1 / 57

Se guridad Seguridad en Plataforma

Se guridad Seguridad en Plataforma. ABRAHAM MARTINEZ F. MCSE 2000,MCT, CCNA, SON.

Audrey
Download Presentation

Se guridad Seguridad en Plataforma

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Seguridad Seguridad en Plataforma

  2. ABRAHAM MARTINEZ F.MCSE 2000,MCT, CCNA, SON

  3. “Seguido de los ataques de Code Red y Nimda, Microsoft indago con sus usuarios, quienes dijeron estar “enfermos” con este tipo de problemas, sobre todo los ataques a sus servidores Web con IIS,..........Microsoft esta comprometido en mantener actualizado a sus clientes con las ultimas correciones de seguridad para sus clientes, pero mas aun en mejorar su producto." John Pescatore Gartner Viewpoint, CNETnews.com 9/20/2002 “No descansaremos hasta que nuestros clientes, esten seguros, y se sientan seguros” Brian Valentine Senior VP, Microsoft “Lo que descubrimos hace unos meses, es que estábamos haciendo un gran trabajo corrigiendo problemas, y mejorando servicios, pero la implementación de estos parches se estaba volviendo complicada para nuestro clientes” Dave Thompson VP, Microsoft “No es que IIS este escrito pobremente, es que tenemos al 90% de los Hackers enfocados en atacar nuestra plataforma, eso nos garantiza un nivel de exigencia .” Matt Kesner, Fenwick & West Internetweek.com, 10/4/02

  4. Agenda • El reto de la Seguridad • Impacto en los negocios • Impacto en Tecnología • Seguridad y Microsoft • Microsoft esta comprometido en mejorar sus productos • Estrategia de seguridad • Procesos, Tecnología, personas • Guía de seguridad, Tecnología y Herramientas • Microsoft Strategic Technology Protection Program (STPP)

  5. Compromiso de Microsoft con la Seguridad • Los recientes Virus y ataques en Internet resaltan el riesgo de los usuarios, y demuestra el compromiso que deben tener las compañías para enfrentar este reto • Microsoft tiene un compromiso especial, en brindar seguridad a sus usuarios y en garantizar el comercio seguro • Microsoft mantiene seguros a sus usuarios

  6. Métodos comunes de ataque Alto riesgo • Código Hostil • Virus • Worms “Gusanos” • Trojanos • Negación de Servicios • Ataques a servidores Web • Interceptación y robo de información • Suplantación • Spam

  7. Riesgos nuevos: Nimda, Code Red • Nimda: Se esparce por navegar en paginas infectadas y abrir correos infectados • Code Red: Infecta servidores Web, Escala privilegios • Otros: Negación de servicios, Spam • Quienes sobrevivieron a Nimda y Code Red: • Organizaciones que estaban actualizadas en patches ysecurity fixes. • Organizaciones que “Bloquearon” sus sistemas con herramientas como IIS LockDown. Microsoft tiene la obligación de tomar medidas proactivas en seguridad

  8. Seguridad en un mundo complejo • La seguridad necesita una estrategia compuesta de: • Procesos (procediminetos, manuales) • Tecnologia (hardware, software, redes) • Personas (cultura, conocimiento) • La seguridad fallara si solo nos enfocamos en una parte del problema • La tecnologia no es problema ni la solucion absoluta.

  9. Microsoft y su esfuerzo en el area de seguridad • Strategic Technology Protection Program (STPP) • Programas a corto y largo plazo. • Informacion especifica a seguir. • Proceso: • Guias de Arquitectura de seguridad • Tecnologia: • Esfuerzos especificos de Microsoft • Personas: • Guias de seguridad • Servicios de Microsoft

  10. Guia de arquitectura de seguridad • Microsoft ha entendido la necesidad de proveerguías de seguridad especificas a cada producto. • Guias de seguridad: • Guias de comercio en Internet, Seguridad y Firewall • Guias de seguridad para Windows 2000, IIS, ISA, redes en general

  11. Seguridad de Windows Prioridad Formacion de la fuerza de trabajo de seguridad en Microsoft • Equipos de diferentes compañias trabajando para obtener recomendaciones y mejores practicas • Reconocimiento al ser la primera compañia en el mundo en entregar guias de creacion de software seguro Creacion de la iniciativa de seguridad Windows (SWI) • Mejoramiento del capitulo de construcion de software seguro El desarrollo de Windows NT comienza con la seguridad como meta principal Equipo de respuesta de seguridad Microsoft Inicia • Se construye una marco de trabajo sobre seguridad Microsoft Framework Los Clientes estan obteniendo los productos mas seguros posibles Linea de Tiempo 1988 1997 1999 2002

  12. Cuatro puntos clave Educacion Herramientas Procesos Pruebas

  13. Educacion Educacion • Meta • Enviar la mejor informacion acerca de construir componentes seguros a nuestro grupo de ingenieros. • Metodos • “Escribiendo codigo seguro” • Fundamentos de seguridad • Laboratorios de codigo seguro • Presentaciones en vivo y en Linea • Manual de Ingenieria de Windows • Mejorando MSDN & Kits de desarrollo SDK • Ejemplos y plantillas • “Disparen al Bug” • Alianzas externas

  14. Herramientas • Meta • Usar herramientas de uso diario, procesos de desarrollo y prueba para encontrar Bugs potenciales. • Metodos • Herramientas de analisis de Fuente avanzadas • PREfix/PREfast • Mejoras en los compiladores de Visual C++ .NET • /GS opciones de compilador • Herramientas especificas de Dominio • Herramienta de ataque de RPC • Herramientas de modelado • Herramientas de chequeo en tiempo de ejecucion Herramientas

  15. Procesos • Meta • Implementar procesos que nos permitan aprender de nuestros errores y los de los demas, y mantener practicas seguras en nuetras rutinas diarias. • Metodos • Mejoras End-To-End • Analisis de tendencias • Chequeos por SWI • Requerimientos de firma de codigo • Entrevistas y cuestionarios • Revisiones a nivel de componente • Retroalimentacion de errores • Monitoreo de problemas Procesos

  16. Pruebas • Meta • Detectar fallas por medio de procesos de QA que incluye expertos internos y externos. • Metodos • Procesos automaticos de prueba • Guias de pruebas de seguridad • Equipos de auditoria de codigo interno • Pruebas de penetracion y auditoria • Trabajo de evaluacion de temas comunes Pruebas

  17. Diseño Herramientas Analisis Desarrollo codigo Revision Educacion Grupo Respuesta Fallo Encontrado Solucion publicada Creacion Post Mortem Correccion Hecha Cerrando el anillo Modelo Trampas

  18. Determinar criterios De firma de seguridad Empuje de seguridad Analisis de trampas Preguntas de seguridad Durante entrevistas Aprendizaje refinamiento Revision Externa Entrenamiento Miembros de Grupo Revision de viejos Defectos, utilizacion herramientas Inyeccion de fallas Pruebas Privadas Revision de SWI =En Marcha Desarrollo de productosSeguros- Linea del tiempo Concepto Diseño Completo Planes de Prueba completos Codigo Completo Envio Post Envio

  19. Trampas Botin Meta Vulnerabilidad

  20. Patrullaje! Botin Tecnicas de Mitigacion ggrr!

  21. Guia de seguridad Microsoft • Basado en el “British Standard 7799”, incluidas en las guias de Internet, Windows 2000, redes, Firewall. • Metas • Definir requerimientos de seguridad • Ejecutar análisis de los estados actuates y deseados • Diseño • Desarrollar aplicaciones para seguridad • Utilzar herramientas de defensa • Implementacion • Pruebas e implementacion • Definir y documentar politicas, Estándares, procedimientos • Administrar • Administracion operacional • Revisar y redefinir periodicamente

  22. Microsoft Internet Data Center Guia de seguridad • Ejemplos de los topicos incluidos en esta guia: • Estrategia de defensa de seguridad • Metodos comunes de Hack • Mejores Practicas de seguridad para IIS • Windows 2000 – Diseño del Directorio Activo, politicas de seguridad • Mejores practicas para seguridad en aplicaciones • Autenticacion

  23. Modulo OSI Defensa en profundidad Transmision Recepción Usuario Nivel de Aplicacion Nivel de Presentacion Nivel de Sesion Nivel de Transporte Nivel de Red Nivel enlace de Datos Nivel Fisico Enlace Fisico

  24. Metodología Hacker • FootPrinting • Escaneo • Penetración • Escalado • Obteniendo Interactividad • Expandiendo Influencia • Limpieza • Negación de servicios

  25. Exploit Unicode c:\myprograms\mydir\test.asp Una Rosa c:\myprog~1\mydir\test.asp Es una Rosa ..\mydir\test.asp Es una Rosa c:\myprograms\mydir\test.asp. Es una Rosa c:\myprograms\mydir\test.asp::$DATA

  26. HFNetChk

  27. QChain • Integra los HotFixes, permitiendo que se instalen todos simultáneamente, para poder Reiniciar la maquina una sola vez. • Funciona con Windows 2000 y Windows N.T 4.0 • Knowledge Base Article: Q296861

  28. Fundamentos de seguridad • Practicas basicas de seguridad • Bloquee o deshabilite todo lo que no esta explícitamente permitido • El 10% de las vulnerabilidades causan el 90% • de los problemas • Mantenga actualizado de los parches de su fabricante rigurosamente • Autorice los accesos utilizando los menores privilegios • Sea particularmente paranoico con las interfaces externas (Conmutadas)

  29. Arquitectura de seguridad de Windows 2000 ( Perspectiva del Hacker) • Autenticación y Autorización • El Token Whoami

  30. SYSKEY

  31. SIDs • Los nombres de grupos y usuarios son convenientes para nosotros. NT/2000 hace seguimiento de las cuentas utilizando un numero único de 48 Bit llamado SID. • Estos números son globales y únicos en todos los Dominios excepto el RID que es permanente para todos los tipos de cuentas

  32. SIDs RID • SID: Ejemplo: • S-1-5-21-861567501-562591055-682003330-500 • RID 500 es la cuenta de Administrador • Otros conocidos son: 501 (Invitado), 1000 • (Primer usuario). • Renombrar las cuentas????

  33. SID (Hacker) User2sid

  34. SID´s (punto de vista del administrador) * Utilice las plantillas de seguridad de Windows 2000 (Políticas de password´s) • Aplique SR en las maquinas • Utilice MSBA • Dsclient en todas las maquinas clientes • Guía de seguridad de Windows 2000

  35. Creando un Perfil • Seguimiento a Windows 2000 (Motores de búsqueda). • Google: c:\Winnt, c:\Inetpub Escaneo • Ping • Escáner de Puertos “Port Scans” • Captura de Avisos “Banner Grabbing”

  36. Escaneo de Puertos (Hacker)

  37. Enumerando NetBIOS (Hacker)

  38. Seguridad especifica de producto • Todos los desarrolladores se estan entrenando, y haciendo de la seguridad su prioridad. • Incremento en las pruebas y procedimientos de seguridad • Cambios en el lanzamiento de productos con opciones de seguridad mas altas. • Iniciativa de seguridad Windows (SWI) • Profesionales dedicados a la seguridad con Microsoft • La meta: hacer que Windows sea mas seguro

  39. Herramientas de seguridad (Gratis) • Adicional a las caracteristicas de cada producto, Microsoft provee herramientas adicionales: • IIS (Asistente) Herramienta de Lockdown • Configura los servidores para ser inmunes a muchos ataques • Deshabilita servicios innecesarios • Restringe el acceso a comandos del sistema • HFNetCHK • Administrador de parches de seguridad • URLscan • Filtro ISAPI que corre en el servidor • Bloquea URL´s que “parecen” ataques • Puede ser personalizado • MBSA • Administracion de parches, correcciones de seguridad, permite distribuirlos.

  40. Demo Herramienta de LockDown

  41. Bajas Altas Medias Antes* Despues** Resultados de IIS LockDown Vulnerabilidades descubiertas (scaneo) 78 36 3 0 7 2 • * Antes de la configuracion del servidor Web: • Instalacion nueva de Windows 2000 AS • Service Pack 2 • ** Despues de la configuracion del servidor Web: • Instalacion nueva de Windows 2000 AS • Service Pack 2 • Aplicado IIS Lockdown

  42. Personal- su mas seguro aliado • Personal dedicado a seguridad • Equipo especializado en seguridad • Expertos especificos en seguridad • Entrenamiento • Capacitacion en estandares, tecnologias y procesos • Mantenerse actualizado Compromiso de todas las personas de la organizacion • Capacite a todo el personal • Haga enfasis en seguridad fisica, politicas en password, y procedimientos con datos.

  43. Defensa en profundidad • Metodologias de niveles de defensa comunmente usados: • Defensas perimetrales • Defensas de Red • Defensas en maquinas • Defensas en aplicaciones Datos y recursos • Provee un metodo y una estrategia para diseñar una infraestructura segura • Guias y detalles especificos para cada producto

  44. Internet Firewall: NEGAR todo por defecto Internet Firewall Entrante desde Internet (permitir) TCP port 25 (SMTP) SMTP forwarder/ TCP/UDP port 53 (DNS) content filter TCP port 443 (HTTPS) No confiado Saliente: solo conexiones Front End Exchange/OWA DMZ DMZ Firewall: NEGAR todo por defecto ENTRANTE desde DMZ permitir TCP/UDP port 53 TCP port 80 (HTTP) TCP/UDP port 88 (Kerberos) DMZ Firewall TCP port 135 (endpoint mapper) TCP/UDP port 389 (LDAP) TCP port 445 (SMB/CIFS) TCP port 1025 (optional RPC static port) TCP port 3268 (GC) LAN corporativa SALIENTE: Permitir BackEnd Exchange Únicamente conexiones entabladas Diagrama recomendado

  45. Demo Seguridad Windows XP

  46. El futuro……. • Windows Server 2003 - Herramientas de línea de comando mejoradas - Arquitectura de seguridad mejorada (PKI, SAML, SOAP, XKerberos) - IIS 6.0 (Asegurado por defecto) LockDown - Auditoria habilitada por defecto - Diferentes formatos de Log (aspx, xml)

  47. .NET Server…

  48. .NET Server…

More Related