Vuelta a España TechNet 2005-2006:

Mantenga su infraestructura Segura…. Contra Hackers.

Chema Alonso (MVP de Microsoft) Jose Parada (Ingeniero TechNet) David Cervigon (Ingeniero TechNet)

Recursos Technet

WebCasts IT ShowTime Guías y manuales Chats Blogs Eventos Seguridad Software

Technet Flash Flash MSDN Newsletter Seguridad Videos Demo Videos Interactivos

http://wwww.microsoft.com/spain/technet

Agenda

09:00 - 09:30 : Registro 09:30 - 10:45 : Redes Wireless 10:45 - 11:15 : Café 11:30 - 12:30 : Actualizaciones de Seguridad 12:30 - 13:45 : Defensa nivel 7 13:45 - 14:00 : Preguntas

Redes Wireless

Introducción, conceptos y funcionamiento DEMO: Técnicas Hacker de ataque a redes Wireless Redes Wireless Seguras DEMO: Securización de una red Wireless

Introducción Hoy en día, las Wireless LAN se están convirtiendo

poco a poco en parte esencial de las redes LAN tradicionales:

Bajos costes de instalaciónDisponibilidadNo requiere de software adicionalMovilidad

La implantación se esta realizando a mayor velocidad en los entornos domésticos y PYMES que en las grades empresas

Este mercado esta menos concienciado de los problema de seguridad

El aire es un medio inseguro.Los estándares iniciales tienen muchos problemas de seguridad.

Introducción

ComponentesRouters/Gateways, Puntos de acceso (AP), Repetidores

– Equivalente al HUB de la tecnología ETHERNET. – Ojo, no es un Switch por lo que los usuarios comparten el ancho de

banda total.Adaptadores WIFI: PC Cards, PCI, Integradas, USB....Antenas: unidireccionales y omnidireccionales

Modos de funcionamientoModo “AD-HOC”: los clientes se comunican directamente entre ellos. Solamente los clientes dentro de un rango de transmisión definido pueden comunicarse entre ellos. Modo “INFRASTUCTURE”: cada cliente envía toda sus comunicaciones a una estación central o punto de acceso (Access Point – AP). Este AP actúa como un bridge ethernet y reenvía las comunicaciones a la red apropiada, ya sea una red cableada u otra red inalámbrica.

Conceptos: Definicioneshttp://www.wi-fi.org/OpenSection/glossary.asp

Frecuencia: de 2 a 5 GHz (Radio) Canal: Una porción del espectro de radiofrecuencias

que usan los dispositivos para comunicarse. El uso de diferentes canales ayuda a reducir interferencias

BSSID (Basic Service Set Identifier): Dirección única que identifica al Router/AP que crea la red wireless. Tiene formato de MAC address

ESSID (Extended Service Set Identifier): Nombre único de hasta 32 caracteres para identificar a la red wireless. Todos los componentes de la misma red WLAN deben usar el mismo.

SSID (Service Set Identifier): Equivalente a ESSID

Conceptos: Funcionamiento (I)

Descubrimiento: La estación ha de conocer la existencia del PA al que conectarse.

Escaneo Pasivo: Espera recibir la señal de PA

Escaneo Activo: La estación lanza tramas a un PA determinado y espera una respuesta

Autenticación: La estación ha de autenticarse para conectarse a la red

Asociación: La estación ha de asociarse para poder intercambiar datos con otras.

Cifrado: Protección de los datos que se envían a través de la red.

Conceptos: Funcionamiento (II)

Tipos de tramas Wireless

Tramas de Gestión:o Ayudan al las estaciones a localizar y asociarse a PA

disponibles.o Se transmiten igual que las demás pero no se envía a las

capas superiores. Nivel 2o Tramas Baliza o “Beacon Frames” envían:

• Sincronización horaria• Anchos de banda, canal, tipo de señal, etc..• SSID

o Las redes que no emiten el SSID en las BFs se denominan “redes cerradas”

Tramas de Control: Usadas para el control de acceso al medio.

Tramas de Datos: Usadas para la transmisión de los datos

IEEE 802.11

Estándar de la IEEE: Opera en frecuencias de 2.4 a 5 GHz

802.11: 1 a 2 Mbps a 2.4GHz 802.11a: 54 Mbps a 5GHz

802.11b: 11Mbps a 2.4GHz 802.11g: 54 Mbps a 2.4GHz Además: d (Cambios de MAC), e (QoS), j (Japón), n (x4, x8) ...

Cada fabricante implementa sus propias soluciones para mejorar el rendimiento en la transferencia de datos. (108 Mbps)

Seguridad en IEEE 802.11

Inciso: Autenticación, Encriptación/Cifrado, Firmado Autenticación

Open System AuthenticationShared Key Authentication (WEP)Ambos permiten autenticación por filtrado de MAC

Encriptación e Integridad de datos

WEP (Wired Equivalent Privacy) o Usa un algoritmo RC4 de cifrado con claves de 40-bit o 104-bito Calcula un ICV de 32-bit a partir de los datos a enviaro Genera un IV de 24-bit

¡Se usa el mismo secreto compartido tanto para autenticar (en el desafío/respuesta) como para encriptar!

Cifrado y descifrado WEP

Cifrado

Descifrado

DEMO: Técnicas Hacker de ataque a redes Wireless

Ataque a WLAN protegida con:Ocultación de SSID

Control de acceso por MAC Address

Clave WEP

Ataque a Redes Wireless 802.11

Hemos sacado el SSID oculto y tipo de cifrado Averiguado:

el canal de emisiónBSSID y direcciones MAC

Obtenemos la clave WEP Ya vemos el tráfico:

Dirección IP, Puerta de enlace...Etc...

“Spoofeamos” la MAC Configuramos la red con los datos recogidos

La raíz de los problemas de 802.11

La clave WEP es compartida entre todos los clientes No se contempla la forma de distribuirla ni su cambio en el

tiempo. ¡El estándar 802.11 especifica que cambiar el IV en cada

paquete es opcional!. Y cada fabricante es libre de gestionarlo como quiera.

Reutilización del IVEl IV es de 24-bit -> se repite cada 16.777.216 tramas!

Debilidad de RC4 El ICV es un CRC32 independiente del secreto compartido

Conocido el texto de una trama puede sacarse el de cualquiera sin conocer la clave WEP (bit-flipping)

Más en: http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html

Crackearlas es “trivial”

Así es que con 802.11...

Rogue APs. DoS, ataques por Asociación/Disociación. Fácil monitorización. No extensible a otros métodos de

autenticación. Imposible autenticar por usuario No extensible a otros métodos de gestión de la

clave compartida Hay que implementar nuevos mecanismos de

Autenticación, Cifrado y Firmado

Implantación de Redes Wireless Seguras

Soluciones Wireless SegurasWPA y WPA2

WPA: Certificación de la WI-FI Alliance para las soluciones Wireless que cumplan ciertos requisitos de seguridad. Surgió mientras estaba listo el estándar IEEE802.11i

WPA2: Certificación de la WI-FI Alliance para las soluciones Wireless que cumplan los requisitos de seguridad dictados por IEEE 802.11i

Cambios requeridos por WPA y WPA2 (IEEE802.11i)

AutenticaciónWPA y WPA2:

o Open System Authentication para la asociacióno Para la autenticación mutua y del usuario:

• Enterprise 802.1X sobre 802.11

• Personal PSK (Pre-Sahred Key) ¡Ojo! Cifrado e Integridad de Datos

WPA: TKIP (Temporary Key Integrity Protocol)

WPA2: AES (Advanced Encryption Standard), aka Counter Mode Cipher Block Chaining-Message Authentication Code (CBC-MAC) protocol (CCMP)

Autenticación 802.1X sobre 802.11

802.1X surge como un método de autenticación de “puertos” redes LAN

Implementa un Protocolo de Autenticación Extensible (EAP) Nivel 2Diseñado originalmente para ser usado en PPP y adaptado por 802.1X para ser encapsulado y enviado en redes LAN o WirelessNo tiene seguridad “built-in”. Los protocolos de autenticación deben implementar sus propios métodos de seguridad. El método de autenticación es elegido por los equipos durante la negociación de forma transparente al AP

Aplicado a redes Wireless 802.11Evita la aparición de Rogue APs usando autenticación mutua.Evita accesos no autorizados autenticando tanto a los usuarios como a sus equipos.Produce una PMK (Pairwise Master Key) de 256-bit por cada sesión para cada cliente

Mas detalles sobre su funcionamiento en: http://www.microsoft.com/technet/community/columns/cableguy/cg0402.mspx

Métodos de Autenticación

EAP nos permite elegirTLS: Transport Layer Security (certificados de cliente y servidor)

IKE: Internet Key Exchange

Kerberos

Otros (MD5, LEAP, etc.) PEAP: Protected Extensible Authentication Protocol. Evita que la conversación

EAP vaya sin encriptarGenera un canal TLS usando el certificado del servidor RADIUS

Posteriormente podemos implementar de nuevo un método EAP de autenticación mutuao MS-CHAP v2 (usuario y contraseña)o TLS (certificados de cliente y servidor)

Esquema de Autenticación

Cliente Punto Acceso IAS

Asociación

Establecimiento de canal seguro TLS

Autenticación MS-CHAP V2 sobre TLS

Resultado Autenticación

Disasociación

Acceso Permitido

Generación de las claves de cifrado

Cliente Punto Acceso IAS

MK (Master Key) MK (Master Key)

PMK (Pairwise Master Key) PMK (Pairwise Master Key) PMK (Pairwise Master Key)

PTK (Pairwise temp. Key) PTK (Pairwise Temp. Key)

GTK (Group temp. Key) GTK (Group temp. Key)

4 claves para cifradoUNICAST

1clave para cifradoMulticast

TKIP (Temporary Key Integrity Protocol)

Utiliza cifrado entre la estación cliente y el Punto de Acceso con clave simétrica.

Utiliza 4 claves distintas entre Punto de Acceso y cada Cliente Wireless para tráfico Unicast y 2 claves para tráfico broadcast y/o multicast.

Las claves se recalculan para cada paquete con una función de mezclado para cada paquete

Usa IV de 48-bit

Integridad de datos en TKIP: Michael

Provee de integridad y “antireplay” Calcula un “Message Integrity Code” (MIC) de 8

bytes Estos 8 bytes se introducen entre los datos y los 4

Bytes del ICV de la trama 802.11 Se cifra junto con los datos y el ICV Mas información en:

http://www.microsoft.com/technet/community/columns/cableguy/cg1104.mspx

AES

Protocolo sustituto de DES Utiliza el algoritmo de cifrado por bloques de

Rijndael Permite claves de 128, 196 y 256 bits Es el algoritmo de cifrado más seguro que

podemos utilizar en redes WLAN. No vulnerado a fecha de hoy

Mas información en:http://www.microsoft.com/technet/community/columns/cableguy/cg0805.mspx

RESUMEN:

AcuerdoEstándar Wireless

Estándar Autenticación

Métodos Autenticación

Cifrado/Firmado

Wireless Original

802.11 - Open

WEPShared

Mundo Real 802.11 802.1x

EAP-TLS WEP

PEAP-TLS TKIP

PEAP-MS-CHAP-v2 AES

WPA 802.11 802.1x

EAP-TLS

TKIPPEAP-TLS

PEAP-MS-CHAP-v2

WPA2 802.11i 802.1x

EAP-TLS

AESPEAP-TLS

PEAP-MS-CHAP-v2

RECOMENDACIONES (de mas a menos seguras):

Empresa:1. WPA2: AES y PEAP-TLS2. WPA2: AES y PEAP-MS-CHAP v23. WPA: TKIP y PEAP-TLS4. WPA: TKIP y PEAP-MS-CHAP v2

SOHO (Small Office, Home Office)1. WPA2: AES y secreto compartido2. WPA: TKIP y secreto compartido

DEMO: Implantación de una red Wireless Segura

Servidor W2K3Certificate Authority

IAS (Radius)

Punto de AccesoWPA

802.1x

Windows XP SP1Windows 2003

SP1

Pasos

1. Configurar puntos de acceso

2. Agrupar usuarios y máquinas

3. Configurar IAS (RADIUS)1. Dar de alta los AP como clientes

2. Configurar la política de acceso

4. Definir políticas Wireless

5. Definir políticas para obtención de certificados

REFERENCIAS

http://www.microsoft.com/spain/servidores/windowsserver2003/technologies/networking/wifi/default.aspx

IEEE 802.11 Wireless LAN Security with Microsoft Windows XP Step-by-Step Guide for Setting Up Secure Wireless Access in a

Test Lab Enterprise Deployment of Secure 802.11 Networks Using

Microsoft Windows Configuring Windows XP IEEE 802.11 Wireless Networks for the

Home and Small Business Troubleshooting Windows XP IEEE 802.11 Wireless Access http://www.wi-fi.org/OpenSection/index.asp Configuring Wireless Settings Using Windows Server 2003

Group Policy TKIP: Wi-Fi Protected Access Data Encryption and Integrity AES: Wi-Fi Protected Access 2 Data Encryption and Integrity

Grupos Reducidos de 10 a 15 asistentes. Cada asistente tiene un escenario virtualizado para ejecución de laboratorios. Un técnico por grupo imparte explicaciones teóricas y plantea y resuelve las practicas con los asistentes al mismo tiempo que resuelve dudas. 6 horas de duración cada uno y 24 horas los seminarios de Contramedidas Hacker.

Sistemas http://www.microsoft.com/spain/HOLsistemas

Desarrollo http://www.microsoft.com/spain/HOLdesarrollo

• Madrid Vigo Salamanca Pamplona Barcelona Santander Valladolid Valencia.

•Tenerife y Málaga/Sevilla próximamente.

Café

Actualizaciones de Seguridad

Expedientes de Seguridad, Bugs y Exploits. Shellcodes. DEMO: Generación y ejecución de Exploits Terminología y consideraciones acerca de las Actualizaciones

de Seguridad Herramientas de Monitorización y Actualización de sistemas.

MBSA, EXBPA.

MU, WSUS y SMS. Windows Server Update Services DEMO: Implantación WSUS, Administración y Despliegue de

Actualizaciones.

Gestión de la Seguridad

EstándaresEstándares Productos desplegados Productos desplegados Desarrollos propiosDesarrollos propios

Políticas de seguridad Políticas de seguridad Gestión de Gestión de actualizaciones actualizaciones Gestión de cambiosGestión de cambios Prevención de riesgosPrevención de riesgos AuditoriasAuditorias

ConcienciaciónConcienciación FormaciónFormación

PersonasPersonas

Tecnología

TecnologíaProc

esos

Proc

esos

Bug

Un error de software o computer bug, que significa bicho de computadora, es el resultado de un fallo de programación introducido en el proceso de creación de programas de computadora. El término bug fue acreditado erróneamente a Grace Murray Hopper, una pionera en la historia de la computación, pero Thomas Edison ya lo empleaba en sus trabajos para describir defectos en sistemas mecánicos por el año 1870.

Fuente: Wikipedia en Español

Bug

Exploit

Exploit (viene de to exploit - aprovechar) - código escrito con el fin de aprovechar un error de programación para obtener diversos privilegios. software.

Un buen número de exploits tienen su origen en un conjunto de fallos similares. Algunos de los grupos de vulnerabilidades más conocidos son:

Vulnerabilidades de desbordamiento de pila o buffer overflow. Vulnerabilidades de condición de carrera (Race condition). Vulnerabilidades de error de formato de cadena (format string bugs). Vulnerabilidades de Cross Site Scripting (XSS). Vulnerabilidades de inyección SQL (SQL injection). Vulnerabilidades de inyección de caracteres (CRLF).

Fuente: Wikipedia en Español

Payload

El payload de un virus o un gusano es cualquier acción que se programa para que se lleve a cabo además de su propia propagación. El término se usa para cualquiera de las funciones, independientemente de que lleguen a funcionar o no

Fuente: Wikipedia

Proceso explotación de una Vulnerabilidad

1.- Se descubre una vulnerabilidad

a) Por el fabricante

b) Por un tercero

2.- Se aprende a explotarlo

a) Ingeniería inversa de Código

b) Ingeniería inversa de Patch

3.- Se usa un Payload para automatizar

Comunidades Hacker

infohacking.com

Expedientes de Seguridad

DEMO: Generación y ejecución de Exploits

TTimpactoimpacto

TTriesgoriesgo

Terminología y Consideraciones acerca de las actualizaciones de Seguridad

185

502

58

208

336

53

11

336

31 27

SlammerSlammer BugBearBugBear SlapperSlapper RamenRamen KlezKlez ScalperScalper NimdaNimda CodeRedCodeRed BlasterBlasterLionLion

Win32Win32

Linux/UnixLinux/Unix

Nombre Nombre del Virusdel Virus

Número de días transcurridos entre la publicación del update de seguridad y el impacto del virus

Grados de Severidad en Microsoft

Severidad Definición

Crítico

Explotación del mismo puede permitir la propagación de un gusano a través de Internet como Code Red o Nimda sin intervención de ninguna acción de usuarios.

Importante

Explotación puede tener como resultado el compromiso de la Seguridad de un sistema (Confidencialidad, Integridad, Disponibilidad de datos o servicios).

Moderado

Vulnerabilidad seria pero su explotación se be mitigada por un grado significativo de factores como la configuración, la auditoría, la necesidad de entornos muy concretos o la participación del usuario.

BajoLa explotación es tremendamente dificil o su impacto es mínimo.

Herramientas de Monitorización y Auditoria

El objetivo es dejar un Servidor en Día-0.Zero Day Server es aquel que tiene todo el software que corre en su sistema actualizado y no tiene ningún bug conocido.Es el máximo nivel de seguridad que se puede alcanzar con el software que corre en un sistema.Existen Zero Day Exploits

Auditorias de seguridadNo son las únicas que deben hacerseSe deben realizar de forma automática y de forma manual [“artesana”].Con la visión de un atacante y con la visión del administrador.

Auditoría Caja Negra

Se realiza desde fuera Ofrece la visión de un hacker No puede ser ejecutada desde dentro

Falsos positivos No garantiza “Servidor Seguro” No todos los escáner ofrecen los mismos

resultados. SSS, Nessus, GFI Languard, Retina, ISS

Real Secure, etc …

Scanners de Vulnerabilidades

Satan, Saint, Sara

Shadow Security Scannerhttp://www.safety-lab.com

GFI Languard Network Security Scannerhttp:///www.gfihispana.com

Retinahttp://www.eeye.com

Nessushttp://www.nessus.org

NetBrute, R3X

Auditoría Caja Blanca

Se realiza internamente

Con privilegios y visualización completa del sistema

Se utilizan herramientas proporcionadas por el fabricante o propias

MBSAEXBPAMOM 2005….

MBSA

Ayuda a identificar sistemas Windows vulnerables.

Escanea buscando actualizaciones no aplicadas y fallos en la configuración del software.Escanea distintas versiones de Windows y distintas aplicaciones.Escanea en local o múltiples máquinas en remoto vía GUI o línea de comandos. Genera informes XML sobre los resultados de cada equipo.

Corre en Windows Server 2003, Windows 2000 y Windows XP

Se integra con SMS 2003 SP1, con SUS y WSUS

MBSA

EXBPA

Examina un despliegue de Exchange Server y determina si esta configurado siguiendo las recomendaciones de Microsoft.

Genera una lista de puntos, como configuraciones mejorables, u opciones no recomendadas o soportadas.Juzga la salud general del sistema.Ayuda a resolver los problemas encontrados.

Busca también Actualizaciones de Seguridad que falten.

EXBPA

Herramientas para laGestión de Actualizaciones

Usuario Final y Pequeña Empresa:Microsoft Update

Pequeña y Mediana Empresa:Software Update Services

Mediana Empresa y Corporaciones:SMS and the SMS Software Update Services Feature Pack

Productos de Terceros

Compañía Producto URLAltiris, Inc. Altiris Patch Management http://www.altiris.com

BigFix, Inc. BigFix Patch Manager http://www.bigfix.com

Configuresoft, Inc. Security Update Manager http://www.configuresoft.com

Ecora, Inc. Ecora Patch Manager http://www.ecora.com

GFI Software, Ltd. GFI LANguard Network Security Scanner http://www.gfi.com

Gravity Storm Software, LLC Service Pack Manager 2000 http://www.securitybastion.com

LANDesk Software, Ltd LANDesk Patch Manager http://www.landesk.com

Novadigm, Inc. Radia Patch Manager http://www.novadigm.com

PatchLink Corp. PatchLink Update http://www.patchlink.com

Shavlik Technologies HFNetChk Pro http://www.shavlik.com

St. Bernard Software UpdateExpert http://www.stbernard.com

¿Qué es WSUS? Un “Feature Pack” RTW (Release to Web) de Microsoft

Windows ServerGratuito: http://www.microsoft.com/windowsserversystem/updateservices/evaluation/sysreqs.mspx

No necesita ningún tipo de CAL adicional Una solución funcional: Automatiza el proceso de gestión

de parches y actualizaciones todo lo posibleGestiona parches de otros productos además de WindowsIncluye las funcionalidades que le demandabais SUS 1.0Mejora y facilita las tareas del administrador

Componente clave de las actuales y futuras soluciones de gestión de Parches y Actualizaciones de Microsoft

Aprovechado por otras herramientas (i.e., SMS & MBSA)Expone un rico conjunto de API para facilitar la personalización y extensibilidadEscalabilidad hacia (Microsoft Update)

Contenido y Productos Soportados

ContenidoMicrosoft Windows, Microsoft Office, Microsoft SQL Server, Microsoft Exchange Server Se agregarán productos adicionales (i.e. ISA Server 2004)

Sistemas OperativosCliente/agente

o Windows 2000 SP3 y posterior,o Windows XP y posterior (Tb. versiones y x64)o Windows 2003 (solo 32-bit),o Windows 2003 SP1 (x64 y ia64)

Servidoro Windows 2000 SP4 y posterior o Windows 2003 y posterior (solo 32-bit)

Soporte Internacional25 Windows client locales17 Windows Server locales

Servidor WSUS

Cómo funciona

El Administrador se suscribe a las categorías de El Administrador se suscribe a las categorías de actualizacionesactualizaciones

< Back Finish Cancel

Windows Update ServicesWindows Update Services

El servidor descarga las actualizaciones desde El servidor descarga las actualizaciones desde Microsoft UpdateMicrosoft Update

Los clientes se registran en el servidorLos clientes se registran en el servidorEl agente instala los parches aprobados por el El agente instala los parches aprobados por el administradoradministradorEl Administrador pone a los clientes en diferentes El Administrador pone a los clientes en diferentes target groupstarget groupsEl Administrador aprueba las actualizacionesEl Administrador aprueba las actualizaciones

< Back Finish Cancel

Windows Update ServicesWindows Update Services

Microsoft Update

Clientes Windows XP

Target Group 1Clientes Windows Server

Target Group 2

Administrador

Arquitectura

Piezas de la soluciónWindows Server Update Services Automatic Updates client agent Microsoft Update Group Policy y Active Directory

Piezas del servidorIIS / IE6 SP1BITS y WinHTTP (KB842773)

MSI 3.1Microsoft SQL Server

o WMSDE/MSDE

.NET Framework 1.1 SP1Scripting vía SDK

Arquitectura del Servidor

Interfaz de administración Web. Motor de sincronización para descargar las

actualizaciones de Microsoft Update. Base de datos SQL que mantiene el resto de los

datos que no son actualizaciones. Permite una estructura de servidores jerárquica Usa BITS (Background Intelligent Transfer

Service) para un uso eficiente del ancho de banda

Escalable

Arquitectura del Servidor (cont.)

Server APIServer API

File StoreFile Store(NTFS)(NTFS)

Metadata StoreMetadata StoreMSDE/SQLMSDE/SQL

Client/ServerClient/ServerWeb serviceWeb service

Server/ServerServer/ServerWeb serviceWeb serviceReportingReporting

Web serviceWeb service Admin UIAdmin UI ContentContentsyncsync

CatalogCatalogsyncsync

ClientesClientes

Servidores WSUS/MUServidores WSUS/MUEstación Estación deldel AdministraAdministradordor

Arquitectura del cliente

El agente (Win32 Service) implementa la mayor parte de la funcionalidad

Extensibilidad basada en manejadores de tipo Update

Manejadores para MSI, update.exe, drivers etc.

Se auto-actualiza automáticamente a nuevas versiones ofrecidas por el servidor.

Controlable via GPO Seguro

Arquitectura del cliente

WUWUo WSUSo WSUS IE (WU Site)IE (WU Site) ScriptsScripts

a medidaa medida

API API Cliente WU Cliente WU

AutomaticAutomaticupdatesupdates

UpdateUpdatemanagermanager

UpdateUpdatehandlershandlers

Almacén de Almacén de contenidocontenido Metadata DBMetadata DB

WU ClienteWU Cliente

BITSBITS

Cosas a tener en cuenta

¿Que Base de datos voy a usar? ¿Necesito una jerarquía? ¿Necesito replicas? ¿Que método vamos a usar para instalar las

actualizaciones? ¿Donde voy a almacenar las actualizaciones? ¿En que idiomas tengo los productos que voy a

actualizar? ¿Cómo voy a configurar los clientes? ¿Qué opciones de seguridad tengo que

considerar?

¿Que Base de datos voy a usar?

La mejor :Instalación local de WMSDE / MSDE.SQL Server ya existente (local o remoto).

El principal factor es la infraestructura existente.WMSDE/MSDE valdrá en la mayoría de los casos.Utilizar SQL solamente si ya está instalado y tiene capacidad de aguantar más carga

No modificar nunca directamente los datos en SQL.

Usar WSUSUtil.exe para backup

Jerarquías y Réplicas

Autónomo = padre/hijoSolo los elementos comunes suponen ancho de bandaEl almacén del padre es el común múltiplo de todos las aprobaciones de los hijos.

Replica = Configuración espejo.Solamente la pertenencia a grupos es única.

Puede repartir parcialmente las tareas de administración.

Útil para distribuir la sobrecarga de red. Se configura durante la instalación y no puede

cambiarse luego. El despliegue puede consistir en múltiples capas de servidores WSUS

Servidor único

Servidores de réplica

Delegaciones

Redes desconectadas

Desktop Desktop ClientsClients

Microsoft Microsoft UpdateUpdate

WSUS WSUS ServerServer

WSUS WSUS ServerServer

¿Qué método vamos a usar para instalar las actualizaciones? Instalación Express vs. estándar

Instalación estándar: Descarga y reemplaza el fichero completo.

Más costoso para el cliente y la red local Instalación Express: Descarga e instala solo “deltas”

(diferencias)

Más costoso para el servidor WSUS y el enlace WAN

¿Donde voy a almacenar las actualizaciones?Opciones de almacenamiento

Dos opciones:Sistema de archivos localMicrosoft Update (solo almacenamos la información acerca de las actualizaciones)

Depende de dónde estén los clientes en relación al WSUS

Clientes en “red local” – Local file systemClientes “fuera” – Microsoft Update

Por defecto son todos (3 tipos de Chino, dos de Japonés además del Coreano....)

Eso es MUCHO tráfico y MUCHAS Gigas WSUS solamente podrá informar sobre un

cliente si los datos para su idioma se han descargado

Recomendación: No almacenar los datos localmente si hay gran variedad y variabilidad de idiomas

¿En que idiomas tengo los productos que voy a actualizar?Locales

¿Qué opciones de seguridad tengo que considerar?

WSUS siempre detrás de un firewall

Sobre el sistema operativo securizado

Utilizar siempre SSLo Los clientes deben validarse con su certificado de

máquina para recibir las actualizacioneso Usar una CA pública si no se tiene la opción de

distribuir una CA raíz corporativa (nada más sencillo con Directorio Activo)

Opciones de configuración del cliente Nombre del servidor WSUS (en formato

http://server:8530). Target Group (debe haberse creado previamente en

WSUS). Tiempo de búsqueda de nuevas actualizaciones después

de reiniciar. Frecuencia de actualización del cliente No reiniciar automáticamente tras la instalación. Demorar el reinicio Comportamiento de la descarga y la instalación Frecuencia de los recordatorios para reiniciar tras la

instalación Instalar actualizaciones al Apagar Apariencia del botón de Apagar Usuarios no administradores pueden aprobar

descargas e instalaciones

¿Cómo voy a configurar los clientes?

Manualmente / Scripts

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate

Por políticas (WUAU.ADM)

Locales = Manualmente (gpedit.msc)

GPOs en Directorio Activo

Ver la “Deployment Guide”

Migración desde SUS 1.0

Puntos a tener en cuenta:La instalación NO actualiza.

Se migra el contenido y las aprobaciones, no la configuración.

Dos EscenariosAl mismo servidor

A un servidor remoto

RECURSOS

Página principal de WSUS:

http://www.microsoft.com/windowsserversystem/updateservices/default.mspx SDK:

http://msdn.microsoft.com/library/default.asp?url=/library/en-us/wus/wus/portal.asp Documentación Online:

http://www.microsoft.com/windowsserversystem/updateservices/techinfo/default.mspx

Deployment Guide Operations Guide Troubleshooter

Web MVPs

Defensa Nivel 7:Firewall de Aplicación: ISA Server 2004

Chema AlonsoMS MVP Windows Security

Informática64

Firewalls

Se introducen entre redes para cortar tráfico.

Implican la separación física de las redes para permitir que pasen o no los mensajes.

Pueden inspeccionar la torre completa de comunicaciones y reconocer sesiones.

Firewalls

Firewall de Red:

Filtrado de direcciones IP, puertos, tipo de protocolos y flags de cabeceras.

Filtrado discreto de paquetes.

Implementados en Routers de conexión.

Implementados por Software en protocolos de comunicaciones.

Firewalls

Firewall Nivel de Aplicación:

Inspeccionan y reconocen el protocolo utilizado en una sesión.

Pueden utilizar para la toma de decisiones todos los objetos de seguridad de una red integrándolos en un árbol LDAP.

Reglas complejas que pueden requerir el establecimiento de sesiones completas entre firewall y el cliente.

ISA Server: Novedades

Enterprise Editiono Gestión Empresarialo Arrayso Network Load Balancing

ISA Server 2004 Appliance o Pre-configurado y Pre-testeadoo Configuración bastionada para reducir la

superficie de ataqueo Sencillez

ISA Server SE 2004 SP1

Arquitectura ISA Server 2004

Firewall multired:Nivel de Red.

Nivel de Aplicación. Servidor VPN:

Túneles.

Clientes. Servidor Caché.

Soporte Multired ISA Server 2004 divide los sistemas de red en función de las

necesidades planteadas en el marco de la seguridad.Definición de redes y grupos de redes.

Definición de la interconexión entre redes mediante NAT o enrutamiento.

Permite gestión independiente.

Presenta soporte para redes.Internas.

Perimetrales.

Externas.

Interconexión sitios VPN.

VPN de Cuarentena.

Características de seguridad.

Filtros IP.

Reglas de acceso.

Publicación de servicios.

Filtros de aplicación.

Filtros IP

Filtrado IP a nivel de paquetes.

Inspección de parámetros en cabeceras.

Bloqueos de fragmentos IP.

Reglas de acceso

Controlan el tráfico de información a través de las redes.

Determinan la configuración de origen, destino, protocolos y usuarios que realizan la conexión.

La aplicación de las reglas se determinan en un orden, quedando predefinida una regla que deniega cualquier tráfico de red.

Reglas de acceso

ISA Server 2004 proporciona una serie de reglas con los que se puede controlar la información que circula por la red en función de:

Protocolos.

Usuarios.

Tipos de contenido.

Franjas de tiempo.

Objetos de red.

Reglas de Publicación

Se utilizan para publicar servidores.

Asistentes de publicación:Web Server.

Secure Web Server.

Mail Server.

Definición de servidores por servicios.

Firewall de aplicación

Necesidades

Inspeccionar el tráfico al nivel de aplicación.

Permitir o denegar el paso de datos a determinados contenidos o aplicaciones.

Proporcionan controles sobre determinados ataques.

Sistema extensible sobre filtrados de conexiones.

Métodos de implementación

Implementadas directamente sobre las reglas de acceso y las publicaciones.

Como un añadido sobre reglas y publicaciones.

Como funcionalidad sobre ISA a nivel Firewall.

Filtro HTTP

Las necesidades de la empresa permiten el tráfico a través del puerto 80.

Por el puerto 80 no solo viaja tráfico HTTP puro, sino que puede disfrazar otras comunicaciones.

Malware.P2P.Servicios de mensajería …

Determinados ataques contra Servicios Web pueden ser controlados a este nivel.

Controles HTTP

Mediante el filtro HTTP pueden ser controlados estos aspectos de la comunicación:

Técnicas de Buffer Overflow.

Denegación de servicio.

Subida de datos en escenarios de publicación.

Control de métodos.

Control de cabeceras.

Filtro contenido HTTP

Controlan el tráfico de datos a través de firmas.En transmisión de datos.

En recepción de datos.

Impedir tráfico a palabras claves.Control de acceso a sitios web.

Detención de comunicaciones de aplicaciones por firma y cabecera.

Control de aplicaciones HTTP

Aplicación Petición Cabecera HTTP Firma

Windows Messenger Request headers User-Agent: MSMSGS

AOL Messenger (and Gecko browsers)

Request headers User-Agent: Gecko/

Yahoo Messenger Request headers Host msg.yahoo.com

Kazaa Request headers P2P-Agent Kazaa, Kazaaclient:

Kazaa Request headers User-Agent: KazaaClient

Kazaa Request headers X-Kazaa-Network: KaZaA

Gnutella Request headers User-Agent: GnutellaGnucleus

Edonkey Request headers User-Agent: e2dk

Morpheus Response header Server Morpheus

Filtro ProxyWeb

Se aplica de forma directa sobre HTTP.

Permite la extensión del filtro HTTP y de autentificación sobre otros protocolos.

Garantiza el control sobre comunicaciones en entornos propietarios.

Protocolos RPC

Un número considerables de servicios se establecen mediante RPC.

Problemática de las transmisiones RPC.Inicio de comunicación sobre 135 para localizar el puerto de comunicación.

Establece comunicación en puertos por encima de 1024.

El administrador no debería abrir todos los puertos por encima del 1024.

Filtro RPC

Las comunicaciones RPC se pueden parametrizar por el UUID.

Identificador del servicio RPC.Identificador del interface.

ISA Server 2004 presenta un asistente para la creación de protocolos RPC basados en UUID.

Manual.Automáticamente conectando a un servidor y seleccionando sus UUID correspondientes.

El servicio de Firewall aplica con posterioridad los filtros para permitir la transferencia de datos a UUID determinados.

Transmisión RPC

Filtro SMTP

ISA Server 2004 para el protocolo SMTP presenta un filtro que realiza el control de los comandos SMTP.

Se puede ampliar la funcionalidad del filtro SMTP mediante Message Screener.

Message Screener

Message Screener se instala como un componente adicional de MS ISA 2004.

Puede ser instalado sobre cualquier servidor que ejecute IIS 5.0 o 6.0 y tenga instalado el Servidor SMTP.

No se recomienda su implementación sobre el servidor MS Exchange Server 2003, ya que podría interferir en los filtros propios.

Filtro FTP

Controla la conexión a través de los puertos dinámicos FTP.

Realiza la conversión de las direcciones para los clientes SecureNat.

Controla los procesos de escritura, prioritariamente en entornos de publicación.

Filtros de autentificación

ISA Server 2004 presenta una serie de mecanismos para garantizar los procedimientos de autentificación.

Integración con Directorio Activo.

Filtro Web RSA para autentificación de usuarios SecurID.

Filtro de autentificación Radius.

Filtros de formulario de autentificación para OWA.

DEMOFiltro HTTP

Bridging HTTP-s con ISA Server 2004

“Problemática” HTTP-s

Conexiones HTTP-s ofrecen:Autenticación mediante certificados.

Cifrado mediante túneles SSL.

Conexiones HTTP-s condicionan:Transmisión datos extremo-extremo.

Paso a través de sistemas de protección de forma oculta.

“Problemática” HTTP-s

Conexiones HTTP-sFirewalls e IDS no pueden inspeccionar tráfico.

Ataques pasan sin ser detectados por firewalls:

o SQL Injections.o Cross-Site Scripting (XSS)o Red Code.o Unicode.

“Problemática” HTTP-s

Cifrado y autenticado es útil contra:Sniffers.

Man In The Middle.

Pero hay que dejar que los sistemas de protección inspeccionen el contenido.

Firewalls.

IDS.

Bridging HTTP-s

El proceso de Bridging en conexiones HTTP-s permite que las conexiones se cifren en dos tramos.

Entre cliente y Firewall.

Entre Firewall y Servidor.

Bridging HTTP-s

Ventajas:El Firewall puede inspeccionar el contenido.

Se pueden aplicar reglas mediante filtros.

Se pueden detectar ataques.

No se pierde seguridad.

Si se desea, se puede dejar descifrado para inspecciones NIDS.

Bridging HTTP-s

MS ISA Server 2004 permite:

Tunneling HTTPS por cualquier puerto.o MS ISA Server 2000 hay que configurar

puertos SSL.

Bridging HTTPS con:o Cifrado entre cliente-firewall y firewall servidor.o Cifrado entre cliente-firewall.o Cifrado entre firewall-Servidor.

DEMOBridging HTTPS

Addons

ISA Server 2004 presenta una arquitectura abierta para:

Desarrollar (SDK ISA Server).

Implementar nuevas herramientas.

Software de terceros amplían las funcionalidades de ISA Server 2004.

Tipos de Addons

Implementaciones de antivirus para ISA Server.

Gestión de tráfico web. Websense.

Gestión de tráfico y aplicación de cuotas.

Ampliación de los componentes Sockets.

Mejoras en sistemas de detección de intrusos.

Detección de Intrusos

El servicio proporciona un mecanismo para identificar cuando se está produciendo un ataque.

ISA Server compara el tráfico de red con registros y patrones de ataques bien conocidos.

Cuando un ataque es reconocido se genera una alerta.

Controles

Ataques Winnuke.

Ataques tipo Land.

Ping de la muerte.

Ataques Half-Scan.

Bombas UDP.

Escaneo de puertos.

Detección de ataques DNS

Desbordamiento de nombres de HOST sobre DNS.

Desbordamiento de longitud DNS.

Control de trasferencias de zona.

RECURSOS:

Guía de la consolidación de Seguridad de ISA Server 2004. http://www.microsoft.com/spain/technet/recursos/articulos/securityhardeningguide.mspx

IT Forum en Barcelona (15-17 Nov)http://www.mseventseurope.com/msitforum/05/pre/content/default.aspx

MÁS DE 260 SESIONES TÉCNICAS E INTERACTIVAS, incluyendo; Chalk-&-Talks y Panel Discussions para fomentar sus aptitudes técnicas.

Una selección de SEMINARIOS PRECONFERNCIA para acelerar su aprendizaje. MÁS DE 65 HANDS-ON LABS (PRÁCTICAS CON ORDENADOR) para ponerse al

día con las últimas novedades. CONTENIDO NUEVO EN; Windows Server R2, SQL Server 2005, BizTalk Server

2006, Windows Vista y la siguiente versión de Microsoft Office así como Navision, Microsoft CRM y Great Plains.

LOS MEJORES CONFERENCIANTES de los Grupos de Producto de Microsoft y expertos internacionales de la industria.

PRESENTACIÓN DE KEYNOTE – Bob Muglia, Vicepresidente Senior, División de Windows Server.

PREGUNTE A LOS EXPERTOS que desafían problemas técnicos en un entorno renovado.

COMUNIDAD DEL IT FORUM DE MICROSOFT – Conecte con los profesionales que vienen a inspirarnos compartiendo sus ideas y conocimiento.

PABELLÓN DE EXHIBICIÓN donde más de 100 partners y patrocinadores mostrarán soluciones que le ayudarán con su trabajo.

INCREMENTE SU PRODUCTIVIDAD y respalde su negocio con nuevas oportunidades e ideas.

TechNet Flash

Información técnica del producto Los últimos Boletines de Seguridad y actualizaciones de Microsoft Nuevos Service Packs y artículos Knowledge Base de Microsoft Downloads, Pruebas y Betas Convocatoria de Seminarios y Jornadas Técnicas TechNet Información de los Foros TechNet Próximos Videos Técnicos Online Trucos, pistas

Suscríbete en http://www.microsoft.com/spain/technet

TechNews

Suscripción gratuita enviando un mail:mailto:technews@informatica64.com

Technet Webcasts

Seminarios Online gratuitos en castellano1 hora de duración

Tecnología LiveMeeting

En directo y también grabados

Organizados por temáticaso Directorio activoo Exchangeo IIS 7o SQL 2005o Gestión de Actualizaciones de seguridado Novedades para Windows Server 2003o Despliegue de sistemas y aplicaciones

Más información en:http://www.microsoft.com/spain/technet/jornadas/webcasts/default.asp

¿Preguntas?

Chema AlonsoMicrosoft MVP Windows Securitychema@informatica64.com

David CervigónMicrosoft IT Evangelistdavidce@microsoft.comhttp://blogs.technet.com/davidcervigon

Jose ParadaMicrosoft IT Evangelistjparada@microsoft.comhttp://blogs.technet.com/padreparada