1 / 140

Seguridad Práctica Para Empresas

Seguridad Práctica Para Empresas. Agenda. Seguridad en Windows Vista Microsoft Technet Scanners de Vulnerabilidades en Redes de Datos y Servidores GFI Windows Server 2003. Antimalware en Servidores de Ficheros Bitdefender ISA Server 2004: Firewall Perimetral y de Aplicación en Appliance

corin
Download Presentation

Seguridad Práctica Para Empresas

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Seguridad Práctica Para Empresas

  2. Agenda • Seguridad en Windows Vista • Microsoft Technet • Scanners de Vulnerabilidades en Redes de Datos y Servidores • GFI • Windows Server 2003. Antimalware enServidores de Ficheros • Bitdefender • ISA Server 2004: Firewall Perimetral yde Aplicación en Appliance • Network Engines • Auditoria de Seguridad en Aplicaciones Web • Informática64

  3. Seguridad Práctica Para Empresas Seguridad en Windows Vista José Parada Gimeno ITPro Evangelist jparada@microsoft.com

  4. Agenda • Filosofía sobre la seguridad (El Sermón) • Presentación Windows Vista (Marketing) • Seguridad en Windows Vista

  5. El Problema de la Seguridad • Tenemos (mas que suficientes) tecnologías de seguridad, pero no sabemos como estamos (en el caso de que lo estemos) de seguros.

  6. Problemas de seguridad en el puesto de trabajo. • Arranque inseguro • ¿Quién lo arranca? • ¿Es realmente el código original? • Ejecución insegura • Usuarios con muchos privilegios • Servicios inútiles y con demasiados privilegios • Comunicaciones inseguras • Canales inseguros (IPV4) • Accesos de clientes inseguros • Degradación de la seguridad • Integración de nuevo software • Dispositivos de almacenamiento masivo • Sistema sin parchear • Antivirus y Antimalware desactualizados

  7. Calendario Windows Vista H2 2006 Sept 2003 Developer engagement April 2005 OEM & IHV engagement July 2005 Platform beta, IT engagement End user engagement

  8. Windows Vista Excelencia enla Ingeniera Diseñado y desarrollado pensando en la seguridad Protección desdelos cimientos Protege de las amenazas de seguridad y reduce el riesgo de las interrupciones del negocio. AccesoSeguro Permite un acceso a la información y los servicios mas fácil y seguro Control Integrado Proporciona herramientas de monitorización y gestion centralizadas.

  9. Vista: El Windows mas seguro Excelencia enla Ingeniera Proceso de desarrollo Inicio Seguro • Full Volume Encryption • Integridad en codigo Protección desdelos cimientos Ejecución Segura • Fortificación de Servicios • User Account Protection • IE7 Anti-Phishing AccesoSeguro Comunicación Segura • Network Access Protection • Integración del Firewall/IPSec Mantenerse mas Seguro • Anti-malware • Restart Manager • Escaner de Seguridad • Control de la instalación de dispositivos Control Integrado

  10. Excelencia en la IngenieríaProceso de Desarrollo de Windows Vista • Durante el desarrollo y creación de Windows Vista, Microsoft siguió su proceso mejorado de desarrollo seguro (SDL-Security Developmente LifeCycle). • Formación periódica obligatoria en seguridad. • Asignación de consejeros de seguridad para todos los componentes • Modelo de amenazas como parte de la fase de diseño. • Test y revisiones de Seguridad dentro del proceso de desarrollo. • Mediciones de seguridad para los equipos de producto • Certificación “Common Criteria (CC) • CC lo mantiene el “US National Institute of Standards and Technology” (Que también son responsables de FIPS) • csrc.nist.gov/cc

  11. Arranque seguroProtección desde los cimientos Cifrado del disco duro (Full Volumen Encryption) Integridad del código

  12. Arranque Seguro • Tecnología que proporciona mayor seguridad utilizando “Trusted Platform Module” (TPM) • Integridad en el arranque • Protege los datos si el sistema esta “Off-line” • Facilidad para el reciclado de equipos Ver: www.trustedcomputinggroup.org

  13. Requerimientos Hardware • Trusted Platform Module (TPM) v1.2 Hardware integrado en el equipo. Ejemplo- Un Chip en la Placa Base • Almacena credenciales de forma segura, como la clave privada de un certificado de maquina y tiene capacidad de cifrado. Tiene la funcionalidad de una SmartCard • Se usa para solicitud de firma digital de código o ficheros y para autenticación mutua de dispositivos • Firmware (Convencional o EFI BIOS) – Compatible con TCG • Establece la cadena de confianza para el pre-arranque del SO • Debe de soportar las especificaciones TCG “Static Root Trust Measurement” (SRTM)

  14. Arquitectura Secure Startup Static Root of Trust Measurement of early boot components CRTM PCR PCR PCR PCR PCR

  15. Integridad del código • Todas las DLLs y otros ejecutables del SO se han firmado digitalmente • Las firmas se verifican cuando los componentes se cargan en memoria

  16. Cifrado completo del DiscoFVE – Full Volumen Encryption • FVE cifra y firma todo el contenido del Disco Duro • El chip TPM proporciona la gestion de claves • Por lo tanto • Cualquier modificación de los datos, no autorizada realizada “off-line” es descubierta y el acceso es denegado • Nos previene de ataques que utilizan herramientas que acceden al disco duro cuando Windows no se esta ejecutando. • Protección contra el robo de datos cuando se pierde o te roban el equipo • Parte esencial del arranque seguro

  17. Diseño del Disco MBR • El Volumen del SO contiene: • SO cifrado • Ficheros de Paginación cifrados • Ficheros temporales cifrados • Datos Cifrados • Fichero de hibernación cifrado La partición de sistema contiene: Utilidades de Arranque (Sin cifrar, ~50MB)

  18. Ejecución SeguraProtección desde los cimientos Fortificación de los servicios de Windows Reducción de Privilegios Protección de Cuentas de usuario (UAP) IE 7 con modo protegido

  19. Fortificación de los servicios Usuario Admin • Reducir el tamaño de capas de riesgo Segmentación de servicios Services Servicio 1 Servicio … Kernel Incrementar el número de capas D D Servicio … Servicio 2 D Servicio A Servicio 3 Servicio B Servicios Restringidos Kernel Drivers D User-mode Drivers D D D D Aplicaciones sin privilegios

  20. Fortificación de los servicios • Los Servicios de Windows Services fueron una gran superficie de ataque debido a sus privilegios y a que estaban siempre activos • Mejoras: • SID (per-service Security Identifier) reconocidos en ACLs (Access Control Lists), para que los servicios puedan proteger sus recursos • Política de Firewall que prohíben el acceso de red por servicio, sujeto a ACLs y SIDs • Descomposición de los privilegios innecesarios por servicio • Cambio de “LocalSystem” a “LocalService” o “NetworkService” cuando es posible • Uso de testigos con restricciones de escritura para los procesos de los servicios

  21. Protección de cuentas UsuarioUAP (User Account Protection) • Nos ayuda a implementar el principio de menor privilegio de dos maneras distintas: • El usuario no necesita tener privilegios administrativos para realizar ciertas tareas para las que se necesitas esos privilegios – En cambio: • Se le pregunta al usuario por credenciales con mas privilegios • Aunque el usuario tenga privilegios superiores( Ejem. un administrador), se le pregunta al usuario por su consentimiento antes de que esos derechos sean ejercitados • No se necesita volver a proporcionar las credenciales, solo se necesita el consentimiento • Leer: ww.microsoft.com/technet/windowsvista/evaluate/feat/uaprot.mspx

  22. Solicitud de CredencialesEl usuario necesita proporcionar credenciales de Administrador

  23. Solicitud de consentimientoEl usuario confirma la acción que usa privilegios de Administrador • Aplica en una situación en la que el usuario tiene todo los privilegios, pero antes de que estos sean ejercitados • Una nueva, protección secundaria

  24. Boton “Unlock”Antes de realizar los cambios “Apply” o “OK”

  25. UAP: Usos y Políticas • UAP no esta activado por defecto ( Beta 2) • Se activa en el botón de inicio del Administrador • UAP no aplica a la cuenta de Administrador por defecto que funciona normalmente • Se pude controlar mediante una política • Local Security Settings; Local Policies; Security Options; “LUA: Behavior of the elevation prompt” • No Prompt – Eleva los privilegios de manera transparente • Prompt for Consent – Pregunta al usuario si continua (Yes/No) • Prompt for Credentials – Requiere que el usuario introduzca credenciales (Por defecto)

  26. Cambio fundamental en la operativa de Windows • Hace que el sistema funcione bien como un usuario estándar • Proporciona un método seguro para ejecutar aplicaciones en un contexto elevado • Requiere marcar las aplicaciones que no sean UAP • Deja claro las acciones que tienen un impacto en toda el equipo • Virtualización del registro y ficheros para proporcionar compatibilidad. • Escrituras en el registro de la maquina son redirigidas a localizaciones de usuario si el usuario no tiene privilegios administrativos • Efectivamente: cuentas estándar pueden ejecutar aplicaciones que necesitan cunetas de administración de manera segura.

  27. Internet Explorer 7 • Además de ser compatible con UAP, incluirá: • Modo Protegido (Beta 2) que solo permite a IE navegar sin mas permisos, aunque el usuario lo los tenga. Ejem. Instalar software • Modo de “Solo-lectura”, excepto para los ficheros temporales de Internet cuando el navegador esta en Zona de seguridad de Internet • Filtro contra Phising que actualiza Microsoft cada poco tiempo y usa una red global de fuentes de datos • ActiveX Opt-in, da al usuario el control de los controles Activex • Todos los datos de cache se eliminan con un solo click

  28. Realiza 3 chequeos para proteger al usuario de posibles timos: Compara el Sitio Web con la lista local de sitios legítimos conocidos Escanea el sitio Web para conseguir características comunes a los sitios con Phising Cheque el sitio con el servicio online que tiene Microsoft sobre sitios reportados que se actualiza varias veces cada hora Filtro anti-PhishingProtección dinámica contra Webs Fraudulentas Dos niveles de Aviso y protección en la barra de estado de IE7 Level 1: WarnSuspicious Website Signaled Level 2: Block Confirmed Phishing Site Signaled and Blocked

  29. Comunicaciones SegurasAcceso Seguro Network Access Protection Integración Firewall/IPSec

  30. Network Access ProtectionNAP • NAP es una nueva tecnología que tiene sus orígenes en la Cuarentena de VPN, pero ahora se extiende a todos los clientes de red, y no solo a los de acceso remoto • Se apoya en un Servidor NAP, lo que significa Windows “Longhorn” Servers por ahora. • Se especifica una política de: • Requerir los parches del SO, actualización de firma del antivirus, presencia o ausencia de ciertas aplicaciones, cualquier chequeo arbitrario • …y el sistema no permite el acceso a la red si la política no se cumple, excepto: • A una zona de “Cuarentena” donde se pueden descargar las actualizaciones o el software necesario.

  31. NG TCP/IPNext Generation TCP/IP en Vista y “Longhorn” • Una pila TCP/IP nueva, totalmente rehecha • Implementación de Doble pila IPv6, con IPSec obligatorio • IPv6 es mas seguro que IPv4 por diseño: • Privacidad, monitorización, escaneo de puertos, confidencialidad e integridad • Otras mejoras de seguridad a nivel de red para IPv4 e IPv6 • Modelo de Host fuerte • Compartimentos de enrutamiento por sesión • Windows Filtering Platform • Mejora de la resistencia de la pila TCP/IP contra ataques conocidos de DOS • Auto-configuración y re-configuración sin reinicio • Leer: www.microsoft.com/technet/community/columns/cableguy/cg0905.mspx

  32. Windows Firewall – Seguridad Avanzada • Configuración de IPsec integrada en el firewall para proporcionar facilidad de configuración y gestión • Control del trafico de salida • Políticas inteligentes por defecto • Configuración en pocos pasos • Log mejorado • Protección dinámica del sistema • Aplicación de políticas basadas en la ubicación y el estado de las actualizaciones • Integrado con la fortificación de los servicios de Windows

  33. Mantener la SeguridadControl Integrado Anti-malware Gestor de Reinicios (Restart Manager) Client-based Security Scan Agent Control sobre la instalación de dispositivos Infraestructura de SmartCard Mejorada

  34. Anti-Malware Integrado • Detección Integrada, limpieza y bloqueo en tiempo real del malware: • Gusanos, viruses, rootkits y spyware • Para usuario Final- La gestion para empresas será un producto separado • Además de UAP, que por supuesto nos prevendrá de muchos tipos de malware • Integrado con Microsoft Malicious Software Removal Tool (MSRT) eliminara viruses, robots, y troyanos durante su actualización o cada mes

  35. Restart Manager • Algunas actualizaciones requieren un reinicio • El Gestor de Reinicios o “Restart Manager”: • Minimiza el numero de reinicio necesarios juntando las actualizaciones • Gestionar los reinicio de equipos que están bloqueados y ejecutan aplicaciones • E.g. después de un reinicio, Microsoft Word reabrirá un documento en la pagina 27, tal y como estaba antes del reinicio • Funcionalidad de importancia para la gestion centralizada de equipos en corporaciones.

  36. Escaner de Seguridad • Analiza y reporta el estado de seguridad del cliente Windows: • Nivel de parches y actualizaciones • Estado de la seguridad • Ficheros de firmas • Estado del Anti-malware • Habilidad de Windows para auto reportar su estado • La información se puede recoger de manera centralizada o revisado en el Centro de Seguridad por el usuario o el administrador

  37. Control instalación dispositivos • Control sobre la instalación de dispositivos removibles vía políticas • Principalmente para deshabilitar los dispositivos USB, pues muchas corporaciones están preocupadas por la perdida en la propiedad intelectual. • Control por “device class” • Drivers aprobados pueden ser pre-populados en un almacén de drivers de confianza • Las politicas de “Driver Store Policies” gobiernan los paquetes de drivers que no están en el almacén de drivers • Drivers estándar no corporativos • Drivers sin Firma • Estas políticas estas deshabilitadas por defecto debido a el riesgo inherente que los drivers arbitrarios representan. • Una vez que el administrador pone un driver en el almacén, puede ser instalado independientemente de los permisos del usuario que inicie la sesión.

  38. Con Windows Vista… • MIentras se inicia el sistema esta protegido con “Secure Startup” y TPM (Trusted Platform Module), previniendo modificaciones off-line • NAP (Network Access Protection) nos asegura que el equipo cumple con las políticas (Ejem. Tiene las actualizaciones requeridas, firmas de virus, etc) antes de que el Servidor “Longhorn” nos permita usar la red • Si el equipo no cumple se le dará la opción de actualizarse • El usuario podrá elegir entre varios tipos de dispositivos e identidades para iniciar sesión • El usuario puede iniciar sesión sin privilegios de administrador. Si necesita los permisos de administración se le solicitaran las credenciales de este • Las mejoras en IE ayudan a navegar por la red sin miedo a infectarse con malware y con mayor protección de la privacidad • Cuando hay nuevas actualizaciones el Gestor de Reinicios nos asegura la menor disrupción, aun cuando se ejecuten aplicaciones en un equipo bloqueado • Read: www.microsoft.com/technet/windowsvista/evaluate/admin/mngsec.mspx

  39. Contacto • José Parada Gimeno • ITPro Evangelist • jparada@microsoft.com • http://blogs.technet.com/padreparada/

  40. Seguridad Práctica Para Empresas Escáneres de vulnerabilidades en redes de Datos y Servidores Víctor M. de Diego Departamento Técnico vmdiego@gfihispana.com

  41. Agenda • ¿Qué es GFI LANguard N.S.S. 7? • GFI LANguard N.S.S. - Ventajas • GFI LANguard N.S.S. Características • Recogida de datos • Detección de vulnerabilidades • Distribución de Parches/Service Packs • DEMO

  42. ¿Qué es GFI LANguard N.S.S.? GFI LANguard Network Security Scanner (N.S.S.) realiza análisis de seguridad de red y administración de parches.

  43. GFI LANguard N.S.S.- Ventajas • 1.- Seguridad – Asistir una auditoría de seguridad de red • 2.- Generación automática de informes • 3.- Distribución de Parches, Service Packs y software de terceros

  44. GFI LANguard N.S.S. - Características • 1.- Escáner de vulnerabilidades

  45. GFI LANguard N.S.S. - Características Datos de Windows • 2.- Recopilación de información • Información Básica del SO • Actualizaciones de Microsoft • Estado de parches del sistema • Aplicaciones Instaladas • Recursos compartidos • Puertos TCT y UDP abiertos • Información del registro • Política de contraseñas • Política de auditoría de seguridad • Usuarios logados • Usuarios y Grupos • Dispositivos USB • Dispositivos de Red • Servicios en marcha • Sesiones activas • Discos Instalados • Procesos remotos Microsoft Access Datos de Linux • Información Básica del SO • Usuarios y Grupos locales • Aplicaciones Instaladas • Puertos TCP y UDP abiertos • Usuarios Logados • Dispositivos de Red • Servicios en marcha • Procesos Remotos

  46. GFI LANguard N.S.S. - Características • Distribución de Parches

  47. Más Información • Premios • Enlaces de Interés • http://www.gfihispana.com/es/lannetscan/ • http://www.gfihispana.com/downloads/downloads.aspx?pid=LANSS&lid=ES • http://www.gfihispana.com/lannetscan/lanscan7manual.pdf

  48. GFI LANguard N.S.S. 7 • VISTA GENERAL • ANÁLISIS DE RED • RESULTADO DEL ANÁLISIS • IMPLANTACIÓN DE PARCHES • HERRAMIENTAS

  49. Contacto • Víctor Manuel de Diego González • Departamento Técnico • vmdiego@gfihispana.com • www.gfihispana.com • Tel. 902 360 247 • Webs de Interés http://kbase.gfi.com http://forums.gfi.com

  50. Seguridad Práctica Para Empresas BitDefender for File Servers Elisabet Gimeno Departamento Técnico egimeno@bitdefender-es.com

More Related