ALGORITMOS
-
Upload
guest6ae1d9 -
Category
Economy & Finance
-
view
17 -
download
4
description
Transcript of ALGORITMOS
Vuelta a España TechNet 2005-2006:
Mantenga su infraestructura Segura…. Contra Hackers.
Chema Alonso (MVP de Microsoft) Jose Parada (Ingeniero TechNet) David Cervigon (Ingeniero TechNet)
Recursos Technet
WebCasts IT ShowTime Guías y manuales Chats Blogs Eventos Seguridad Software
Technet Flash Flash MSDN Newsletter Seguridad Videos Demo Videos Interactivos
http://wwww.microsoft.com/spain/technet
Agenda
09:00 - 09:30 : Registro 09:30 - 10:45 : Redes Wireless 10:45 - 11:15 : Café 11:30 - 12:30 : Actualizaciones de Seguridad 12:30 - 13:45 : Defensa nivel 7 13:45 - 14:00 : Preguntas
Redes Wireless
Introducción, conceptos y funcionamiento DEMO: Técnicas Hacker de ataque a redes Wireless Redes Wireless Seguras DEMO: Securización de una red Wireless
Introducción Hoy en día, las Wireless LAN se están convirtiendo
poco a poco en parte esencial de las redes LAN tradicionales:
Bajos costes de instalaciónDisponibilidadNo requiere de software adicionalMovilidad
La implantación se esta realizando a mayor velocidad en los entornos domésticos y PYMES que en las grades empresas
Este mercado esta menos concienciado de los problema de seguridad
El aire es un medio inseguro.Los estándares iniciales tienen muchos problemas de seguridad.
Introducción
ComponentesRouters/Gateways, Puntos de acceso (AP), Repetidores
– Equivalente al HUB de la tecnología ETHERNET. – Ojo, no es un Switch por lo que los usuarios comparten el ancho de
banda total.Adaptadores WIFI: PC Cards, PCI, Integradas, USB....Antenas: unidireccionales y omnidireccionales
Modos de funcionamientoModo “AD-HOC”: los clientes se comunican directamente entre ellos. Solamente los clientes dentro de un rango de transmisión definido pueden comunicarse entre ellos. Modo “INFRASTUCTURE”: cada cliente envía toda sus comunicaciones a una estación central o punto de acceso (Access Point – AP). Este AP actúa como un bridge ethernet y reenvía las comunicaciones a la red apropiada, ya sea una red cableada u otra red inalámbrica.
Conceptos: Definicioneshttp://www.wi-fi.org/OpenSection/glossary.asp
Frecuencia: de 2 a 5 GHz (Radio) Canal: Una porción del espectro de radiofrecuencias
que usan los dispositivos para comunicarse. El uso de diferentes canales ayuda a reducir interferencias
BSSID (Basic Service Set Identifier): Dirección única que identifica al Router/AP que crea la red wireless. Tiene formato de MAC address
ESSID (Extended Service Set Identifier): Nombre único de hasta 32 caracteres para identificar a la red wireless. Todos los componentes de la misma red WLAN deben usar el mismo.
SSID (Service Set Identifier): Equivalente a ESSID
Conceptos: Funcionamiento (I)
Descubrimiento: La estación ha de conocer la existencia del PA al que conectarse.
Escaneo Pasivo: Espera recibir la señal de PA
Escaneo Activo: La estación lanza tramas a un PA determinado y espera una respuesta
Autenticación: La estación ha de autenticarse para conectarse a la red
Asociación: La estación ha de asociarse para poder intercambiar datos con otras.
Cifrado: Protección de los datos que se envían a través de la red.
Conceptos: Funcionamiento (II)
Tipos de tramas Wireless
Tramas de Gestión:o Ayudan al las estaciones a localizar y asociarse a PA
disponibles.o Se transmiten igual que las demás pero no se envía a las
capas superiores. Nivel 2o Tramas Baliza o “Beacon Frames” envían:
• Sincronización horaria• Anchos de banda, canal, tipo de señal, etc..• SSID
o Las redes que no emiten el SSID en las BFs se denominan “redes cerradas”
Tramas de Control: Usadas para el control de acceso al medio.
Tramas de Datos: Usadas para la transmisión de los datos
IEEE 802.11
Estándar de la IEEE: Opera en frecuencias de 2.4 a 5 GHz
802.11: 1 a 2 Mbps a 2.4GHz 802.11a: 54 Mbps a 5GHz
802.11b: 11Mbps a 2.4GHz 802.11g: 54 Mbps a 2.4GHz Además: d (Cambios de MAC), e (QoS), j (Japón), n (x4, x8) ...
Cada fabricante implementa sus propias soluciones para mejorar el rendimiento en la transferencia de datos. (108 Mbps)
Seguridad en IEEE 802.11
Inciso: Autenticación, Encriptación/Cifrado, Firmado Autenticación
Open System AuthenticationShared Key Authentication (WEP)Ambos permiten autenticación por filtrado de MAC
Encriptación e Integridad de datos
WEP (Wired Equivalent Privacy) o Usa un algoritmo RC4 de cifrado con claves de 40-bit o 104-bito Calcula un ICV de 32-bit a partir de los datos a enviaro Genera un IV de 24-bit
¡Se usa el mismo secreto compartido tanto para autenticar (en el desafío/respuesta) como para encriptar!
Cifrado y descifrado WEP
Cifrado
Descifrado
DEMO: Técnicas Hacker de ataque a redes Wireless
Ataque a WLAN protegida con:Ocultación de SSID
Control de acceso por MAC Address
Clave WEP
Ataque a Redes Wireless 802.11
Hemos sacado el SSID oculto y tipo de cifrado Averiguado:
el canal de emisiónBSSID y direcciones MAC
Obtenemos la clave WEP Ya vemos el tráfico:
Dirección IP, Puerta de enlace...Etc...
“Spoofeamos” la MAC Configuramos la red con los datos recogidos
La raíz de los problemas de 802.11
La clave WEP es compartida entre todos los clientes No se contempla la forma de distribuirla ni su cambio en el
tiempo. ¡El estándar 802.11 especifica que cambiar el IV en cada
paquete es opcional!. Y cada fabricante es libre de gestionarlo como quiera.
Reutilización del IVEl IV es de 24-bit -> se repite cada 16.777.216 tramas!
Debilidad de RC4 El ICV es un CRC32 independiente del secreto compartido
Conocido el texto de una trama puede sacarse el de cualquiera sin conocer la clave WEP (bit-flipping)
Más en: http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html
Crackearlas es “trivial”
Así es que con 802.11...
Rogue APs. DoS, ataques por Asociación/Disociación. Fácil monitorización. No extensible a otros métodos de
autenticación. Imposible autenticar por usuario No extensible a otros métodos de gestión de la
clave compartida Hay que implementar nuevos mecanismos de
Autenticación, Cifrado y Firmado
Implantación de Redes Wireless Seguras
Soluciones Wireless SegurasWPA y WPA2
WPA: Certificación de la WI-FI Alliance para las soluciones Wireless que cumplan ciertos requisitos de seguridad. Surgió mientras estaba listo el estándar IEEE802.11i
WPA2: Certificación de la WI-FI Alliance para las soluciones Wireless que cumplan los requisitos de seguridad dictados por IEEE 802.11i
Cambios requeridos por WPA y WPA2 (IEEE802.11i)
AutenticaciónWPA y WPA2:
o Open System Authentication para la asociacióno Para la autenticación mutua y del usuario:
• Enterprise 802.1X sobre 802.11
• Personal PSK (Pre-Sahred Key) ¡Ojo! Cifrado e Integridad de Datos
WPA: TKIP (Temporary Key Integrity Protocol)
WPA2: AES (Advanced Encryption Standard), aka Counter Mode Cipher Block Chaining-Message Authentication Code (CBC-MAC) protocol (CCMP)
Autenticación 802.1X sobre 802.11
802.1X surge como un método de autenticación de “puertos” redes LAN
Implementa un Protocolo de Autenticación Extensible (EAP) Nivel 2Diseñado originalmente para ser usado en PPP y adaptado por 802.1X para ser encapsulado y enviado en redes LAN o WirelessNo tiene seguridad “built-in”. Los protocolos de autenticación deben implementar sus propios métodos de seguridad. El método de autenticación es elegido por los equipos durante la negociación de forma transparente al AP
Aplicado a redes Wireless 802.11Evita la aparición de Rogue APs usando autenticación mutua.Evita accesos no autorizados autenticando tanto a los usuarios como a sus equipos.Produce una PMK (Pairwise Master Key) de 256-bit por cada sesión para cada cliente
Mas detalles sobre su funcionamiento en: http://www.microsoft.com/technet/community/columns/cableguy/cg0402.mspx
Métodos de Autenticación
EAP nos permite elegirTLS: Transport Layer Security (certificados de cliente y servidor)
IKE: Internet Key Exchange
Kerberos
Otros (MD5, LEAP, etc.) PEAP: Protected Extensible Authentication Protocol. Evita que la conversación
EAP vaya sin encriptarGenera un canal TLS usando el certificado del servidor RADIUS
Posteriormente podemos implementar de nuevo un método EAP de autenticación mutuao MS-CHAP v2 (usuario y contraseña)o TLS (certificados de cliente y servidor)
Esquema de Autenticación
Cliente Punto Acceso IAS
Asociación
Establecimiento de canal seguro TLS
Autenticación MS-CHAP V2 sobre TLS
Resultado Autenticación
Disasociación
Acceso Permitido
Generación de las claves de cifrado
Cliente Punto Acceso IAS
MK (Master Key) MK (Master Key)
PMK (Pairwise Master Key) PMK (Pairwise Master Key) PMK (Pairwise Master Key)
PTK (Pairwise temp. Key) PTK (Pairwise Temp. Key)
GTK (Group temp. Key) GTK (Group temp. Key)
4 claves para cifradoUNICAST
1clave para cifradoMulticast
TKIP (Temporary Key Integrity Protocol)
Utiliza cifrado entre la estación cliente y el Punto de Acceso con clave simétrica.
Utiliza 4 claves distintas entre Punto de Acceso y cada Cliente Wireless para tráfico Unicast y 2 claves para tráfico broadcast y/o multicast.
Las claves se recalculan para cada paquete con una función de mezclado para cada paquete
Usa IV de 48-bit
Integridad de datos en TKIP: Michael
Provee de integridad y “antireplay” Calcula un “Message Integrity Code” (MIC) de 8
bytes Estos 8 bytes se introducen entre los datos y los 4
Bytes del ICV de la trama 802.11 Se cifra junto con los datos y el ICV Mas información en:
http://www.microsoft.com/technet/community/columns/cableguy/cg1104.mspx
AES
Protocolo sustituto de DES Utiliza el algoritmo de cifrado por bloques de
Rijndael Permite claves de 128, 196 y 256 bits Es el algoritmo de cifrado más seguro que
podemos utilizar en redes WLAN. No vulnerado a fecha de hoy
Mas información en:http://www.microsoft.com/technet/community/columns/cableguy/cg0805.mspx
RESUMEN:
AcuerdoEstándar Wireless
Estándar Autenticación
Métodos Autenticación
Cifrado/Firmado
Wireless Original
802.11 - Open
WEPShared
Mundo Real 802.11 802.1x
EAP-TLS WEP
PEAP-TLS TKIP
PEAP-MS-CHAP-v2 AES
WPA 802.11 802.1x
EAP-TLS
TKIPPEAP-TLS
PEAP-MS-CHAP-v2
WPA2 802.11i 802.1x
EAP-TLS
AESPEAP-TLS
PEAP-MS-CHAP-v2
RECOMENDACIONES (de mas a menos seguras):
Empresa:1. WPA2: AES y PEAP-TLS2. WPA2: AES y PEAP-MS-CHAP v23. WPA: TKIP y PEAP-TLS4. WPA: TKIP y PEAP-MS-CHAP v2
SOHO (Small Office, Home Office)1. WPA2: AES y secreto compartido2. WPA: TKIP y secreto compartido
DEMO: Implantación de una red Wireless Segura
Servidor W2K3Certificate Authority
IAS (Radius)
Punto de AccesoWPA
802.1x
Windows XP SP1Windows 2003
SP1
Pasos
1. Configurar puntos de acceso
2. Agrupar usuarios y máquinas
3. Configurar IAS (RADIUS)1. Dar de alta los AP como clientes
2. Configurar la política de acceso
4. Definir políticas Wireless
5. Definir políticas para obtención de certificados
REFERENCIAS
http://www.microsoft.com/spain/servidores/windowsserver2003/technologies/networking/wifi/default.aspx
IEEE 802.11 Wireless LAN Security with Microsoft Windows XP Step-by-Step Guide for Setting Up Secure Wireless Access in a
Test Lab Enterprise Deployment of Secure 802.11 Networks Using
Microsoft Windows Configuring Windows XP IEEE 802.11 Wireless Networks for the
Home and Small Business Troubleshooting Windows XP IEEE 802.11 Wireless Access http://www.wi-fi.org/OpenSection/index.asp Configuring Wireless Settings Using Windows Server 2003
Group Policy TKIP: Wi-Fi Protected Access Data Encryption and Integrity AES: Wi-Fi Protected Access 2 Data Encryption and Integrity
Grupos Reducidos de 10 a 15 asistentes. Cada asistente tiene un escenario virtualizado para ejecución de laboratorios. Un técnico por grupo imparte explicaciones teóricas y plantea y resuelve las practicas con los asistentes al mismo tiempo que resuelve dudas. 6 horas de duración cada uno y 24 horas los seminarios de Contramedidas Hacker.
Sistemas http://www.microsoft.com/spain/HOLsistemas
Desarrollo http://www.microsoft.com/spain/HOLdesarrollo
• Madrid Vigo Salamanca Pamplona Barcelona Santander Valladolid Valencia.
•Tenerife y Málaga/Sevilla próximamente.
Café
Actualizaciones de Seguridad
Expedientes de Seguridad, Bugs y Exploits. Shellcodes. DEMO: Generación y ejecución de Exploits Terminología y consideraciones acerca de las Actualizaciones
de Seguridad Herramientas de Monitorización y Actualización de sistemas.
MBSA, EXBPA.
MU, WSUS y SMS. Windows Server Update Services DEMO: Implantación WSUS, Administración y Despliegue de
Actualizaciones.
Gestión de la Seguridad
EstándaresEstándares Productos desplegados Productos desplegados Desarrollos propiosDesarrollos propios
Políticas de seguridad Políticas de seguridad Gestión de Gestión de actualizaciones actualizaciones Gestión de cambiosGestión de cambios Prevención de riesgosPrevención de riesgos AuditoriasAuditorias
ConcienciaciónConcienciación FormaciónFormación
PersonasPersonas
Tecnología
TecnologíaProc
esos
Proc
esos
Bug
Un error de software o computer bug, que significa bicho de computadora, es el resultado de un fallo de programación introducido en el proceso de creación de programas de computadora. El término bug fue acreditado erróneamente a Grace Murray Hopper, una pionera en la historia de la computación, pero Thomas Edison ya lo empleaba en sus trabajos para describir defectos en sistemas mecánicos por el año 1870.
Fuente: Wikipedia en Español
Bug
Exploit
Exploit (viene de to exploit - aprovechar) - código escrito con el fin de aprovechar un error de programación para obtener diversos privilegios. software.
Un buen número de exploits tienen su origen en un conjunto de fallos similares. Algunos de los grupos de vulnerabilidades más conocidos son:
Vulnerabilidades de desbordamiento de pila o buffer overflow. Vulnerabilidades de condición de carrera (Race condition). Vulnerabilidades de error de formato de cadena (format string bugs). Vulnerabilidades de Cross Site Scripting (XSS). Vulnerabilidades de inyección SQL (SQL injection). Vulnerabilidades de inyección de caracteres (CRLF).
Fuente: Wikipedia en Español
Payload
El payload de un virus o un gusano es cualquier acción que se programa para que se lleve a cabo además de su propia propagación. El término se usa para cualquiera de las funciones, independientemente de que lleguen a funcionar o no
Fuente: Wikipedia
Proceso explotación de una Vulnerabilidad
1.- Se descubre una vulnerabilidad
a) Por el fabricante
b) Por un tercero
2.- Se aprende a explotarlo
a) Ingeniería inversa de Código
b) Ingeniería inversa de Patch
3.- Se usa un Payload para automatizar
Comunidades Hacker
infohacking.com
Expedientes de Seguridad
DEMO: Generación y ejecución de Exploits
TTimpactoimpacto
TTriesgoriesgo
Terminología y Consideraciones acerca de las actualizaciones de Seguridad
185
502
58
208
336
53
11
336
31 27
SlammerSlammer BugBearBugBear SlapperSlapper RamenRamen KlezKlez ScalperScalper NimdaNimda CodeRedCodeRed BlasterBlasterLionLion
Win32Win32
Linux/UnixLinux/Unix
Nombre Nombre del Virusdel Virus
Número de días transcurridos entre la publicación del update de seguridad y el impacto del virus
Grados de Severidad en Microsoft
Severidad Definición
Crítico
Explotación del mismo puede permitir la propagación de un gusano a través de Internet como Code Red o Nimda sin intervención de ninguna acción de usuarios.
Importante
Explotación puede tener como resultado el compromiso de la Seguridad de un sistema (Confidencialidad, Integridad, Disponibilidad de datos o servicios).
Moderado
Vulnerabilidad seria pero su explotación se be mitigada por un grado significativo de factores como la configuración, la auditoría, la necesidad de entornos muy concretos o la participación del usuario.
BajoLa explotación es tremendamente dificil o su impacto es mínimo.
Herramientas de Monitorización y Auditoria
El objetivo es dejar un Servidor en Día-0.Zero Day Server es aquel que tiene todo el software que corre en su sistema actualizado y no tiene ningún bug conocido.Es el máximo nivel de seguridad que se puede alcanzar con el software que corre en un sistema.Existen Zero Day Exploits
Auditorias de seguridadNo son las únicas que deben hacerseSe deben realizar de forma automática y de forma manual [“artesana”].Con la visión de un atacante y con la visión del administrador.
Auditoría Caja Negra
Se realiza desde fuera Ofrece la visión de un hacker No puede ser ejecutada desde dentro
Falsos positivos No garantiza “Servidor Seguro” No todos los escáner ofrecen los mismos
resultados. SSS, Nessus, GFI Languard, Retina, ISS
Real Secure, etc …
Scanners de Vulnerabilidades
Satan, Saint, Sara
Shadow Security Scannerhttp://www.safety-lab.com
GFI Languard Network Security Scannerhttp:///www.gfihispana.com
Retinahttp://www.eeye.com
Nessushttp://www.nessus.org
NetBrute, R3X
Auditoría Caja Blanca
Se realiza internamente
Con privilegios y visualización completa del sistema
Se utilizan herramientas proporcionadas por el fabricante o propias
MBSAEXBPAMOM 2005….
MBSA
Ayuda a identificar sistemas Windows vulnerables.
Escanea buscando actualizaciones no aplicadas y fallos en la configuración del software.Escanea distintas versiones de Windows y distintas aplicaciones.Escanea en local o múltiples máquinas en remoto vía GUI o línea de comandos. Genera informes XML sobre los resultados de cada equipo.
Corre en Windows Server 2003, Windows 2000 y Windows XP
Se integra con SMS 2003 SP1, con SUS y WSUS
MBSA
EXBPA
Examina un despliegue de Exchange Server y determina si esta configurado siguiendo las recomendaciones de Microsoft.
Genera una lista de puntos, como configuraciones mejorables, u opciones no recomendadas o soportadas.Juzga la salud general del sistema.Ayuda a resolver los problemas encontrados.
Busca también Actualizaciones de Seguridad que falten.
EXBPA
Herramientas para laGestión de Actualizaciones
Usuario Final y Pequeña Empresa:Microsoft Update
Pequeña y Mediana Empresa:Software Update Services
Mediana Empresa y Corporaciones:SMS and the SMS Software Update Services Feature Pack
Productos de Terceros
Compañía Producto URLAltiris, Inc. Altiris Patch Management http://www.altiris.com
BigFix, Inc. BigFix Patch Manager http://www.bigfix.com
Configuresoft, Inc. Security Update Manager http://www.configuresoft.com
Ecora, Inc. Ecora Patch Manager http://www.ecora.com
GFI Software, Ltd. GFI LANguard Network Security Scanner http://www.gfi.com
Gravity Storm Software, LLC Service Pack Manager 2000 http://www.securitybastion.com
LANDesk Software, Ltd LANDesk Patch Manager http://www.landesk.com
Novadigm, Inc. Radia Patch Manager http://www.novadigm.com
PatchLink Corp. PatchLink Update http://www.patchlink.com
Shavlik Technologies HFNetChk Pro http://www.shavlik.com
St. Bernard Software UpdateExpert http://www.stbernard.com
¿Qué es WSUS? Un “Feature Pack” RTW (Release to Web) de Microsoft
Windows ServerGratuito: http://www.microsoft.com/windowsserversystem/updateservices/evaluation/sysreqs.mspx
No necesita ningún tipo de CAL adicional Una solución funcional: Automatiza el proceso de gestión
de parches y actualizaciones todo lo posibleGestiona parches de otros productos además de WindowsIncluye las funcionalidades que le demandabais SUS 1.0Mejora y facilita las tareas del administrador
Componente clave de las actuales y futuras soluciones de gestión de Parches y Actualizaciones de Microsoft
Aprovechado por otras herramientas (i.e., SMS & MBSA)Expone un rico conjunto de API para facilitar la personalización y extensibilidadEscalabilidad hacia (Microsoft Update)
Contenido y Productos Soportados
ContenidoMicrosoft Windows, Microsoft Office, Microsoft SQL Server, Microsoft Exchange Server Se agregarán productos adicionales (i.e. ISA Server 2004)
Sistemas OperativosCliente/agente
o Windows 2000 SP3 y posterior,o Windows XP y posterior (Tb. versiones y x64)o Windows 2003 (solo 32-bit),o Windows 2003 SP1 (x64 y ia64)
Servidoro Windows 2000 SP4 y posterior o Windows 2003 y posterior (solo 32-bit)
Soporte Internacional25 Windows client locales17 Windows Server locales
Servidor WSUS
Cómo funciona
El Administrador se suscribe a las categorías de El Administrador se suscribe a las categorías de actualizacionesactualizaciones
< Back Finish Cancel
Windows Update ServicesWindows Update Services
El servidor descarga las actualizaciones desde El servidor descarga las actualizaciones desde Microsoft UpdateMicrosoft Update
Los clientes se registran en el servidorLos clientes se registran en el servidorEl agente instala los parches aprobados por el El agente instala los parches aprobados por el administradoradministradorEl Administrador pone a los clientes en diferentes El Administrador pone a los clientes en diferentes target groupstarget groupsEl Administrador aprueba las actualizacionesEl Administrador aprueba las actualizaciones
< Back Finish Cancel
Windows Update ServicesWindows Update Services
Microsoft Update
Clientes Windows XP
Target Group 1Clientes Windows Server
Target Group 2
Administrador
Arquitectura
Piezas de la soluciónWindows Server Update Services Automatic Updates client agent Microsoft Update Group Policy y Active Directory
Piezas del servidorIIS / IE6 SP1BITS y WinHTTP (KB842773)
MSI 3.1Microsoft SQL Server
o WMSDE/MSDE
.NET Framework 1.1 SP1Scripting vía SDK
Arquitectura del Servidor
Interfaz de administración Web. Motor de sincronización para descargar las
actualizaciones de Microsoft Update. Base de datos SQL que mantiene el resto de los
datos que no son actualizaciones. Permite una estructura de servidores jerárquica Usa BITS (Background Intelligent Transfer
Service) para un uso eficiente del ancho de banda
Escalable
Arquitectura del Servidor (cont.)
Server APIServer API
File StoreFile Store(NTFS)(NTFS)
Metadata StoreMetadata StoreMSDE/SQLMSDE/SQL
Client/ServerClient/ServerWeb serviceWeb service
Server/ServerServer/ServerWeb serviceWeb serviceReportingReporting
Web serviceWeb service Admin UIAdmin UI ContentContentsyncsync
CatalogCatalogsyncsync
ClientesClientes
Servidores WSUS/MUServidores WSUS/MUEstación Estación deldel AdministraAdministradordor
Arquitectura del cliente
El agente (Win32 Service) implementa la mayor parte de la funcionalidad
Extensibilidad basada en manejadores de tipo Update
Manejadores para MSI, update.exe, drivers etc.
Se auto-actualiza automáticamente a nuevas versiones ofrecidas por el servidor.
Controlable via GPO Seguro
Arquitectura del cliente
WUWUo WSUSo WSUS IE (WU Site)IE (WU Site) ScriptsScripts
a medidaa medida
API API Cliente WU Cliente WU
AutomaticAutomaticupdatesupdates
UpdateUpdatemanagermanager
UpdateUpdatehandlershandlers
Almacén de Almacén de contenidocontenido Metadata DBMetadata DB
WU ClienteWU Cliente
BITSBITS
Cosas a tener en cuenta
¿Que Base de datos voy a usar? ¿Necesito una jerarquía? ¿Necesito replicas? ¿Que método vamos a usar para instalar las
actualizaciones? ¿Donde voy a almacenar las actualizaciones? ¿En que idiomas tengo los productos que voy a
actualizar? ¿Cómo voy a configurar los clientes? ¿Qué opciones de seguridad tengo que
considerar?
¿Que Base de datos voy a usar?
La mejor :Instalación local de WMSDE / MSDE.SQL Server ya existente (local o remoto).
El principal factor es la infraestructura existente.WMSDE/MSDE valdrá en la mayoría de los casos.Utilizar SQL solamente si ya está instalado y tiene capacidad de aguantar más carga
No modificar nunca directamente los datos en SQL.
Usar WSUSUtil.exe para backup
Jerarquías y Réplicas
Autónomo = padre/hijoSolo los elementos comunes suponen ancho de bandaEl almacén del padre es el común múltiplo de todos las aprobaciones de los hijos.
Replica = Configuración espejo.Solamente la pertenencia a grupos es única.
Puede repartir parcialmente las tareas de administración.
Útil para distribuir la sobrecarga de red. Se configura durante la instalación y no puede
cambiarse luego. El despliegue puede consistir en múltiples capas de servidores WSUS
Servidor único
Servidores de réplica
Delegaciones
Redes desconectadas
Desktop Desktop ClientsClients
Microsoft Microsoft UpdateUpdate
WSUS WSUS ServerServer
WSUS WSUS ServerServer
¿Qué método vamos a usar para instalar las actualizaciones? Instalación Express vs. estándar
Instalación estándar: Descarga y reemplaza el fichero completo.
Más costoso para el cliente y la red local Instalación Express: Descarga e instala solo “deltas”
(diferencias)
Más costoso para el servidor WSUS y el enlace WAN
¿Donde voy a almacenar las actualizaciones?Opciones de almacenamiento
Dos opciones:Sistema de archivos localMicrosoft Update (solo almacenamos la información acerca de las actualizaciones)
Depende de dónde estén los clientes en relación al WSUS
Clientes en “red local” – Local file systemClientes “fuera” – Microsoft Update
Por defecto son todos (3 tipos de Chino, dos de Japonés además del Coreano....)
Eso es MUCHO tráfico y MUCHAS Gigas WSUS solamente podrá informar sobre un
cliente si los datos para su idioma se han descargado
Recomendación: No almacenar los datos localmente si hay gran variedad y variabilidad de idiomas
¿En que idiomas tengo los productos que voy a actualizar?Locales
¿Qué opciones de seguridad tengo que considerar?
WSUS siempre detrás de un firewall
Sobre el sistema operativo securizado
Utilizar siempre SSLo Los clientes deben validarse con su certificado de
máquina para recibir las actualizacioneso Usar una CA pública si no se tiene la opción de
distribuir una CA raíz corporativa (nada más sencillo con Directorio Activo)
Opciones de configuración del cliente Nombre del servidor WSUS (en formato
http://server:8530). Target Group (debe haberse creado previamente en
WSUS). Tiempo de búsqueda de nuevas actualizaciones después
de reiniciar. Frecuencia de actualización del cliente No reiniciar automáticamente tras la instalación. Demorar el reinicio Comportamiento de la descarga y la instalación Frecuencia de los recordatorios para reiniciar tras la
instalación Instalar actualizaciones al Apagar Apariencia del botón de Apagar Usuarios no administradores pueden aprobar
descargas e instalaciones
¿Cómo voy a configurar los clientes?
Manualmente / Scripts
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate
Por políticas (WUAU.ADM)
Locales = Manualmente (gpedit.msc)
GPOs en Directorio Activo
Ver la “Deployment Guide”
Migración desde SUS 1.0
Puntos a tener en cuenta:La instalación NO actualiza.
Se migra el contenido y las aprobaciones, no la configuración.
Dos EscenariosAl mismo servidor
A un servidor remoto
RECURSOS
Página principal de WSUS:
http://www.microsoft.com/windowsserversystem/updateservices/default.mspx SDK:
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/wus/wus/portal.asp Documentación Online:
http://www.microsoft.com/windowsserversystem/updateservices/techinfo/default.mspx
Deployment Guide Operations Guide Troubleshooter
Web MVPs
Defensa Nivel 7:Firewall de Aplicación: ISA Server 2004
Chema AlonsoMS MVP Windows Security
Informática64
Firewalls
Se introducen entre redes para cortar tráfico.
Implican la separación física de las redes para permitir que pasen o no los mensajes.
Pueden inspeccionar la torre completa de comunicaciones y reconocer sesiones.
Firewalls
Firewall de Red:
Filtrado de direcciones IP, puertos, tipo de protocolos y flags de cabeceras.
Filtrado discreto de paquetes.
Implementados en Routers de conexión.
Implementados por Software en protocolos de comunicaciones.
Firewalls
Firewall Nivel de Aplicación:
Inspeccionan y reconocen el protocolo utilizado en una sesión.
Pueden utilizar para la toma de decisiones todos los objetos de seguridad de una red integrándolos en un árbol LDAP.
Reglas complejas que pueden requerir el establecimiento de sesiones completas entre firewall y el cliente.
ISA Server: Novedades
Enterprise Editiono Gestión Empresarialo Arrayso Network Load Balancing
ISA Server 2004 Appliance o Pre-configurado y Pre-testeadoo Configuración bastionada para reducir la
superficie de ataqueo Sencillez
ISA Server SE 2004 SP1
Arquitectura ISA Server 2004
Firewall multired:Nivel de Red.
Nivel de Aplicación. Servidor VPN:
Túneles.
Clientes. Servidor Caché.
Soporte Multired ISA Server 2004 divide los sistemas de red en función de las
necesidades planteadas en el marco de la seguridad.Definición de redes y grupos de redes.
Definición de la interconexión entre redes mediante NAT o enrutamiento.
Permite gestión independiente.
Presenta soporte para redes.Internas.
Perimetrales.
Externas.
Interconexión sitios VPN.
VPN de Cuarentena.
Características de seguridad.
Filtros IP.
Reglas de acceso.
Publicación de servicios.
Filtros de aplicación.
Filtros IP
Filtrado IP a nivel de paquetes.
Inspección de parámetros en cabeceras.
Bloqueos de fragmentos IP.
Reglas de acceso
Controlan el tráfico de información a través de las redes.
Determinan la configuración de origen, destino, protocolos y usuarios que realizan la conexión.
La aplicación de las reglas se determinan en un orden, quedando predefinida una regla que deniega cualquier tráfico de red.
Reglas de acceso
ISA Server 2004 proporciona una serie de reglas con los que se puede controlar la información que circula por la red en función de:
Protocolos.
Usuarios.
Tipos de contenido.
Franjas de tiempo.
Objetos de red.
Reglas de Publicación
Se utilizan para publicar servidores.
Asistentes de publicación:Web Server.
Secure Web Server.
Mail Server.
Definición de servidores por servicios.
Firewall de aplicación
Necesidades
Inspeccionar el tráfico al nivel de aplicación.
Permitir o denegar el paso de datos a determinados contenidos o aplicaciones.
Proporcionan controles sobre determinados ataques.
Sistema extensible sobre filtrados de conexiones.
Métodos de implementación
Implementadas directamente sobre las reglas de acceso y las publicaciones.
Como un añadido sobre reglas y publicaciones.
Como funcionalidad sobre ISA a nivel Firewall.
Filtro HTTP
Las necesidades de la empresa permiten el tráfico a través del puerto 80.
Por el puerto 80 no solo viaja tráfico HTTP puro, sino que puede disfrazar otras comunicaciones.
Malware.P2P.Servicios de mensajería …
Determinados ataques contra Servicios Web pueden ser controlados a este nivel.
Controles HTTP
Mediante el filtro HTTP pueden ser controlados estos aspectos de la comunicación:
Técnicas de Buffer Overflow.
Denegación de servicio.
Subida de datos en escenarios de publicación.
Control de métodos.
Control de cabeceras.
Filtro contenido HTTP
Controlan el tráfico de datos a través de firmas.En transmisión de datos.
En recepción de datos.
Impedir tráfico a palabras claves.Control de acceso a sitios web.
Detención de comunicaciones de aplicaciones por firma y cabecera.
Control de aplicaciones HTTP
Aplicación Petición Cabecera HTTP Firma
Windows Messenger Request headers User-Agent: MSMSGS
AOL Messenger (and Gecko browsers)
Request headers User-Agent: Gecko/
Yahoo Messenger Request headers Host msg.yahoo.com
Kazaa Request headers P2P-Agent Kazaa, Kazaaclient:
Kazaa Request headers User-Agent: KazaaClient
Kazaa Request headers X-Kazaa-Network: KaZaA
Gnutella Request headers User-Agent: GnutellaGnucleus
Edonkey Request headers User-Agent: e2dk
Morpheus Response header Server Morpheus
Filtro ProxyWeb
Se aplica de forma directa sobre HTTP.
Permite la extensión del filtro HTTP y de autentificación sobre otros protocolos.
Garantiza el control sobre comunicaciones en entornos propietarios.
Protocolos RPC
Un número considerables de servicios se establecen mediante RPC.
Problemática de las transmisiones RPC.Inicio de comunicación sobre 135 para localizar el puerto de comunicación.
Establece comunicación en puertos por encima de 1024.
El administrador no debería abrir todos los puertos por encima del 1024.
Filtro RPC
Las comunicaciones RPC se pueden parametrizar por el UUID.
Identificador del servicio RPC.Identificador del interface.
ISA Server 2004 presenta un asistente para la creación de protocolos RPC basados en UUID.
Manual.Automáticamente conectando a un servidor y seleccionando sus UUID correspondientes.
El servicio de Firewall aplica con posterioridad los filtros para permitir la transferencia de datos a UUID determinados.
Transmisión RPC
Filtro SMTP
ISA Server 2004 para el protocolo SMTP presenta un filtro que realiza el control de los comandos SMTP.
Se puede ampliar la funcionalidad del filtro SMTP mediante Message Screener.
Message Screener
Message Screener se instala como un componente adicional de MS ISA 2004.
Puede ser instalado sobre cualquier servidor que ejecute IIS 5.0 o 6.0 y tenga instalado el Servidor SMTP.
No se recomienda su implementación sobre el servidor MS Exchange Server 2003, ya que podría interferir en los filtros propios.
Filtro FTP
Controla la conexión a través de los puertos dinámicos FTP.
Realiza la conversión de las direcciones para los clientes SecureNat.
Controla los procesos de escritura, prioritariamente en entornos de publicación.
Filtros de autentificación
ISA Server 2004 presenta una serie de mecanismos para garantizar los procedimientos de autentificación.
Integración con Directorio Activo.
Filtro Web RSA para autentificación de usuarios SecurID.
Filtro de autentificación Radius.
Filtros de formulario de autentificación para OWA.
DEMOFiltro HTTP
Bridging HTTP-s con ISA Server 2004
“Problemática” HTTP-s
Conexiones HTTP-s ofrecen:Autenticación mediante certificados.
Cifrado mediante túneles SSL.
Conexiones HTTP-s condicionan:Transmisión datos extremo-extremo.
Paso a través de sistemas de protección de forma oculta.
“Problemática” HTTP-s
Conexiones HTTP-sFirewalls e IDS no pueden inspeccionar tráfico.
Ataques pasan sin ser detectados por firewalls:
o SQL Injections.o Cross-Site Scripting (XSS)o Red Code.o Unicode.
“Problemática” HTTP-s
Cifrado y autenticado es útil contra:Sniffers.
Man In The Middle.
Pero hay que dejar que los sistemas de protección inspeccionen el contenido.
Firewalls.
IDS.
Bridging HTTP-s
El proceso de Bridging en conexiones HTTP-s permite que las conexiones se cifren en dos tramos.
Entre cliente y Firewall.
Entre Firewall y Servidor.
Bridging HTTP-s
Ventajas:El Firewall puede inspeccionar el contenido.
Se pueden aplicar reglas mediante filtros.
Se pueden detectar ataques.
No se pierde seguridad.
Si se desea, se puede dejar descifrado para inspecciones NIDS.
Bridging HTTP-s
MS ISA Server 2004 permite:
Tunneling HTTPS por cualquier puerto.o MS ISA Server 2000 hay que configurar
puertos SSL.
Bridging HTTPS con:o Cifrado entre cliente-firewall y firewall servidor.o Cifrado entre cliente-firewall.o Cifrado entre firewall-Servidor.
DEMOBridging HTTPS
Addons
ISA Server 2004 presenta una arquitectura abierta para:
Desarrollar (SDK ISA Server).
Implementar nuevas herramientas.
Software de terceros amplían las funcionalidades de ISA Server 2004.
Tipos de Addons
Implementaciones de antivirus para ISA Server.
Gestión de tráfico web. Websense.
Gestión de tráfico y aplicación de cuotas.
Ampliación de los componentes Sockets.
Mejoras en sistemas de detección de intrusos.
Detección de Intrusos
El servicio proporciona un mecanismo para identificar cuando se está produciendo un ataque.
ISA Server compara el tráfico de red con registros y patrones de ataques bien conocidos.
Cuando un ataque es reconocido se genera una alerta.
Controles
Ataques Winnuke.
Ataques tipo Land.
Ping de la muerte.
Ataques Half-Scan.
Bombas UDP.
Escaneo de puertos.
Detección de ataques DNS
Desbordamiento de nombres de HOST sobre DNS.
Desbordamiento de longitud DNS.
Control de trasferencias de zona.
RECURSOS:
Guía de la consolidación de Seguridad de ISA Server 2004. http://www.microsoft.com/spain/technet/recursos/articulos/securityhardeningguide.mspx
IT Forum en Barcelona (15-17 Nov)http://www.mseventseurope.com/msitforum/05/pre/content/default.aspx
MÁS DE 260 SESIONES TÉCNICAS E INTERACTIVAS, incluyendo; Chalk-&-Talks y Panel Discussions para fomentar sus aptitudes técnicas.
Una selección de SEMINARIOS PRECONFERNCIA para acelerar su aprendizaje. MÁS DE 65 HANDS-ON LABS (PRÁCTICAS CON ORDENADOR) para ponerse al
día con las últimas novedades. CONTENIDO NUEVO EN; Windows Server R2, SQL Server 2005, BizTalk Server
2006, Windows Vista y la siguiente versión de Microsoft Office así como Navision, Microsoft CRM y Great Plains.
LOS MEJORES CONFERENCIANTES de los Grupos de Producto de Microsoft y expertos internacionales de la industria.
PRESENTACIÓN DE KEYNOTE – Bob Muglia, Vicepresidente Senior, División de Windows Server.
PREGUNTE A LOS EXPERTOS que desafían problemas técnicos en un entorno renovado.
COMUNIDAD DEL IT FORUM DE MICROSOFT – Conecte con los profesionales que vienen a inspirarnos compartiendo sus ideas y conocimiento.
PABELLÓN DE EXHIBICIÓN donde más de 100 partners y patrocinadores mostrarán soluciones que le ayudarán con su trabajo.
INCREMENTE SU PRODUCTIVIDAD y respalde su negocio con nuevas oportunidades e ideas.
TechNet Flash
Información técnica del producto Los últimos Boletines de Seguridad y actualizaciones de Microsoft Nuevos Service Packs y artículos Knowledge Base de Microsoft Downloads, Pruebas y Betas Convocatoria de Seminarios y Jornadas Técnicas TechNet Información de los Foros TechNet Próximos Videos Técnicos Online Trucos, pistas
Suscríbete en http://www.microsoft.com/spain/technet
TechNews
Suscripción gratuita enviando un mail:mailto:[email protected]
Technet Webcasts
Seminarios Online gratuitos en castellano1 hora de duración
Tecnología LiveMeeting
En directo y también grabados
Organizados por temáticaso Directorio activoo Exchangeo IIS 7o SQL 2005o Gestión de Actualizaciones de seguridado Novedades para Windows Server 2003o Despliegue de sistemas y aplicaciones
Más información en:http://www.microsoft.com/spain/technet/jornadas/webcasts/default.asp
¿Preguntas?
Chema AlonsoMicrosoft MVP Windows [email protected]
David CervigónMicrosoft IT [email protected]://blogs.technet.com/davidcervigon
Jose ParadaMicrosoft IT [email protected]://blogs.technet.com/padreparada