seguridad en ms exchange 2003 l.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Seguridad en MS Exchange 2003 PowerPoint Presentation
Download Presentation
Seguridad en MS Exchange 2003

Loading in 2 Seconds...

play fullscreen
1 / 46

Seguridad en MS Exchange 2003 - PowerPoint PPT Presentation


  • 102 Views
  • Uploaded on

Seguridad en MS Exchange 2003. Tecnologías AntiSpam. Chema Alonso MVP Windows Server Security. Agenda. Protección Relay. Filtros Estáticos: Emisor. Destinatario. Filtros de conexión. Filtrado en ISA Server 2004 con Message Screener. Filtrado mediante IMF. Tecnología SmartScreen. SCL.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Seguridad en MS Exchange 2003' - vian


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
seguridad en ms exchange 2003

Seguridad en MS Exchange 2003

Tecnologías AntiSpam

Chema Alonso

MVP Windows Server Security

agenda
Agenda
  • Protección Relay.
  • Filtros Estáticos:
    • Emisor.
    • Destinatario.
    • Filtros de conexión.
  • Filtrado en ISA Server 2004 con Message Screener.
  • Filtrado mediante IMF. Tecnología SmartScreen.
    • SCL.
  • Coordinated Spam Reduction Initiative.
  • Tecnología Sender ID.
problem tica
Problemática
  • Plataforma Relay de correo:
    • El ataque se produce cuando un usuario malicioso vulnera la seguridad de la plataforma para enviar correo masivo a través de nuestro servidor.
  • Receptor de Correo Spam:
    • Se reciben correos que cargan el rendimiento, reducen la productividad de los empleados y generan gastos directos(sistemas de backup, conexiones GPRS, ancho de banda, soporte...)
problem tica relay
Problemática Relay

Relay

Buzones

Exchange Back-End

Pasarela SMTP

Exchange Front-End

No Relay

soluciones exchange server 2003
Soluciones ExchangeServer 2003
  • Opciones de Seguridad para no admitir Relay y, por tanto, no ser plataforma de correo “Spam”.
    • Bloqueo de Relay por defecto para todos los clientes no autenticados.
    • Bloqueo por dominios.
    • Bloqueo por usuarios.
    • Bloqueo por máquinas.
soluciones exchange server 20036
Soluciones ExchangeServer 2003
  • Opciones para detener el correo Spam recibido:
    • Filtro de Remitente.
    • Filtro de Destinatario. Nuevo.
    • Filtro de Conexión en tiempo real. Nuevo.
    • Filtros de Junk e-mail. Nuevo.
    • Listas Autenticadas. Nuevo.
    • IMF. Nuevo.
soluciones exchange server 20037
Soluciones ExchangeServer 2003
  • Filtro de Remitente. (Filtro Estático)
    • Bloquea los mensajes que proceden de determinados usuarios.
  • Filtro de Destinatario (Filtro Estático)
    • Bloquea los mensajes que van dirigidos a determinados destinatarios.
soluciones exchange server 20038
Soluciones ExchangeServer 2003
  • Listas Autenticadas
    • Se discrimina solo a usuarios autenticados para enviar mensajes a listas de correo.
soluciones exchange server 20039
Soluciones ExchangeServer 2003
  • Filtros de Conexión
    • Exchange Server 2003 comprueba en tiempo real si un servidor que está enviando correo está almacenado en una base de datos de servidores nocivos.
soluciones exchange server 200310
Soluciones ExchangeServer 2003
  • Implantación de filtros de conexión
    • Implantamos en un servidor DNS una zona de consulta para almacenar los servidores bloqueados. Ej. [ bloqueados.midominio.com ]
    • Añadimos registros del tipo
    • Configuramos un filtro para que se consulte la zona anterior cada vez que se recibe una conexión de servidor.

13.12.11.10 Host 127.0.0.1

filtro de conexi n
Filtro de Conexión

Se envian los mensajes al servidor de BackEnd

Se recibe una conexión desde un servidor de correo

Se deniega la conexión

El servidor FrontEnd consulta la zona DNS de bloqueo.

El servidor DNS contesta si existe o no ese registro.

Servidor FrontEnd

Servidor BackEnd

Servidor DNS

soluciones exchange server 200312
Soluciones ExchangeServer 2003
  • Filtros Junk e-mail en Cliente
    • Opciónes de Outlook 2003
    • El cliente tiene la opción de configurar los correos nocivos.
    • El Servidor y Sw de terceros catalogan los mensajes para entrar en la carpeta de Junk-email.
    • En conexiones de pago por transferencia permite ahorrar costes.
message screener
Message Screener
  • MS ISA Server 2004 proporciona una serie de filtros de aplicaciones para el control de tráfico.
  • El protocolo SMTP presenta un filtro que realiza el control de los comandos SMTP.
  • MS ISA Server 2004 amplía la funcionalidad del filtro SMTP mediante el Message Screener.
instalaci n
Instalación
  • Message Screener se instala como un componente adicional de MS ISA 2004.
  • Puede ser instalado sobre cualquier servidor que ejecute IIS 5.0 o 6.0 y tenga instalado el Servidor SMTP.
  • No se recomienda su implementación sobre el servidor MS Exchange Server 2003, ya que podría interferir en los filtros propios.
implantaci n
Implantación
  • La implantación puede ser realizada sobre el servidor MS ISA 2004 o sobre otro servidor de Gateway SMTP.
  • En el caso de que la implantación se realizar sobre otro servidor, habría que ejecutar la aplicación SMTPCred.exe, incluida en el CD de MS ISA Server 2004,para indicarle cual es el Servidor MS ISA Server 2004 del que va a tomar los valores de configuración del filtro.
slide17

EXCHANGE 2003

ISA SERVER 2004

ISA SERVER 2004

EXCHANGE 2003

SMTP

MESSAGE SCREENER

SERVIDOR SMTP PUBLICADO

REGLA DE ACCESO

SMTP

SMTP

MESSAGE SCREENER

SERVIDOR SMTP PUBLICADO

ISA SERVER 2004

EXCHANGE 2003

EDGE SERVER

SERVIDOR SMTP PUBLICADO

REGLA DE ACCESO

SMTP

SMTP- MSG SCREENER

implicaciones
Implicaciones
  • En función de los escenarios de implantación, habrá que tener en cuenta las siguientes medidas:
    • Publicar DNS para reconocer los Servidores de correo Internos.
    • Publicar o crear las reglas de acceso necesarias para los servidores SMTP.
    • Establecer conexiones entre servidores SMTP.
funcionalidades
Funcionalidades
  • Message Screener aporta mayores funcionalidades controlando:
    • Palabras en cabecera o cuerpo del mensaje.
      • Permite parar Virus difundidos por e-mail cuando aún no hay vacunas.
    • Bloqueos de remitente y dominios.
    • Correos con attachments.
acciones de filtrado
Acciones de Filtrado
  • Cuando se aplica una regla de filtrado se pueden establecer 3 acciones diferentes:
    • Eliminar el mensaje.
    • Retener el mensaje para inspeccionarlo posteriormente.
    • Enviar una notificación a una dirección de correo.
slide22
Logs
  • Message Screener crea un registro de información donde podemos comprobar las acciones que ha estado realizando el filtro.
  • El log permite establecer la ruta de inserción de datos y los campos que van a ser registrados.
  • Puede integrarse con monitorizadores de aplicaciones como MicroSoft Operations Manager (MOM).
t cnicas detecci n spam
Técnicas Detección SPAM
  • Filtrado de Contenido
  • RBLs (Real Time Black Holes)
  • Análisis Heurístico
  • Filtros Bayesianos
  • Checksums
  • IMF SmartScreen
filtrado de contenido
Filtrado de Contenido
  • Muy útil como herramienta de administración de contenido
    • Evita que cierto tipo de palabras y tópicos sen enviados hacia o desde los usuarios
  • Sin embargo, es ineficiente para controlar el SPAM
    • Requiere una atención continua del Administrador (varias horas por día)
    • Algunos simples trucos lo hacen vulnerable
      • Ejemplos: $ave, V*i*a*gr*a, Chëὰρ
        • Existen 105 variantes solo para la letra A!
    • Genera muchos falsos positivos
      • Imposible de utilizar en ciertas industrias
slide26
RBLs
  • Las RBLs son listas de supuestos spammers y sus dominios/direcciones IP.
    • Ejemplos: SpamCop, MAPS, SPEWS, Dorkslayers
  • Generalmente es manejado por voluntarios, por lo cual no existe una auditoría, y a menudo bloquean mas de la cuenta
    • Algunos ISPs son agregados, aún cuando envían correos legítimos
    • No figurar en estas listas puede llevar desde días a meses
  • Requiere la utilización de muchas listas blancas para no generar falsos positivos o la administración propia.
an lisis heur stico
Análisis Heurístico
  • Utiliza una técnica que busca miles de características y/o palabras para identificar SPAM y asignar una calificación
    • El nivel de SPAM debe ser ajustado periódicamente
  • Es utilizado en muchos productos antispam
  • Muy conocido por los spammers
    • Sitios Web de spammers permiten verificar el spam contra motores heurísticos
  • Incrementar el nivel de detección significa incrementar los falsos positivos
filtros bayesianos
Filtros Bayesianos
  • Es un sistema de aprendizaje que se basa en análisis estadísticos de vocabulario
    • Listas de palabras “buenas” y “malas”
  • Necesita de la intervención del usuario para que sea efectiva
  • Puede ser muy efectiva para usuarios individuales
  • Es atacado deliberadamente por los spammers
    • Texto generado aleatoriamente baja la calificación de spam, incrementando el número de palabras “buenas”
    • Generalmente con palabras escondidas dentro de código HTML
checksums
Checksums
  • Crea un “fingerprint” de ejemplos de spam conocido
  • La Base de Datos se actualiza periódicamente
  • Es reactivo
    • Por definición, el “fingerprint” es creado luego de identificar el correo como spam
  • Es posible evitarlo con una técnica llamada “hash busting” – agregando diferentes caracteres dentro del mensaje
hash busting
Hash busting

Ejemplo de hash busting para evitar la técnica de checksums

tecnolog a smartscreen
Tecnología SmartScreen

• La tecnología SmartScreen permite que Intelligent Message Filter distinga entre los mensajes de correo legítimos y el correo comercial no solicitado u otro tipo de correo electrónico no deseado

• Hace un seguimiento de más de 500.000 características de correo electrónico basadas en datos de cientos de miles de suscriptores del servicio MSN® Hotmail® que participaron voluntariamente en la clasificación de millones de mensajes de correo electrónico

• Ayuda a filtrar el correo no deseado antes de que llegue a la bandeja de entrada del usuario

tecnolog a smartscreen32
Tecnología SmartScreen

• La base de datos utilizada para almacenar las características se actualiza con nueva información de patrones del origen de la muestra, lo que hace que el filtro sea más eficaz y actual

• El filtro inteligente de mensajes utiliza esta base de datos para reconocer modelos de mensajes legítimos y no legítimos

• Permite llevar a cabo una evaluación más precisa de la legitimidad de un mensaje de correo electrónico entrante

nivel de confianza del correo no deseado scl
Nivel de Confianza delCorreo No Deseado. SCL.

• IMF evalúa el contenido de los mensajes en busca de modelos reconocibles y les asigna una clasificación basada en la probabilidad de que el mensaje sea correo comercial no solicitado o correo no deseado

• La clasificación se almacena en una base de datos con el mensaje como una propiedad llamada nivel de confianza de correo no deseado (SCL)

  • Los administradores configuran dos umbrales que determinan la forma en que IMF controla los mensajes de correo electrónico con diferentes niveles de SCL:
    • El Umbral de la pasarela de correo con una acción asociada que se lleva a cabo en mensajes que sobrepasan el umbral
    • Umbral de almacén de buzón
filtrado de exchange 2003 y outlook 2003
Filtrado de Exchange 2003y Outlook 2003
  • Cada uno de estos métodos de Exchange 2003 se utiliza durante la sesión SMTP
  • Intelligent Message Filter se aplica después de la sesión SMTP
  • Los mensajes de correo electrónico que pasan por el filtrado de destinatario, remitente o conexión se tratan individualmente y no se envían a través de Intelligent Message Filter
  • Al igual que Intelligent Message Filter, Outlook 2003 utiliza la tecnología Smartscreen, que tiene en cuenta varios factores, como la hora y el contenido del mensaje, para evaluar si un mensaje debe tratarse como correo electrónico no deseado
csri sender id
CSRI. Sender ID.
  • Iniciativa promovida por Microsoft para Reducir la incidencia del correo Spam.
  • Se centra en establecer un mecanismo de verificación confiable para determinar quien es el emisor del correo (Anti-spoofing).
  • Esto da como resultado la técnología

“Caller Id”.

http://www.microsoft.com/mscorp/twc/privacy/spam_csri.mspx

csri sender id38
CSRI. Sender ID.
  • Caller ID de Microsoft, Sender Policy Framework (SPF) de Meng Wong,y una especificación llamada “the Submitter Optimization” son unidas para crear un estándar para la validación de los emisores de correo.
  • Ese estándar es Sender ID.

http://www.microsoft.com/mscorp/twc/privacy/spam_senderid.mspx

referencias
Referencias
  • LSSI :
        • http://www.lssi.es
  • MS ISA Server 2004:
        • http://www.microsoft.com/spain/servidores/isaserver
  • Message Screener:
        • http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/smtpfilter.mspx
  • Sender ID:
        • http://www.microsoft.com/mscorp/twc/privacy/spam_senderid.mspx
m s acciones i
Más Acciones (I)
  • Próximos webcasts:
    • Windows XP SP2, un nuevo sistema operativo. ¿Qué debo saber sobre Windows XP SP2? (29 Sept)
    • Introducción al Directorio Activo Parte I: Conceptos básicos de Directorio Activo (22 Sept)

Mas info:http://www.microsoft.com/spain/technet/jornadas/webcasts

  • Techday: Ampliando las fronteras del Directorio Activo. Interoperabilidad en entornos heterogéneos: Gestión de Identidades, Autenticación y Seguridad.

Barcelona, 14 octubre - Madrid, 19 octubre

Mas info:http://www.microsoft.com/spain/technet/techday

m s acciones ii
Más Acciones (II)
  • IV Seminario Seguridad Informática :
    • Rights Management Services.
    • Hacking ético de Web Sites.

http://www.informatica64.com/tecnicashacker.html

technews
TechNews
  • Suscripción gratuita enviando un mail:
    • mailto:technews@informatica64.com
contacto
Contacto
  • Chema Alonso
    • chema@informatica64.com
  • Informatica64
    • http://www.informatica64.com
    • i64@informatica64.com
    • +34 91 665 99 98