaciones de Servicio Defacement.Defacement.

Arquitectura de SeguridadArquitectura de Seguridad

Servidores Front-End Servidores Back-End

DMZ

Lan Privada

Clientes Externos

Wireless. 802.11b 802.1x

Maiboxes, AD, BBDDMail Front-end, Web,

Aplicativos Cliente

HIDSNIDS

Vpn Ras Servicios Públicos Wap …..

Retos de Infraestructura en Retos de Infraestructura en SeguridadSeguridad

Protección de servidores.Protección de servidores. Seguridad en los clientes remotos.Seguridad en los clientes remotos. Acceso Wireless en red privada.Acceso Wireless en red privada. Protección de transmisión de la información en Protección de transmisión de la información en

cualquier medio.cualquier medio. Control de la información fuera de los Control de la información fuera de los

repositorios documentales.repositorios documentales. Técnicas hacker.Técnicas hacker. Amenazas Viricas, Troyanos, Spam,…Amenazas Viricas, Troyanos, Spam,…

Ejemplo de ArquitecturaEjemplo de Arquitectura

¿Cuál es la solución que aplica ¿Cuál es la solución que aplica Microsoft?Microsoft?

AgendaAgenda

Microsoft y su entornoMicrosoft y su entorno Informática de ConfianzaInformática de ConfianzaModelo de Respuesta a IncidentesModelo de Respuesta a IncidentesAcceso Remoto (RAS) & Smart CardAcceso Remoto (RAS) & Smart CardSeguridad en la red Wireless de MSSeguridad en la red Wireless de MSSeguridad en Exchange y OutlookSeguridad en Exchange y Outlook

Misión de OTGMisión de OTG

Poner a disposición de de nuestros Poner a disposición de de nuestros usuarios internos, clientes y partners de usuarios internos, clientes y partners de forma proactiva la infraestructura de IT y forma proactiva la infraestructura de IT y aplicaciones, que les permitan trabajar en aplicaciones, que les permitan trabajar en cualquier momento y en cualquier lugar cualquier momento y en cualquier lugar excediendo sus expectativasexcediendo sus expectativasRick Devenuti. CIO & VPRick Devenuti. CIO & VP

Sydney

Chofu & Otemachi

Les UlisTVP

DublinBenelux

Madrid

Dubai

Singapore

Johannesburg

Sao Paulo

72,000 mailboxes72,000 mailboxes

El Entorno de MicrosoftEl Entorno de Microsoft

Redmond

Los ColinasCharlotte

ChicagoMilan

Stockholm

Munich

400+ 400+ supported supported Microsoft Microsoft sites sites worldwideworldwide

4.5M+ e-mail messages 4.5M+ e-mail messages per day internallyper day internally8m 8m Internet Internet

>400 apps>400 apps 26M voice calls per month26M voice calls per month 55K employees55K employees 5K contractors5K contractors 17K vendors17K vendors

150,000+ PCs150,000+ PCs >9,000 servers>9,000 servers

110 Microsoft 110 Microsoft Exchange Exchange Messaging Messaging ServersServers

Silicon Valley

La Situación actual de MSLa Situación actual de MS SituaciónSituación

Microsoft es uno de los objetivos preferidos Microsoft es uno de los objetivos preferidos 100k+ intentos de ataques por mes100k+ intentos de ataques por mes 125k+ mensajes en cuarentena por mes125k+ mensajes en cuarentena por mes 225k dispositivos conectados a la red225k dispositivos conectados a la red 300k conexiones vía RAS conexiones por semana300k conexiones vía RAS conexiones por semana

RetosRetos La Cultura interna de MSLa Cultura interna de MS Comprobaciones internas de aplicacionesComprobaciones internas de aplicaciones Liderazgo TecnológicoLiderazgo Tecnológico

AgendaAgenda


UnauthorizedAccess

El Entorno y sus PeligrosEl Entorno y sus Peligros

InternetInternet

CDCs, RDCsTail Sites

InternetData CentersCorpNet

PSS EVN3rd Party

Connections

ExtraneExtranett

E-mail gateways

Proxies

Home LANs

PPTP/RAS Servers

Direct Taps

Remote Users

Intrusions

Denial ofService

IntellectualProperty Theft

Virus

Phreaking

Malicious Code

Criminal /CI Use ofOnline Services

LabsLabs

Objetivo del GrupoObjetivo del Grupo “Information Security” “Information Security”

Un entorno de TI compuesto por servicios, Un entorno de TI compuesto por servicios, aplicaciones e infraestructura que a la aplicaciones e infraestructura que a la vez da privacidad y seguridad sin dejar vez da privacidad y seguridad sin dejar

de tener una alta disponibilidadde tener una alta disponibilidadRequisitos:Requisitos: No se puede comprometer mi identidadNo se puede comprometer mi identidad Los recursos son seguros y están disponiblesLos recursos son seguros y están disponibles Mis datos y comunicaciones son privadasMis datos y comunicaciones son privadas Roles y Responsabilidades claramente definidosRoles y Responsabilidades claramente definidos Responder a tiempo a las amenazas y/o riesgosResponder a tiempo a las amenazas y/o riesgos

Informática de Confianza.Informática de Confianza.Trustworthy ComputingTrustworthy Computing

Mitigate risk to the infrastructure through implementation Mitigate risk to the infrastructure through implementation of four key strategiesof four key strategies

Mitigate risk to the infrastructure through implementation Mitigate risk to the infrastructure through implementation of four key strategiesof four key strategies

1.1. Secure Securethe Network the Network PerimeterPerimeter

Secure Wireless Secure Wireless Smart Cards for RASSmart Cards for RAS Secure Remote User Secure Remote User Next Generation AVNext Generation AV Messaging FirewallMessaging Firewall Direct ConnectionsDirect Connections IDC Network CleanupIDC Network Cleanup

2.2. Secure Securethe Networkthe NetworkInteriorInterior

Eliminate Weak Eliminate Weak PasswordsPasswords

Acct SegregationAcct Segregation Patch ManagementPatch Management NT4 Domain MigrationNT4 Domain Migration Network SegmentationNetwork Segmentation Smart Cards for Admin Smart Cards for Admin

AccessAccess Regional Security Regional Security

AssessmentAssessment

3.3. Secure SecureKey AssetsKey Assets

Automate Vulnerability Automate Vulnerability ScansScans

Secure Source Code Secure Source Code AssetsAssets

Lab Security AuditLab Security Audit

4.4. Enhance Enhance Monitoring Monitoring and Auditingand Auditing

Network Intrusion Network Intrusion DetectionDetection

Automate Security Automate Security Event AnalysisEvent Analysis

Use MOM for Server Use MOM for Server Integrity CheckingIntegrity Checking

Primer nivel de seguridad: Primer nivel de seguridad: Asegurar el perímetro de la redAsegurar el perímetro de la red

Utilizar redes Wireless segurasUtilizar redes Wireless seguras Utilizar un sistema de detección de Utilizar un sistema de detección de

intrusiones/ataques en la red efectivointrusiones/ataques en la red efectivo Asegurar las conexiones remotas de los Asegurar las conexiones remotas de los

usuariosusuarios Obstaculizar la entrada de Virus en el Obstaculizar la entrada de Virus en el

perímetro externo de la redperímetro externo de la red

Segundo nivel de seguridad: Segundo nivel de seguridad: Asegurando el interior de la redAsegurando el interior de la red

Controlar las aplicaciones y programas Controlar las aplicaciones y programas disponibles para los usuariosdisponibles para los usuarios

Eliminar contraseñas débilesEliminar contraseñas débiles Eliminar las cuentas de administración Eliminar las cuentas de administración

compartidascompartidas Utilizar controladores de dominio segurosUtilizar controladores de dominio seguros Hacer obligatorio el uso de software de Hacer obligatorio el uso de software de

Antivirus y actualizaciones de seguridad.Antivirus y actualizaciones de seguridad.

Asegurando el Interior de la red. Asegurando el Interior de la red. Segmentación de la redSegmentación de la red

Eliminar o reducir el riesgo:Eliminar o reducir el riesgo: Parque de ordenadores gestionado por OTGParque de ordenadores gestionado por OTG Segmentar los entornos controlados e Segmentar los entornos controlados e

incontroladosincontrolados Restringir los niveles de acceso a la redRestringir los niveles de acceso a la red

Enfoque de la segmentación de la red:Enfoque de la segmentación de la red: Evitar que los sistemas incontrolados se Evitar que los sistemas incontrolados se

conecten a los sistemas controladosconecten a los sistemas controlados Utilizar IPsec para soportar los requisitos de Utilizar IPsec para soportar los requisitos de

seguridadseguridad

Tercer Nivel de Seguridad: Tercer Nivel de Seguridad: Asegurar los activos críticosAsegurar los activos críticos

Aplicaciones Corporativas:Aplicaciones Corporativas: Gran número de aplicaciones desarrolladas Gran número de aplicaciones desarrolladas

internamente. +400internamente. +400 Asegurar estas aplicaciones y su información es Asegurar estas aplicaciones y su información es

complejocomplejo Las aplicaciones corporativas se ejecutan en un Las aplicaciones corporativas se ejecutan en un

entorno complejo (operativo y legal)entorno complejo (operativo y legal)

Código de Producto e información ConfidencialCódigo de Producto e información Confidencial

Cuarto Nivel de Seguridad:Cuarto Nivel de Seguridad:Monitorización y AuditoriasMonitorización y Auditorias

Responsabilidades del grupo de Responsabilidades del grupo de MonitorizaciónMonitorización

Uso de herramientas de monitorización Uso de herramientas de monitorización para aumentar la seguridad.para aumentar la seguridad. Uso de herramientas públicas:Uso de herramientas públicas:

Microsoft Baseline Security Analyzer (MBSA) Microsoft Baseline Security Analyzer (MBSA) and HFNetChkand HFNetChk

Monitorización distribuidaMonitorización distribuida Desarrollo de utilidades propias para Desarrollo de utilidades propias para

identificar y corregir problemasidentificar y corregir problemas

AgendaAgenda


Gestión de incidentes GravesGestión de incidentes Graves

Problemas típicos:Problemas típicos: Todos los grupos que participan en la Todos los grupos que participan en la

resolución del incidente operan de manera resolución del incidente operan de manera independiente. independiente.

La respuesta es básicamente táctica y no hay La respuesta es básicamente táctica y no hay una estrategia coordinadauna estrategia coordinada

Las respuestas no son consistentes. Estas Las respuestas no son consistentes. Estas pueden ser distintas en función de los grupos pueden ser distintas en función de los grupos que participan.que participan.

Se obvian interdependencias entre grupos Se obvian interdependencias entre grupos clave (PR, comunicaciones internas, etc)clave (PR, comunicaciones internas, etc)

Metodología de Seguridad de OTGMetodología de Seguridad de OTG

PeoplePeople

ProcessProcess

TechnologyTechnology

Dedicated staffDedicated staff TrainingTraining Security—a mindset and a prioritySecurity—a mindset and a priority Employee educationEmployee education

Planning for securityPlanning for security PreventionPrevention DetectionDetection ReactionReaction

Baseline technologyBaseline technology Standards, encryption, protectionStandards, encryption, protection Product security featuresProduct security features Security tools and productsSecurity tools and products

Prevención de incidentesPrevención de incidentes

MonitorizarMonitorizar Auditorias de los sistemasAuditorias de los sistemas Detección de intrusionesDetección de intrusiones Establecer una defensa sólidaEstablecer una defensa sólida Asegurando a los clientes de acceso Asegurando a los clientes de acceso

remotoremoto

Mantenimiento de Seguridad Mantenimiento de Seguridad en Servidores en Servidores


Expedientes de SeguridadExpedientes de Seguridad

Expedientes de seguridad de sw Expedientes de seguridad de sw comercial.comercial. Bug, Exploit, patch, fixBug, Exploit, patch, fix

Expedientes de seguridad de sw própioExpedientes de seguridad de sw própio Necesidad de aplicación de Necesidad de aplicación de

procedimientos internos. procedimientos internos. Desbordamientos de Buffer.Desbordamientos de Buffer. Cross-Site ScriptingCross-Site Scripting Inyecciones de código.Inyecciones de código.

Source: Source: CompanyCompany web sitesweb sites

00

2020

4040

6060

8080

100100

120120

9 12

23 24

3745

91 94

160

Windows Windows 20032003

OpenBSDOpenBSD Windows Windows XPXP

Windows Windows 20002000

SuSESuSE SUNSUN MandrakeMandrake RedHatRedHat DebianDebian

Problema de la Industria ITProblema de la Industria ITVulnerabilidades en Sistemas Operativos - 2003Vulnerabilidades en Sistemas Operativos - 2003

Source: Company web sitesSource: Company web sites

TrustixTrustix1.51.5

DebianDebianWindows XPWindows XP SunSun(OS)(OS)

Mandrake Mandrake 8.x8.x

00

2020

4040

6060

8080

100100

120120

RedHatRedHat7.27.2

WindowsWindows20002000

EnGardeEnGarde

34 3437

51

67

86 86 87

124

SuSESuSE

Problema de la Industria ITProblema de la Industria ITVulnerabilidades en Sistemas Operativos - 2002Vulnerabilidades en Sistemas Operativos - 2002

TTimpactoimpacto

TTriesgoriesgo

185

502

58

208

336

53

11

336

31 27

SlammerSlammer BugBearBugBear SlapperSlapper RamenRamen KlezKlez ScalperScalper NimdaNimda CodeRedCodeRed BlasterBlasterLionLion

Win32Win32

Linux/UnixLinux/Unix

Nombre Nombre del Virusdel Virus

Número de dias transcurridos entre la publicación del update de seguridad y el impacto del virus

Actualizaciones CríticasActualizaciones Críticas

Boletines de Boletines de SeguridadSeguridad

Windows Windows UpdateUpdate

SUSU SMS 2003SMS 2003

Plan de respuesta a los incidentesPlan de respuesta a los incidentes

Trigger PhaseTrigger Phase

SecuritySecurityScan/AuditScan/Audit

Response PhaseResponse Phase

On

go

ing

ev

alu

atio

nO

ng

oin

g e

va

lua

tion

an

d re

sp

on

se

rev

isio

ns

an

d re

sp

on

se

rev

isio

ns

ResponseResponseTeamTeam

AssembledAssembled

OperationsOperations

ExternalExternalWeb SiteWeb Site

InternalInternalWeb SiteWeb Site

UserUser

SupportSupport

Information Information on incident on incident

receivedreceived

Decision to Decision to begin Incident begin Incident Response PlanResponse Plan

Evaluate Evaluate SituationSituation

Establish First Establish First Course of Course of

ActionAction

Isolate and Isolate and ContainContain

Analyze and Analyze and RespondRespond

Alert Others Alert Others as Requiredas Required

Begin Begin RemediationRemediation

De-escalation:De-escalation:Return to Normal Return to Normal

OperationsOperations

Post-IncidentPost-IncidentReviewReview

Revise/Improve Revise/Improve Response Response ProcessProcess

Quick guide to determining Quick guide to determining the significance of incidentthe significance of incident

Severity of the eventSeverity of the event

Overall business impactOverall business impact

Criticality of Criticality of vulnerable/attacked assetsvulnerable/attacked assets

Public availability of informationPublic availability of information

Scope of exposureScope of exposure

Public relations impactsPublic relations impacts

Extent of use of groups outside Extent of use of groups outside of securityof security

AgendaAgenda


Servicio de Acceso Remoto (RAS)Servicio de Acceso Remoto (RAS)

Las soluciones de MS incluyen:Las soluciones de MS incluyen: Direct Dial RASDirect Dial RAS PPTP VPNPPTP VPN

Más de 175 puntos de acceso remoto en todo Más de 175 puntos de acceso remoto en todo el mundoel mundo

Utilizado por más de 70,000 empleadosUtilizado por más de 70,000 empleados Más de 300,000 conexiones cada semanaMás de 300,000 conexiones cada semana

Acceso a los sistemas de correo corporativo, Acceso a los sistemas de correo corporativo, intranet, internet y servidores de datosintranet, internet y servidores de datos

Asegurando el Perímetro de la red. Asegurando el Perímetro de la red. Estrategia para el Acceso RemotoEstrategia para el Acceso Remoto

MaliciousMaliciousUsersUsers

MaliciousMaliciousSoftwareSoftware

ThreatThreat

2 Factor2 FactorAuthenticationAuthentication

Enforce Remote Enforce Remote System SecuritySystem Security

ConfigurationConfigurationRequirementRequirement

Smart CardsSmart Cardsfor RASfor RAS

Connection ManagerConnection Manager and and

RAS Quarantine RAS QuarantineSolutionSolution

RAS - RequisitosRAS - Requisitos

Para conectarse a la red corporativa un Para conectarse a la red corporativa un usuario tiene que tener:usuario tiene que tener:

Una tarjeta Smartcard Una tarjeta Smartcard Windows XP Windows XP Personal firewall ActivadoPersonal firewall Activado Última versión de antivirus (Última versión de antivirus (eTrust)eTrust) Últimas actualizaciones de seguridadÚltimas actualizaciones de seguridad El software “Connection Manager”El software “Connection Manager”

Componentes de la solución SMART CARDComponentes de la solución SMART CARD

Smart CardSmart Card RFID BadgeRFID Badge 32k chip32k chip Windows for Smart cardsWindows for Smart cards

HardwareHardware PC PC Smart card readerSmart card reader

Client SoftwareClient Software Cryptographic Service Cryptographic Service

Provider (CSP)Provider (CSP) WindowsWindows

Resource ManagerResource ManagerReader driversReader drivers

Connection ManagerConnection Manager

Server SoftwareServer Software Windows Active DirectoryWindows Active Directory Windows Certificate ServerWindows Certificate Server Card management toolsCard management tools RAS Quarantine ServiceRAS Quarantine Service

Secure Remote AccessSecure Remote Access

1 Card inserted

2 User inputs PIN

5 RAS sends certificate in a EAP/TLS request to the IAS Server

7 IAS returns Radius Access Accept

6 IAS verifies certificate then looks up principal in DS

ReaderReaderReaderReader

SC

3 RAS client accesses smart card and retrieves cert from card

RAS ClientRAS Client IASIASVPNVPNServerServer

4 Connect to VPN server and pass config checks

AgendaAgenda


Microsoft IT WLANMicrosoft IT WLAN

Dirección de la compañía. Bill GatesDirección de la compañía. Bill Gates Desarrollo de software de Microsoft para entornos wirelessDesarrollo de software de Microsoft para entornos wireless Peticiones de los usuarios para la implantación de la Peticiones de los usuarios para la implantación de la

tecnología WLANtecnología WLAN Dar mayor mobilidad al usuarioDar mayor mobilidad al usuario PilotoPiloto

Puget Sound. Campus de RedmondPuget Sound. Campus de Redmond Extenderlo al resto de las subsidiarias de MS según Extenderlo al resto de las subsidiarias de MS según

viabilidad:viabilidad: CostesCostes Requisitos / Regulaciones legalesRequisitos / Regulaciones legales

Resultados de la encuesta:Resultados de la encuesta:

50% ahorraban entre 30-90 minutos diarios de trabajo 50% ahorraban entre 30-90 minutos diarios de trabajo gracias a la red wirelessgracias a la red wireless

10% usaban adicionalmente dispositivos Windows CE 10% usaban adicionalmente dispositivos Windows CE wirelesswireless

24% usaban la red wireless más de 6 horas diarias24% usaban la red wireless más de 6 horas diarias 93% usaban la red wireless “en cualquier sitio”93% usaban la red wireless “en cualquier sitio”

Salas de Reuniones, pasillos, despachos de otros empleadosSalas de Reuniones, pasillos, despachos de otros empleados

88% estaban interesados en comprar dispositivos Wireless 88% estaban interesados en comprar dispositivos Wireless para sus hogares.para sus hogares.

66% pensaban que podían desempeñar su trabajo 66% pensaban que podían desempeñar su trabajo perfectamente con la red wirelessperfectamente con la red wireless

802.11b. Problemática802.11b. Problemática WEPWEP

Clave única necesaria para toda la compañíaClave única necesaria para toda la compañía WLAN 802.11b es sólo 40-bitWLAN 802.11b es sólo 40-bit Las claves WEP no cambian dinámicamente y por lo tanto son Las claves WEP no cambian dinámicamente y por lo tanto son

vulnerables a los ataquesvulnerables a los ataques Una clave WEP de 128-bit puede ser decodificada en unas 2 horas. Una clave WEP de 128-bit puede ser decodificada en unas 2 horas.

Una de 40-bit en 40 minutosUna de 40-bit en 40 minutos Complicado de administrar.Complicado de administrar.

Filtrado por direcciones MAC (Media Access Control)Filtrado por direcciones MAC (Media Access Control) No es escalableNo es escalable

listas de excepción tienen que ser administradas y propagadas por los listas de excepción tienen que ser administradas y propagadas por los APs.APs.

La lista puede tener un límite de tamañoLa lista puede tener un límite de tamaño La dirección MAC tiene que estar asociada al nombre de usuarioLa dirección MAC tiene que estar asociada al nombre de usuario El usuario podría no informar en caso de pérdida de la tarjetaEl usuario podría no informar en caso de pérdida de la tarjeta El usuario podría cambiar su dirección MACEl usuario podría cambiar su dirección MAC

802.1X La Solución802.1X La Solución El AP controla el acceso a la red del cliente basándose en El AP controla el acceso a la red del cliente basándose en

la autentificación de la cuenta de dominio del usuario y/o la la autentificación de la cuenta de dominio del usuario y/o la cuenta de su máquinacuenta de su máquina

Se asegura el proceso de autentificación utilizando la Se asegura el proceso de autentificación utilizando la tecnología PKI (Public Key Infrastructure) disponible en tecnología PKI (Public Key Infrastructure) disponible en Windows XPWindows XP Extensible authentication protocol over LAN (EAPoL)Extensible authentication protocol over LAN (EAPoL) Transport Layer Security (TLS)Transport Layer Security (TLS)

El usuario y el ordenador negocian la autentificación con el El usuario y el ordenador negocian la autentificación con el Internet Authentication Server (IAS). Internet Authentication Server (IAS). IAS es la implementación que ha hecho Microsoft del estándar de IAS es la implementación que ha hecho Microsoft del estándar de

RADIUSRADIUS Las claves WEP son dinámicasLas claves WEP son dinámicas

Cambian en cada nueva sesión, al hacer roaming o a intervalos de Cambian en cada nueva sesión, al hacer roaming o a intervalos de tiempotiempo

802.1X802.1XAccess PointAccess Point

Domain UserDomain UserCertificateCertificate

LaptopLaptop

Con

trol

led

Port

Con

trol

led

Port

Unc

ontr

olle

d

Unc

ontr

olle

d Po

rtPo

rt

RADIUSRADIUS(IAS)(IAS)

DomainDomainControllerController

CertificateCertificateAuthorityAuthority

DHCPDHCP

ExchangeExchange

FileFilePeersPeers

Domain Domain ControllerControllerused to log onto used to log onto domain after domain after obtaining an IP obtaining an IP address from address from DHCPDHCP

EAP/TLS EAP/TLS ConnectionConnection

Secure WirelessSecure Wireless

Configuración de una red Configuración de una red Wireless SeguraWireless Segura


Configuración de una red Configuración de una red Wireless SeguraWireless Segura

Adoptar 802.1xAdoptar 802.1x Utilizar Internet Authentication Service Utilizar Internet Authentication Service

(IAS) para Remote Authentication Dial-(IAS) para Remote Authentication Dial-In User Service (RADIUS) para In User Service (RADIUS) para autenticación de cuentas.autenticación de cuentas.

Elegir un método de autenticación EAP:Elegir un método de autenticación EAP: EAP-Transport Level Security (EAP-TLS)EAP-Transport Level Security (EAP-TLS) Protected EAP with MS-CHAPv2 (PEAP-MS-CHAPv2)Protected EAP with MS-CHAPv2 (PEAP-MS-CHAPv2) Protected EAP with EAP-TLS (PEAP-EAP-TLS)Protected EAP with EAP-TLS (PEAP-EAP-TLS)

Configurar una WLAN SeguraConfigurar una WLAN Segura

Configurar el WAPConfigurar el WAP


Configurar un grupo Configurar un grupo para Wireless y para Wireless y configurarlo para configurarlo para administrarlo administrarlo mediante una mediante una Política de Acceso Política de Acceso Remoto.Remoto.


Instalar una Root Certificate AuthorityInstalar una Root Certificate Authority Instalar Certificados de Servidor en Instalar Certificados de Servidor en

Servidor IASServidor IAS Instalar certificados de usuarios en Instalar certificados de usuarios en

clientes cuando utilicemos EAP-TLSclientes cuando utilicemos EAP-TLS

Configurar una WLAN SeguraConfigurar una WLAN SeguraConfigurar IAS


Configurar una política Configurar una política de Acceso Remotode Acceso Remoto


Configuramos unConfiguramos un

Pérfil para la Política de Pérfil para la Política de Acceso remotoAcceso remoto

Configurar una WLAN SeguraConfigurar una WLAN SeguraConfigurar los clientesConfigurar los clientes

Configurar una WLAN SeguraConfigurar una WLAN SeguraConfigurar la poíitica para Clientes WirelessConfigurar la poíitica para Clientes Wireless

AgendaAgenda


Infraestructura de ExchangeInfraestructura de Exchange 6 inbound/outbound IMCs & Virus Walls 5 regional outbound IMCs & Virus Walls

REDMOND

DUBLINClient

IMCs,Virus Walls

Regional IMCs,Virus Walls

MUNICH

LES ULIS

OTEMACHI

SINGAPORE

INTERNET

INBOUND &OUTBOUND

OUTBOUND

Solución Antivirus para ExchangeSolución Antivirus para Exchange

Requisitos del diseño:Todos los mensajes entrantes tienen que ser

“monitorizados” Todos los mensajes salientes tienen que ser

“monitorizados” Los ejecutables son eliminados y se notifica

al usuario de esta acciónMensajes a usuarios no existentes son

devueltos antes de ser revisados

Requisitos de Seguridad para el Requisitos de Seguridad para el correo electrónicocorreo electrónico

OTG soporta la versión actual de Outlook y la OTG soporta la versión actual de Outlook y la versión anteriorversión anterior El usuario es obligado mediante la configuración El usuario es obligado mediante la configuración

del servidor de Exchangedel servidor de Exchange Ver. Actual: Outlook 11 (2003)Ver. Actual: Outlook 11 (2003) Anterior: Outlook 2002Anterior: Outlook 2002

Se obliga a los usuarios mediante políticas Se obliga a los usuarios mediante políticas de grupo en el directorio activode grupo en el directorio activo

Reglas en el buzón de entrada de OutlookReglas en el buzón de entrada de Outlook

Posibilidades AdicionalesPosibilidades Adicionales

S/MIMES/MIME Firmas DigitalesFirmas Digitales Codificación de MensajesCodificación de Mensajes

Windows Rights Management Services Windows Rights Management Services (RMS) y Information Rights (RMS) y Information Rights Management (IRM)Management (IRM)

Gestión del SPAMGestión del SPAM Desde Septiembre del 2001: Desde Septiembre del 2001:

Incremento del 258%Incremento del 258% Incremento del correo 86% Incremento del correo 86%

Objetivo de MS: Boquear 100% de los Objetivo de MS: Boquear 100% de los mensajes identificados como SPAM en los mensajes identificados como SPAM en los internet mail Gateways.internet mail Gateways.

Emails con publicidad a la atención directa Emails con publicidad a la atención directa del usuario puede no ser identificado como del usuario puede no ser identificado como Spam y es por lo tanto enviado al buzón de Spam y es por lo tanto enviado al buzón de destino.destino.

Protección Servicios Protección Servicios Exchange Server 2003Exchange Server 2003


Suplantación

Interceptación

Virus

Spam

Riesgos Riesgos

Intrusismo Exchange Server

2003

¿ Puedo controlar el uso de la información ?

Trustworthy Computing Iniciative

Filtro de Remitente

Filtro de Destinatario

Filtro de Conexión

Filtros de Junk e-mail

Seguridad de Relay

Firma digital en Outlook

Encriptación en Outlook

Bloqueo libreta direcciones

Bloqueo e-mail automático

RPC/HTTPS

Firma digital en OWA

Encriptación en OWA

Listas Autenticadas

VS API 2.5

ISA Exchange Features

Information Rights Management

Soluciones Exchange 2003Soluciones Exchange 2003

Filtros de ConexiónFiltros de Conexión

Exchange Server 2003 comprueba en Exchange Server 2003 comprueba en tiempo real si un servidor que está tiempo real si un servidor que está enviando correo está almacenado en una enviando correo está almacenado en una base de datos de servidores nocivos.base de datos de servidores nocivos.

Soluciones Exchange 2003Soluciones Exchange 2003

Implantación de filtros de conexiónImplantación de filtros de conexión Implantamos en un servidor DNS una zona de Implantamos en un servidor DNS una zona de

consulta para almacenar los servidores consulta para almacenar los servidores bloqueados. Ej. [ bloqueados.midominio.com ]bloqueados. Ej. [ bloqueados.midominio.com ]

Añadimos registros del tipoAñadimos registros del tipo

Configuramos un filtro para que se consulte la Configuramos un filtro para que se consulte la zona anterior cada vez que se recibe una zona anterior cada vez que se recibe una conexión de servidor.conexión de servidor.

13.12.11.10 Host 127.0.0.1

Se recibe una conexión desde un servidor de correo

El servidor DNS contesta si existe o no ese registro.

Se deniega la conexión

El servidor FrontEnd consulta la zona DNS de bloqueo.

Filtro de ConexiónFiltro de ConexiónSe envian los mensajes al servidor de BackEnd

Servidor BackEnd

Servidor FrontEnd

Servidor DNS

Gestión de Derechos digitales (RMS)Gestión de Derechos digitales (RMS)

Control de flujo de informaciónControl de flujo de información

¿Puedo controlar el uso de la información ¿Puedo controlar el uso de la información independientemente de su ubicación? independientemente de su ubicación?

¿Podría controlar los derechos digitales de ¿Podría controlar los derechos digitales de mis documentos?mis documentos?

““El 32% de los peores incidentes de seguridad son El 32% de los peores incidentes de seguridad son causados por empleados; 48% en grandes compañías!”causados por empleados; 48% en grandes compañías!” - Information Security Breaches Survey 2002, PWC- Information Security Breaches Survey 2002, PWC

““El robo de información confidencial provoca los El robo de información confidencial provoca los mayores daños financieros de todos los problemas de mayores daños financieros de todos los problemas de seguridad.” seguridad.” – CSI/FBI Computer Crime and Security Survey, 2001– CSI/FBI Computer Crime and Security Survey, 2001

Perímetros de Seguridad, ACLs, PKIs, son tecnologías Perímetros de Seguridad, ACLs, PKIs, son tecnologías imprescindibles pero no resuelven totalmente este imprescindibles pero no resuelven totalmente este problemaproblema



RMSRMS Gestiona el flujo de la información.Gestiona el flujo de la información. Controla, en sistemas de mensajería, el Controla, en sistemas de mensajería, el

uso que se realiza de la información.uso que se realiza de la información. Gestiona la utilización de los documentos.Gestiona la utilización de los documentos. Añade Privaciad al entorno colaborativo.Añade Privaciad al entorno colaborativo.

ConclusionesConclusiones Prevenir es menos costoso que reaccionar Prevenir es menos costoso que reaccionar

ante los incidentes. ante los incidentes. Es interesante desarrollar en las empresas Es interesante desarrollar en las empresas

un sistema de auditorias, monitorización de un sistema de auditorias, monitorización de los sistemas, y procedimientos de actuación los sistemas, y procedimientos de actuación a la vez que educamos a los usuarios sobre a la vez que educamos a los usuarios sobre como hacer que sus sistemas sean seguros.como hacer que sus sistemas sean seguros.

El impacto a la infraestructura se reduce si El impacto a la infraestructura se reduce si tenemos un plan de respuesta a incidentes tenemos un plan de respuesta a incidentes bien construido, detallado y flexible.bien construido, detallado y flexible.

Más InformaciónMás Información

Más información sobre las Más información sobre las implementaciones internas de OTG en: implementaciones internas de OTG en: http://http://www.microsoft.comwww.microsoft.com

TechNet: TechNet: http://http://www.microsoft.comwww.microsoft.com//technettechnet//showcaseshowcase

Case Study Resources:Case Study Resources:http://www.microsoft.com/resources/casestudieshttp://www.microsoft.com/resources/casestudies

Microsoft ITMicrosoft ITSecuritySecurity

Microsoft IT Security Gestión de la Seguridad dentro de la red corporativa de Microsoft.

Documents

Transcript of Microsoft IT Security Gestión de la Seguridad dentro de la red corporativa de Microsoft.