• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
ALGORITMOS
 

ALGORITMOS

on

  • 8,057 views

 

Statistics

Views

Total Views
8,057
Views on SlideShare
7,847
Embed Views
210

Actions

Likes
1
Downloads
211
Comments
0

2 Embeds 210

http://miiyis.blogspot.com 186
http://www.slideshare.net 24

Accessibility

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    ALGORITMOS ALGORITMOS Presentation Transcript

    • Vuelta a España TechNet 2005-2006: Mantenga su infraestructura Segura…. Contra Hackers. Chema Alonso (MVP de Microsoft) Jose Parada (Ingeniero TechNet) David Cervigon (Ingeniero TechNet)
    • Recursos Technet
      • WebCasts
      • IT ShowTime
      • Guías y manuales
      • Chats
      • Blogs
      • Eventos
      • Seguridad
      • Software
      • Technet Flash
      • Flash MSDN
      • Newsletter Seguridad
      • Videos Demo
      • Videos Interactivos
      • http :// wwww.microsoft.com / spain /technet
    • Agenda
      • 09:00 - 09:30 : Registro
      • 09:30 - 10:45 : Redes Wireless
      • 10:45 - 11:15 : Café
      • 11:30 - 12:30 : Actualizaciones de Seguridad
      • 12:30 - 13:45 : Defensa nivel 7
      • 13:45 - 14:00 : Preguntas
    • Redes Wireless
      • Introducción, conceptos y funcionamiento
      • DEMO: Técnicas Hacker de ataque a redes Wireless
      • Redes Wireless Seguras
      • DEMO: Securización de una red Wireless
    • Introducción
      • Hoy en día, las Wireless LAN se están convirtiendo poco a poco en parte esencial de las redes LAN tradicionales:
        • Bajos costes de instalación
        • Disponibilidad
        • No requiere de software adicional
        • Movilidad
      • La implantación se esta realizando a mayor velocidad en los entornos domésticos y PYMES que en las grades empresas
      • Este mercado esta menos concienciado de los problema de seguridad
        • El aire es un medio inseguro.
        • Los estándares iniciales tienen muchos problemas de seguridad.
    • Introducción
      • Componentes
        • Routers/Gateways, Puntos de acceso (AP), Repetidores
          • Equivalente al HUB de la tecnología ETHERNET.
          • Ojo, no es un Switch por lo que los usuarios comparten el ancho de banda total.
        • Adaptadores WIFI : PC Cards, PCI, Integradas, USB....
        • Antenas: unidireccionales y omnidireccionales
      • Modos de funcionamiento
        • Modo “AD-HOC”: los clientes se comunican directamente entre ellos. Solamente los clientes dentro de un rango de transmisión definido pueden comunicarse entre ellos.
        • Modo “INFRASTUCTURE”: cada cliente envía toda sus comunicaciones a una estación central o punto de acceso (Access Point – AP). Este AP actúa como un bridge ethernet y reenvía las comunicaciones a la red apropiada, ya sea una red cableada u otra red inalámbrica.
    • Conceptos: Definiciones http://www.wi-fi.org/OpenSection/glossary.asp
      • Frecuencia: de 2 a 5 GHz (Radio)
      • Canal: Una porción del espectro de radiofrecuencias que usan los dispositivos para comunicarse. El uso de diferentes canales ayuda a reducir interferencias
      • BSSID (Basic Service Set Identifier): Dirección única que identifica al Router/AP que crea la red wireless. Tiene formato de MAC address
      • ESSID (Extended Service Set Identifier): Nombre único de hasta 32 caracteres para identificar a la red wireless. Todos los componentes de la misma red WLAN deben usar el mismo.
      • SSID (Service Set Identifier): Equivalente a ESSID
    • Conceptos: Funcionamiento (I)
      • Descubrimiento: La estación ha de conocer la existencia del PA al que conectarse.
        • Escaneo Pasivo: Espera recibir la señal de PA
        • Escaneo Activo: La estación lanza tramas a un PA determinado y espera una respuesta
      • Autenticación: La estación ha de autenticarse para conectarse a la red
      • Asociación: La estación ha de asociarse para poder intercambiar datos con otras.
      • Cifrado: Protección de los datos que se envían a través de la red.
    • Conceptos: Funcionamiento (II)
      • Tipos de tramas Wireless
        • Tramas de Gestión:
          • Ayudan al las estaciones a localizar y asociarse a PA disponibles.
          • Se transmiten igual que las demás pero no se envía a las capas superiores. Nivel 2
          • Tramas Baliza o “Beacon Frames” envían:
            • Sincronización horaria
            • Anchos de banda, canal, tipo de señal, etc..
            • SSID
          • Las redes que no emiten el SSID en las BFs se denominan “redes cerradas”
        • Tramas de Control: Usadas para el control de acceso al medio.
        • Tramas de Datos: Usadas para la transmisión de los datos
    • IEEE 802.11
      • Estándar de la IEEE: Opera en frecuencias de 2.4 a 5 GHz
      • 802.11: 1 a 2 Mbps a 2.4GHz
      • 802.11a: 54 Mbps a 5GHz
      • 802.11b: 11Mbps a 2.4GHz
      • 802.11g : 54 Mbps a 2.4GHz
      • Además: d ( Cambios de MAC ), e ( QoS ), j ( Japón ), n ( x4, x8 ) ...
      • Cada fabricante implementa sus propias soluciones para mejorar el rendimiento en la transferencia de datos. (108 Mbps)
    • Seguridad en IEEE 802.11
      • Inciso: Autenticación, Encriptación/Cifrado, Firmado
      • Autenticación
        • Open System Authentication
        • Shared Key Authentication (WEP)
        • Ambos permiten autenticación por filtrado de MAC
      • Encriptación e Integridad de datos
        • WEP (Wired Equivalent Privacy) 
          • Usa un algoritmo RC4 de cifrado con claves de 40-bit o 104-bit
          • Calcula un ICV de 32-bit a partir de los datos a enviar
          • Genera un IV de 24-bit
      • ¡Se usa el mismo secreto compartido tanto para autenticar (en el desafío/respuesta) como para encriptar!
    • Cifrado y descifrado WEP
      • Cifrado
      • Descifrado
    • DEMO: Técnicas Hacker de ataque a redes Wireless
      • Ataque a WLAN protegida con:
        • Ocultación de SSID
        • Control de acceso por MAC Address
        • Clave WEP
    • Ataque a Redes Wireless 802.11
      • Hemos sacado el SSID oculto y tipo de cifrado
      • Averiguado:
        • el canal de emisión
        • BSSID y direcciones MAC
      • Obtenemos la clave WEP
      • Ya vemos el tráfico:
        • Dirección IP, Puerta de enlace...
        • Etc...
      • “ Spoofeamos” la MAC
      • Configuramos la red con los datos recogidos
    • La raíz de los problemas de 802.11
      • La clave WEP es compartida entre todos los clientes
      • No se contempla la forma de distribuirla ni su cambio en el tiempo.
      • ¡El estándar 802.11 especifica que cambiar el IV en cada paquete es opcional!. Y cada fabricante es libre de gestionarlo como quiera.
      • Reutilización del IV
        • El IV es de 24-bit -> se repite cada 16.777.216 tramas!
      • Debilidad de RC4
      • El ICV es un CRC32 independiente del secreto compartido
        • Conocido el texto de una trama puede sacarse el de cualquiera sin conocer la clave WEP (bit-flipping)
      • Más en: http:// www.isaac.cs.berkeley.edu / isaac / wep - faq.html
      • Crackearlas es “trivial”
    • Así es que con 802.11...
      • Rogue APs.
      • DoS, ataques por Asociación/Disociación.
      • Fácil monitorización.
      • No extensible a otros métodos de autenticación.
      • Imposible autenticar por usuario
      • No extensible a otros métodos de gestión de la clave compartida
      • Hay que implementar nuevos mecanismos de Autenticación , Cifrado y Firmado
    • Implantación de Redes Wireless Seguras
    • Soluciones Wireless Seguras WPA y WPA2
      • WPA: Certificación de la WI-FI Alliance para las soluciones Wireless que cumplan ciertos requisitos de seguridad. Surgió mientras estaba listo el estándar IEEE802.11i
      • WPA2: Certificación de la WI-FI Alliance para las soluciones Wireless que cumplan los requisitos de seguridad dictados por IEEE 802.11i
    • Cambios requeridos por WPA y WPA2 (IEEE802.11i)
      • Autenticación
        • WPA y WPA2:
          • Open System Authentication para la asociación
          • Para la autenticación mutua y del usuario:
            • Enterprise  802.1X sobre 802.11
            • Personal  PSK (Pre-Sahred Key) ¡Ojo!
      • Cifrado e Integridad de Datos
        • WPA: TKIP (Temporary Key Integrity Protocol)
        • WPA2: AES (Advanced Encryption Standard), aka Counter Mode Cipher Block Chaining-Message Authentication Code (CBC-MAC) protocol (CCMP)
    • Autenticación 802.1X sobre 802.11
      • 802.1X surge como un método de autenticación de “puertos” redes LAN
        • Implementa un Protocolo de Autenticación Extensible (EAP)  Nivel 2
        • Diseñado originalmente para ser usado en PPP y adaptado por 802.1X para ser encapsulado y enviado en redes LAN o Wireless
        • No tiene seguridad “built-in”. Los protocolos de autenticación deben implementar sus propios métodos de seguridad. El método de autenticación es elegido por los equipos durante la negociación de forma transparente al AP
      • Aplicado a redes Wireless 802.11
        • Evita la aparición de Rogue APs usando autenticación mutua.
        • Evita accesos no autorizados autenticando tanto a los usuarios como a sus equipos.
        • Produce una PMK (Pairwise Master Key) de 256-bit por cada sesión para cada cliente
      • Mas detalles sobre su funcionamiento en:
        • http:// www.microsoft.com /technet/ community / columns / cableguy /cg0402. mspx
    • Métodos de Autenticación
      • EAP nos permite elegir
        • TLS: Transport Layer Security (certificados de cliente y servidor)
        • IKE: Internet Key Exchange
        • Kerberos
        • Otros (MD5, LEAP, etc.)
      • PEAP: Protected Extensible Authentication Protocol. Evita que la conversación EAP vaya sin encriptar
        • Genera un canal TLS usando el certificado del servidor RADIUS
        • Posteriormente podemos implementar de nuevo un método EAP de autenticación mutua
          • MS-CHAP v2 (usuario y contraseña)
          • TLS (certificados de cliente y servidor)
    • Esquema de Autenticación Cliente Punto Acceso IAS Asociación Establecimiento de canal seguro TLS Autenticación MS-CHAP V2 sobre TLS Resultado Autenticación Disasociación Acceso Permitido
    • Generación de las claves de cifrado Cliente Punto Acceso IAS MK (Master Key) MK (Master Key) PMK (Pairwise Master Key) PMK (Pairwise Master Key) PMK (Pairwise Master Key) PTK (Pairwise temp. Key) PTK (Pairwise Temp. Key) GTK (Group temp. Key) GTK (Group temp. Key) 4 claves para cifrado UNICAST 1clave para cifrado Multicast
    • TKIP (Temporary Key Integrity Protocol)
      • Utiliza cifrado entre la estación cliente y el Punto de Acceso con clave simétrica.
      • Utiliza 4 claves distintas entre Punto de Acceso y cada Cliente Wireless para tráfico Unicast y 2 claves para tráfico broadcast y/o multicast.
      • Las claves se recalculan para cada paquete con una función de mezclado para cada paquete
      • Usa IV de 48-bit
    • Integridad de datos en TKIP: Michael
      • Provee de integridad y “antireplay”
      • Calcula un “Message Integrity Code” (MIC) de 8 bytes
      • Estos 8 bytes se introducen entre los datos y los 4 Bytes del ICV de la trama 802.11
      • Se cifra junto con los datos y el ICV
      • Mas información en:
        • http:// www.microsoft.com /technet/ community / columns / cableguy /cg1104. mspx
    • AES
      • Protocolo sustituto de DES
      • Utiliza el algoritmo de cifrado por bloques de Rijndael
      • Permite claves de 128, 196 y 256 bits
      • Es el algoritmo de cifrado más seguro que podemos utilizar en redes WLAN. No vulnerado a fecha de hoy
      • Mas información en:
        • http:// www.microsoft.com /technet/ community / columns / cableguy /cg0805. mspx
    • RESUMEN: PEAP-MS-CHAP-v2 PEAP-TLS AES EAP-TLS 802.1x 802.11i WPA2 PEAP-MS-CHAP-v2 PEAP-TLS TKIP EAP-TLS 802.1x 802.11 WPA AES PEAP-MS-CHAP-v2 TKIP PEAP-TLS WEP EAP-TLS 802.1x 802.11 Mundo Real Shared WEP Open -  802.11 Wireless Original Cifrado/ Firmado Métodos Autenticación Estándar Autenticación Estándar Wireless Acuerdo
    • RECOMENDACIONES (de mas a menos seguras):
      • Empresa:
        • WPA2: AES y PEAP-TLS
        • WPA2: AES y PEAP-MS-CHAP v2
        • WPA: TKIP y PEAP-TLS
        • WPA: TKIP y PEAP-MS-CHAP v2
      • SOHO (Small Office, Home Office)
        • WPA2: AES y secreto compartido
        • WPA: TKIP y secreto compartido
    • DEMO: Implantación de una red Wireless Segura
    • Pasos
      • Configurar puntos de acceso
      • Agrupar usuarios y máquinas
      • Configurar IAS (RADIUS)
        • Dar de alta los AP como clientes
        • Configurar la política de acceso
      • Definir políticas Wireless
      • Definir políticas para obtención de certificados
    • REFERENCIAS
      • http:// www.microsoft.com /spain/servidores/windowsserver2003/ technologies / networking / wifi / default.aspx
      • IEEE 802.11 Wireless LAN Security with Microsoft Windows XP
      • Step -by- Step Guide for Setting Up Secure Wireless Access in a Test Lab
      • Enterprise Deployment of Secure 802.11 Networks Using Microsoft Windows
      • Configuring Windows XP IEEE 802.11 Wireless Networks for the Home and Small Business
      • Troubleshooting Windows XP IEEE 802.11 Wireless Access
      • http:// www.wi - fi.org / OpenSection / index.asp
      • Configuring Wireless Settings Using Windows Server 2003 Group Policy
      • TKIP: Wi - Fi Protected Access Data Encryption and Integrity
      • AES: Wi - Fi Protected Access 2 Data Encryption and Integrity
    • Grupos Reducidos de 10 a 15 asistentes. Cada asistente tiene un escenario virtualizado para ejecución de laboratorios. Un técnico por grupo imparte explicaciones teóricas y plantea y resuelve las practicas con los asistentes al mismo tiempo que resuelve dudas. 6 horas de duración cada uno y 24 horas los seminarios de Contramedidas Hacker.
      • Madrid Vigo Salamanca Pamplona Barcelona Santander Valladolid Valencia.
      • Tenerife y Málaga/Sevilla próximamente.
      http://www.microsoft.com/spain/HOLdesarrollo Desarrollo http://www.microsoft.com/spain/HOLsistemas Sistemas
    • Café
    • Actualizaciones de Seguridad
      • Expedientes de Seguridad, Bugs y Exploits. Shellcodes.
      • DEMO: Generación y ejecución de Exploits
      • Terminología y consideraciones acerca de las Actualizaciones de Seguridad
      • Herramientas de Monitorización y Actualización de sistemas.
        • MBSA, EXBPA.
        • MU, WSUS y SMS.
      • Windows Server Update Services
      • DEMO: Implantación WSUS, Administración y Despliegue de Actualizaciones.
    • Gestión de la Seguridad
      • Estándares
      • Productos desplegados
      • Desarrollos propios
      • Políticas de seguridad
      • Gestión de actualizaciones
      • Gestión de cambios
      • Prevención de riesgos
      • Auditorias
      • Concienciación
      • Formación
      Personas Tecnología Procesos
    • Bug
      • Un error de software o computer bug , que significa bicho de computadora , es el resultado de un fallo de programación introducido en el proceso de creación de programas de computadora . El término bug fue acreditado erróneamente a Grace Murray Hopper , una pionera en la historia de la computación , pero Thomas Edison ya lo empleaba en sus trabajos para describir defectos en sistemas mecánicos por el año 1870 .
      • Fuente: Wikipedia en Español
    • Bug
    • Exploit
      • Exploit (viene de to exploit - aprovechar) - código escrito con el fin de aprovechar un error de programación para obtener diversos privilegios. software .
      • Un buen número de exploits tienen su origen en un conjunto de fallos similares. Algunos de los grupos de vulnerabilidades más conocidos son:
        • Vulnerabilidades de desbordamiento de pila o buffer overflow .
        • Vulnerabilidades de condición de carrera (Race condition).
        • Vulnerabilidades de error de formato de cadena (format string bugs).
        • Vulnerabilidades de Cross Site Scripting (XSS) .
        • Vulnerabilidades de inyección SQL ( SQL injection ).
        • Vulnerabilidades de inyección de caracteres ( CRLF ).
        • Fuente: Wikipedia en Español
    • Payload
      • El payload de un virus o un gusano es cualquier acción que se programa para que se lleve a cabo además de su propia propagación. El término se usa para cualquiera de las funciones, independientemente de que lleguen a funcionar o no
      • Fuente: Wikipedia
    • Proceso explotación de una Vulnerabilidad
      • 1.- Se descubre una vulnerabilidad
      • a) Por el fabricante
      • b) Por un tercero
      • 2.- Se aprende a explotarlo
      • a) Ingeniería inversa de Código
      • b) Ingeniería inversa de Patch
      • 3.- Se usa un Payload para automatizar
    • Comunidades Hacker infohacking.com
    • Expedientes de Seguridad
    • DEMO: Generación y ejecución de Exploits
    • Terminología y Consideraciones acerca de las actualizaciones de Seguridad Update Microsoft Security Response Team Grupo de producto Cliente Descubrimiento vulnerabilidad tiempo Riesgo Microsoft Security Response Center Amenaza Impacto T impacto T riesgo
    • Slammer BugBear Slapper Ramen Klez Scalper Nimda CodeRed Blaster Lion Nombre del Virus Número de días transcurridos entre la publicación del update de seguridad y el impacto del virus Win32 Linux/Unix
    • Grados de Severidad en Microsoft La explotación es tremendamente dificil o su impacto es mínimo. Bajo Vulnerabilidad seria pero su explotación se be mitigada por un grado significativo de factores como la configuración, la auditoría, la necesidad de entornos muy concretos o la participación del usuario. Moderado Explotación puede tener como resultado el compromiso de la Seguridad de un sistema (Confidencialidad, Integridad, Disponibilidad de datos o servicios). Importante Explotación del mismo puede permitir la propagación de un gusano a través de Internet como Code Red o Nimda sin intervención de ninguna acción de usuarios. Crítico Definición Severidad
    • Herramientas de Monitorización y Auditoria
      • El objetivo es dejar un Servidor en Día-0.
        • Zero Day Server es aquel que tiene todo el software que corre en su sistema actualizado y no tiene ningún bug conocido.
        • Es el máximo nivel de seguridad que se puede alcanzar con el software que corre en un sistema.
        • Existen Zero Day Exploits
      • Auditorias de seguridad
        • No son las únicas que deben hacerse
        • Se deben realizar de forma automática y de forma manual [“artesana”].
        • Con la visión de un atacante y con la visión del administrador.
    • Auditoría Caja Negra
      • Se realiza desde fuera
      • Ofrece la visión de un hacker
      • No puede ser ejecutada desde dentro  Falsos positivos
      • No garantiza “Servidor Seguro”
      • No todos los escáner ofrecen los mismos resultados.
      • SSS, Nessus, GFI Languard, Retina, ISS Real Secure, etc …
    • Scanners de Vulnerabilidades
      • Satan, Saint, Sara
      • Shadow Security Scanner
        • http://www.safety-lab.com
      • GFI Languard Network Security Scanner
        • http:///www.gfihispana.com
      • Retina
        • http://www.eeye.com
      • Nessus
        • http://www.nessus.org
      • NetBrute, R3X
    • Auditoría Caja Blanca
      • Se realiza internamente
      • Con privilegios y visualización completa del sistema
      • Se utilizan herramientas proporcionadas por el fabricante o propias
        • MBSA
        • EXBPA
        • MOM 2005
        • … .
    • MBSA
      • Ayuda a identificar sistemas Windows vulnerables.
        • Escanea buscando actualizaciones no aplicadas y fallos en la configuración del software.
        • Escanea distintas versiones de Windows y distintas aplicaciones.
        • Escanea en local o múltiples máquinas en remoto vía GUI o línea de comandos.
        • Genera informes XML sobre los resultados de cada equipo.
      • Corre en Windows Server 2003, Windows 2000 y Windows XP
      • Se integra con SMS 2003 SP1, con SUS y WSUS
    • MBSA
    • EXBPA
      • Examina un despliegue de Exchange Server y determina si esta configurado siguiendo las recomendaciones de Microsoft.
        • Genera una lista de puntos, como configuraciones mejorables, u opciones no recomendadas o soportadas.
        • Juzga la salud general del sistema.
        • Ayuda a resolver los problemas encontrados.
      • Busca también Actualizaciones de Seguridad que falten.
    • EXBPA
    • Herramientas para la Gestión de Actualizaciones
      • Usuario Final y Pequeña Empresa: Microsoft Update
      • Pequeña y Mediana Empresa: Software Update Services
      • Mediana Empresa y Corporaciones: SMS and the SMS Software Update Services Feature Pack
    • Productos de Terceros http://www.stbernard.com UpdateExpert St. Bernard Software http://www.patchlink.com PatchLink Update PatchLink Corp. http://www.novadigm.com Radia Patch Manager Novadigm, Inc. http://www.shavlik.com HFNetChk Pro Shavlik Technologies http://www.gfi.com GFI LANguard Network Security Scanner GFI Software, Ltd. http://www.securitybastion.com Service Pack Manager 2000 Gravity Storm Software, LLC http://www.landesk.com LANDesk Patch Manager LANDesk Software, Ltd http://www.configuresoft.com Security Update Manager Configuresoft, Inc. http://www.ecora.com Ecora Patch Manager Ecora, Inc. BigFix Patch Manager Altiris Patch Management Producto http://www.bigfix.com BigFix, Inc. http://www.altiris.com Altiris, Inc. URL Compañía
    • ¿Qué es WSUS?
      • Un “Feature Pack” RTW (Release to Web) de Microsoft Windows Server
        • Gratuito: http:// www.microsoft.com / windowsserversystem / updateservices / evaluation / sysreqs.mspx
        • No necesita ningún tipo de CAL adicional
      • Una solución funcional: Automatiza el proceso de gestión de parches y actualizaciones todo lo posible
        • Gestiona parches de otros productos además de Windows
        • Incluye las funcionalidades que le demandabais SUS 1.0
        • Mejora y facilita las tareas del administrador
      • Componente clave de las actuales y futuras soluciones de gestión de Parches y Actualizaciones de Microsoft
        • Aprovechado por otras herramientas (i.e., SMS & MBSA)
        • Expone un rico conjunto de API para facilitar la personalización y extensibilidad
        • Escalabilidad hacia (Microsoft Update)
    • Contenido y Productos Soportados
      • Contenido
        • Microsoft Windows, Microsoft Office, Microsoft SQL Server, Microsoft Exchange Server
        • Se agregarán productos adicionales (i.e. ISA Server 2004)
      • Sistemas Operativos
        • Cliente/agente
          • Windows 2000 SP3 y posterior,
          • Windows XP y posterior (Tb. versiones y x64)
          • Windows 2003 (solo 32-bit),
          • Windows 2003 SP1 (x64 y ia64)
        • Servidor
          • Windows 2000 SP4 y posterior
          • Windows 2003 y posterior (solo 32-bit)
      • Soporte Internacional
        • 25 Windows client locales
        • 17 Windows Server locales
    • Servidor WSUS Cómo funciona El Administrador se suscribe a las categorías de actualizaciones El servidor descarga las actualizaciones desde Microsoft Update Los clientes se registran en el servidor El agente instala los parches aprobados por el administrador El Administrador pone a los clientes en diferentes target groups El Administrador aprueba las actualizaciones Microsoft Update Clientes Windows XP Target Group 1 Clientes Windows Server Target Group 2 Administrador
    • Arquitectura
      • Piezas de la solución
        • Windows Server Update Services
        • Automatic Updates client agent
        • Microsoft Update
        • Group Policy y Active Directory
      • Piezas del servidor
        • IIS / IE6 SP1
        • BITS y WinHTTP ( KB842773)
        • MSI 3.1
        • Microsoft SQL Server
          • WMSDE/MSDE
        • .NET Framework 1.1 SP1
        • Scripting vía SDK
    • Arquitectura del Servidor
      • Interfaz de administración Web.
      • Motor de sincronización para descargar las actualizaciones de Microsoft Update.
      • Base de datos SQL que mantiene el resto de los datos que no son actualizaciones.
      • Permite una estructura de servidores jerárquica
      • Usa BITS (Background Intelligent Transfer Service) para un uso eficiente del ancho de banda
      • Escalable
    • Arquitectura del Servidor (cont.) Server API File Store (NTFS) Metadata Store MSDE/SQL Client/Server Web service Server/Server Web service Reporting Web service Admin UI Content sync Catalog sync Clientes Servidores WSUS/MU Estación del Administrador
    • Arquitectura del cliente
      • El agente (Win32 Service) implementa la mayor parte de la funcionalidad
      • Extensibilidad basada en manejadores de tipo Update
      • Manejadores para MSI, update.exe, drivers etc.
      • Se auto-actualiza automáticamente a nuevas versiones ofrecidas por el servidor.
      • Controlable via GPO
      • Seguro
    • Arquitectura del cliente WU o WSUS IE (WU Site) Scripts a medida API Cliente WU Automatic updates Update manager Update handlers Almacén de contenido Metadata DB WU Cliente BITS
    • Cosas a tener en cuenta
      • ¿Que Base de datos voy a usar?
      • ¿Necesito una jerarquía?
      • ¿Necesito replicas?
      • ¿Que método vamos a usar para instalar las actualizaciones?
      • ¿Donde voy a almacenar las actualizaciones?
      • ¿En que idiomas tengo los productos que voy a actualizar?
      • ¿Cómo voy a configurar los clientes?
      • ¿Qué opciones de seguridad tengo que considerar?
    • ¿Que Base de datos voy a usar?
      • La mejor  :
        • Instalación local de WMSDE / MSDE.
        • SQL Server ya existente (local o remoto).
      • El principal factor es la infraestructura existente.
        • WMSDE/MSDE valdrá en la mayoría de los casos.
        • Utilizar SQL solamente si ya está instalado y tiene capacidad de aguantar más carga
      • No modificar nunca directamente los datos en SQL.
      • Usar WSUSUtil.exe para backup
    • Jerarquías y Réplicas
      • Autónomo = padre/hijo
        • Solo los elementos comunes suponen ancho de banda
        • El almacén del padre es el común múltiplo de todos las aprobaciones de los hijos.
      • Replica = Configuración espejo.
        • Solamente la pertenencia a grupos es única.
      • Puede repartir parcialmente las tareas de administración.
      • Útil para distribuir la sobrecarga de red.
      • Se configura durante la instalación y no puede cambiarse luego. El despliegue puede consistir en múltiples capas de servidores WSUS
    • Servidor único
    • Servidores de réplica
    • Delegaciones
    • Redes desconectadas Desktop Clients Microsoft Update WSUS Server WSUS Server
    • ¿Qué método vamos a usar para instalar las actualizaciones? Instalación Express vs. estándar
      • Instalación estándar: Descarga y reemplaza el fichero completo.
        • Más costoso para el cliente y la red local
      • Instalación Express: Descarga e instala solo “deltas” (diferencias)
        • Más costoso para el servidor WSUS y el enlace WAN
    • ¿Donde voy a almacenar las actualizaciones? Opciones de almacenamiento
      • Dos opciones:
        • Sistema de archivos local
        • Microsoft Update (solo almacenamos la información acerca de las actualizaciones)
      • Depende de dónde estén los clientes en relación al WSUS
        • Clientes en “red local” – Local file system
        • Clientes “fuera” – Microsoft Update
      • Por defecto son todos (3 tipos de Chino, dos de Japonés además del Coreano....)
        • Eso es MUCHO tráfico y MUCHAS Gigas
      • WSUS solamente podrá informar sobre un cliente si los datos para su idioma se han descargado
      • Recomendación: No almacenar los datos localmente si hay gran variedad y variabilidad de idiomas
      ¿En que idiomas tengo los productos que voy a actualizar? Locales
    • ¿Qué opciones de seguridad tengo que considerar?
        • WSUS siempre detrás de un firewall
        • Sobre el sistema operativo securizado
        • Utilizar siempre SSL
          • Los clientes deben validarse con su certificado de máquina para recibir las actualizaciones
          • Usar una CA pública si no se tiene la opción de distribuir una CA raíz corporativa (nada más sencillo con Directorio Activo)
    • Opciones de configuración del cliente
      • Nombre del servidor WSUS (en formato http://server:8530).
      • Target Group (debe haberse creado previamente en WSUS).
      • Tiempo de búsqueda de nuevas actualizaciones después de reiniciar.
      • Frecuencia de actualización del cliente
      • No reiniciar automáticamente tras la instalación.
      • Demorar el reinicio
      • Comportamiento de la descarga y la instalación
      • Frecuencia de los recordatorios para reiniciar tras la instalación
      • Instalar actualizaciones al Apagar
      • Apariencia del botón de Apagar
      • Usuarios no administradores pueden aprobar descargas e instalaciones
    • ¿Cómo voy a configurar los clientes?
      • Manualmente / Scripts
        • HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindowsWindowsUpdate
      • Por políticas (WUAU.ADM)
        • Locales = Manualmente (gpedit.msc)
        • GPOs en Directorio Activo
      • Ver la “Deployment Guide ”
    • Migración desde SUS 1.0
      • Puntos a tener en cuenta:
        • La instalación NO actualiza.
        • Se migra el contenido y las aprobaciones, no la configuración.
      • Dos Escenarios
        • Al mismo servidor
        • A un servidor remoto
    • RECURSOS
      • Página principal de WSUS:
      • http://www.microsoft.com/windowsserversystem/updateservices/default.mspx
      • SDK:
      • http://msdn.microsoft.com/library/default.asp?url=/library/en-us/wus/wus/portal.asp
      • Documentación Online:
      • http://www.microsoft.com/windowsserversystem/updateservices/techinfo/default.mspx
        • Deployment Guide
        • Operations Guide
        • Troubleshooter
    • Web MVPs
    • Defensa Nivel 7: Firewall de Aplicación: ISA Server 2004 Chema Alonso MS MVP Windows Security Informática64
    • Firewalls
      • Se introducen entre redes para cortar tráfico.
      • Implican la separación física de las redes para permitir que pasen o no los mensajes.
      • Pueden inspeccionar la torre completa de comunicaciones y reconocer sesiones.
    • Firewalls
      • Firewall de Red:
        • Filtrado de direcciones IP, puertos, tipo de protocolos y flags de cabeceras.
        • Filtrado discreto de paquetes.
        • Implementados en Routers de conexión.
        • Implementados por Software en protocolos de comunicaciones.
    • Firewalls
      • Firewall Nivel de Aplicación:
        • Inspeccionan y reconocen el protocolo utilizado en una sesión.
        • Pueden utilizar para la toma de decisiones todos los objetos de seguridad de una red integrándolos en un árbol LDAP.
        • Reglas complejas que pueden requerir el establecimiento de sesiones completas entre firewall y el cliente.
    • ISA Server: Novedades
        • Enterprise Edition
          • Gestión Empresarial
          • Arrays
          • Network Load Balancing
        • ISA Server 2004 Appliance
          • Pre-configurado y Pre-testeado
          • Configuración bastionada para reducir la superficie de ataque
          • Sencillez
        • ISA Server SE 2004 SP1
    • Arquitectura ISA Server 2004
      • Firewall multired:
        • Nivel de Red.
        • Nivel de Aplicación.
      • Servidor VPN:
        • Túneles.
        • Clientes.
      • Servidor Caché.
    • Soporte Multired
      • ISA Server 2004 divide los sistemas de red en función de las necesidades planteadas en el marco de la seguridad.
        • Definición de redes y grupos de redes.
        • Definición de la interconexión entre redes mediante NAT o enrutamiento.
      • Permite gestión independiente.
      • Presenta soporte para redes.
        • Internas.
        • Perimetrales.
        • Externas.
        • Interconexión sitios VPN.
        • VPN de Cuarentena.
    • Características de seguridad.
      • Filtros IP.
      • Reglas de acceso.
      • Publicación de servicios.
      • Filtros de aplicación.
    • Filtros IP
      • Filtrado IP a nivel de paquetes.
      • Inspección de parámetros en cabeceras.
      • Bloqueos de fragmentos IP.
    • Reglas de acceso
      • Controlan el tráfico de información a través de las redes.
      • Determinan la configuración de origen, destino, protocolos y usuarios que realizan la conexión.
      • La aplicación de las reglas se determinan en un orden, quedando predefinida una regla que deniega cualquier tráfico de red.
    • Reglas de acceso
      • ISA Server 2004 proporciona una serie de reglas con los que se puede controlar la información que circula por la red en función de:
        • Protocolos.
        • Usuarios.
        • Tipos de contenido.
        • Franjas de tiempo.
        • Objetos de red.
    • Reglas de Publicación
      • Se utilizan para publicar servidores.
      • Asistentes de publicación:
        • Web Server.
        • Secure Web Server.
        • Mail Server.
        • Definición de servidores por servicios.
    • Firewall de aplicación
    • Necesidades
      • Inspeccionar el tráfico al nivel de aplicación.
      • Permitir o denegar el paso de datos a determinados contenidos o aplicaciones.
      • Proporcionan controles sobre determinados ataques.
      • Sistema extensible sobre filtrados de conexiones.
    • Métodos de implementación
      • Implementadas directamente sobre las reglas de acceso y las publicaciones.
      • Como un añadido sobre reglas y publicaciones.
      • Como funcionalidad sobre ISA a nivel Firewall.
    • Filtro HTTP
      • Las necesidades de la empresa permiten el tráfico a través del puerto 80.
      • Por el puerto 80 no solo viaja tráfico HTTP puro, sino que puede disfrazar otras comunicaciones.
        • Malware.
        • P2P.
        • Servicios de mensajería …
      • Determinados ataques contra Servicios Web pueden ser controlados a este nivel.
    • Controles HTTP
      • Mediante el filtro HTTP pueden ser controlados estos aspectos de la comunicación:
        • Técnicas de Buffer Overflow.
        • Denegación de servicio.
        • Subida de datos en escenarios de publicación.
        • Control de métodos.
        • Control de cabeceras.
    • Filtro contenido HTTP
      • Controlan el tráfico de datos a través de firmas.
        • En transmisión de datos.
        • En recepción de datos.
      • Impedir tráfico a palabras claves.
        • Control de acceso a sitios web.
      • Detención de comunicaciones de aplicaciones por firma y cabecera.
    • Control de aplicaciones HTTP Morpheus Server Response header Morpheus e2dk User-Agent: Request headers Edonkey Gnutella Gnucleus User-Agent: Request headers Gnutella KaZaA X-Kazaa-Network: Request headers Kazaa KazaaClient User-Agent: Request headers Kazaa Kazaa, Kazaaclient: P2P-Agent Request headers Kazaa msg.yahoo.com Host Request headers Yahoo Messenger Gecko/ User-Agent: Request headers AOL Messenger (and Gecko browsers) MSMSGS User-Agent: Request headers Windows Messenger Firma Cabecera HTTP Petición Aplicación
    • Filtro ProxyWeb
      • Se aplica de forma directa sobre HTTP.
      • Permite la extensión del filtro HTTP y de autentificación sobre otros protocolos.
      • Garantiza el control sobre comunicaciones en entornos propietarios.
    • Protocolos RPC
      • Un número considerables de servicios se establecen mediante RPC.
      • Problemática de las transmisiones RPC.
        • Inicio de comunicación sobre 135 para localizar el puerto de comunicación.
        • Establece comunicación en puertos por encima de 1024.
      • El administrador no debería abrir todos los puertos por encima del 1024.
    • Filtro RPC
      • Las comunicaciones RPC se pueden parametrizar por el UUID.
        • Identificador del servicio RPC.
        • Identificador del interface.
      • ISA Server 2004 presenta un asistente para la creación de protocolos RPC basados en UUID.
        • Manual.
        • Automáticamente conectando a un servidor y seleccionando sus UUID correspondientes.
      • El servicio de Firewall aplica con posterioridad los filtros para permitir la transferencia de datos a UUID determinados.
    • Transmisión RPC
    • Filtro SMTP
      • ISA Server 2004 para el protocolo SMTP presenta un filtro que realiza el control de los comandos SMTP.
      • Se puede ampliar la funcionalidad del filtro SMTP mediante Message Screener.
    • Message Screener
      • Message Screener se instala como un componente adicional de MS ISA 2004.
      • Puede ser instalado sobre cualquier servidor que ejecute IIS 5.0 o 6.0 y tenga instalado el Servidor SMTP.
      • No se recomienda su implementación sobre el servidor MS Exchange Server 2003, ya que podría interferir en los filtros propios.
    • Implicaciones de Implantación
      • En función de los escenarios de implantación, habrá que tener en cuenta las siguientes medidas:
        • Publicar DNS para reconocer los Servidores de correo Internos.
        • Publicar o crear las reglas de acceso necesarias para los servidores SMTP.
        • Establecer conexiones entre servidores SMTP.
    • Message Screener
      • Message Screener aporta mayores funcionalidades que el filtro smtp controlando:
        • Palabras en cabecera o cuerpo del mensaje.
          • Permite parar Virus difundidos por e-mail cuando aún no hay vacunas.
        • Bloqueos de remitente y dominios.
        • Correos con attachments.
    •  
    • Message Screener
      • Cuando se aplica una regla de filtrado se pueden establecer 3 acciones diferentes:
        • Eliminar el mensaje.
        • Retener el mensaje para inspeccionarlo posteriormente.
        • Enviar una notificación a una dirección de correo.
    • Filtro FTP
      • Controla la conexión a través de los puertos dinámicos FTP.
      • Realiza la conversión de las direcciones para los clientes SecureNat.
      • Controla los procesos de escritura, prioritariamente en entornos de publicación.
    • Filtros de autentificación
      • ISA Server 2004 presenta una serie de mecanismos para garantizar los procedimientos de autentificación.
        • Integración con Directorio Activo.
        • Filtro Web RSA para autentificación de usuarios SecurID.
        • Filtro de autentificación Radius.
        • Filtros de formulario de autentificación para OWA.
    • DEMO Filtro HTTP
    • Bridging HTTP-s con ISA Server 2004
    • “Problemática” HTTP-s
      • Conexiones HTTP-s ofrecen:
        • Autenticación mediante certificados.
        • Cifrado mediante túneles SSL.
      • Conexiones HTTP-s condicionan:
        • Transmisión datos extremo-extremo.
        • Paso a través de sistemas de protección de forma oculta.
    • “Problemática” HTTP-s
      • Conexiones HTTP-s
        • Firewalls e IDS no pueden inspeccionar tráfico.
        • Ataques pasan sin ser detectados por firewalls:
          • SQL Injections.
          • Cross-Site Scripting (XSS)
          • Red Code.
          • Unicode.
    • “Problemática” HTTP-s
      • Cifrado y autenticado es útil contra:
        • Sniffers.
        • Man In The Middle.
      • Pero hay que dejar que los sistemas de protección inspeccionen el contenido.
        • Firewalls.
        • IDS.
    • Bridging HTTP-s
      • El proceso de Bridging en conexiones HTTP-s permite que las conexiones se cifren en dos tramos.
        • Entre cliente y Firewall.
        • Entre Firewall y Servidor.
    • Bridging HTTP-s
      • Ventajas:
        • El Firewall puede inspeccionar el contenido.
        • Se pueden aplicar reglas mediante filtros.
        • Se pueden detectar ataques.
        • No se pierde seguridad.
        • Si se desea, se puede dejar descifrado para inspecciones NIDS.
    • Bridging HTTP-s
      • MS ISA Server 2004 permite:
        • Tunneling HTTPS por cualquier puerto.
          • MS ISA Server 2000 hay que configurar puertos SSL.
        • Bridging HTTPS con:
          • Cifrado entre cliente-firewall y firewall servidor.
          • Cifrado entre cliente-firewall.
          • Cifrado entre firewall-Servidor.
    • DEMO Bridging HTTPS
    • Addons
    • Addons
      • ISA Server 2004 presenta una arquitectura abierta para:
        • Desarrollar (SDK ISA Server).
        • Implementar nuevas herramientas.
      • Software de terceros amplían las funcionalidades de ISA Server 2004.
    • Tipos de Addons
      • Implementaciones de antivirus para ISA Server.
      • Gestión de tráfico web. Websense.
      • Gestión de tráfico y aplicación de cuotas.
      • Ampliación de los componentes Sockets.
      • Mejoras en sistemas de detección de intrusos.
    • Detección de Intrusos
      • El servicio proporciona un mecanismo para identificar cuando se está produciendo un ataque.
      • ISA Server compara el tráfico de red con registros y patrones de ataques bien conocidos.
      • Cuando un ataque es reconocido se genera una alerta.
    • Controles
      • Ataques Winnuke.
      • Ataques tipo Land.
      • Ping de la muerte.
      • Ataques Half-Scan.
      • Bombas UDP.
      • Escaneo de puertos.
    • Detección de ataques DNS
      • Desbordamiento de nombres de HOST sobre DNS.
      • Desbordamiento de longitud DNS.
      • Control de trasferencias de zona.
    • RECURSOS:
      • Guía de la consolidación de Seguridad de ISA Server 2004.
      • http:// www.microsoft.com / spain /technet/recursos/ articulos / securityhardeningguide.mspx
    • IT Forum en Barcelona (15-17 Nov) http:// www.mseventseurope.com / msitforum /05/ pre / content / default.aspx
      • MÁS DE 260 SESIONES TÉCNICAS E INTERACTIVAS , incluyendo; Chalk-&-Talks y Panel Discussions para fomentar sus aptitudes técnicas.
      • Una selección de SEMINARIOS PRECONFERNCIA para acelerar su aprendizaje.
      • MÁS DE 65 HANDS-ON LABS (PRÁCTICAS CON ORDENADOR) para ponerse al día con las últimas novedades.
      • CONTENIDO NUEVO EN ; Windows Server R2, SQL Server 2005, BizTalk Server 2006, Windows Vista y la siguiente versión de Microsoft Office así como Navision, Microsoft CRM y Great Plains.
      • LOS MEJORES CONFERENCIANTES de los Grupos de Producto de Microsoft y expertos internacionales de la industria.
      • PRESENTACIÓN DE KEYNOTE – Bob Muglia, Vicepresidente Senior, División de Windows Server.
      • PREGUNTE A LOS EXPERTOS que desafían problemas técnicos en un entorno renovado.
      • COMUNIDAD DEL IT FORUM DE MICROSOFT – Conecte con los profesionales que vienen a inspirarnos compartiendo sus ideas y conocimiento.
      • PABELLÓN DE EXHIBICIÓN donde más de 100 partners y patrocinadores mostrarán soluciones que le ayudarán con su trabajo.
      • INCREMENTE SU PRODUCTIVIDAD y respalde su negocio con nuevas oportunidades e ideas.
    • TechNet Flash
      • Información técnica del producto
      • Los últimos Boletines de Seguridad y actualizaciones de Microsoft
      • Nuevos Service Packs y artículos Knowledge Base de Microsoft
      • Downloads, Pruebas y Betas
      • Convocatoria de Seminarios y Jornadas Técnicas TechNet
      • Información de los Foros TechNet
      • Próximos Videos Técnicos Online
      • Trucos, pistas
      • Suscríbete en http:// www.microsoft.com /spain/technet
    • TechNews
      • Suscripción gratuita enviando un mail:
        • mailto:technews@informatica64.com
    • Technet Webcasts
      • Seminarios Online gratuitos en castellano
        • 1 hora de duración
        • Tecnología LiveMeeting
        • En directo y también grabados
        • Organizados por temáticas
          • Directorio activo
          • Exchange
          • IIS 7
          • SQL 2005
          • Gestión de Actualizaciones de seguridad
          • Novedades para Windows Server 2003
          • Despliegue de sistemas y aplicaciones
      • Más información en:
        • http:// www.microsoft.com /spain/technet/jornadas/webcasts/ default.asp
    • ¿Preguntas? Chema Alonso Microsoft MVP Windows Security [email_address] . com David Cervigón Microsoft IT Evangelist [email_address] http:// blogs.technet.com / davidcervigon Jose Parada Microsoft IT Evangelist [email_address] http:// blogs.technet.com / padreparada