Servidor Transporte de perímetro
Download
Report
Transcript Servidor Transporte de perímetro
►Mejoras y nuevas características en seguridad
►Configuración de Seguridad en Exchange Server 2010
Desafíos
y amenazas en materia de seguridad
Implantación del servidor Transporte de perímetro
Configuración de certificados y acceso seguro
desde Internet
Implantación de firma digital y cifrado de mensajes
de correo
Configuración de seguridad de dominio (Mutual
TLS)
►Configuración de higiene de mensajes y agentes anti
SPAM
► Control de información y cumplimiento legal
Amenazas
en la gestión de la información
¿Porque es importante el cumplimiento legal?
Novedades en el control de información
Control de los mensajes con reglas de transporte
Configuración de carpetas administradas para el
cumplimiento de normativas
Configuración de registro en diario (journaling)
Configuración de políticas y etiquetas de retención
Configuración de archivo personal
Moderación de buzones
Implementación de derechos de información con AD RMS
e-Discovery y auditoría
►Nuevo modelo de acceso basado en roles (RBAC)
►Integración IRM en Outlook Web App y reglas de
transporte
►Archivo personal
►e-Discovery
►Moderación de mensajes
►Cifrado automático de correo electrónico y mensajes
de voz
►Políticas de retención de mensajes
►Mejoras en la auditoría de tareas adminstrativas
►Cada vez mas, la seguridad es un factor crítico en las
organizaciones
►La mensajería es uno de los servicios más atacados y
vulnerables por su propio diseño
►Una buena estrategia de seguridad en profundidad,
basada en capas, es la clave para reducir el riesgo
►El administrador de la infraestructura de mensajería
debe hacer frente a amenazas como:
Virus
Troyanos
SPAM
Phising
Denegación de servicio
Suplantación de identidad
Robo de credenciales
Captura de mensajes en tránsito
Uso fraudulento de pasarelas SMTP
►La estrategia de seguridad consiste en:
Aplicar
un modelo de seguridad en capas
Cifrar
comunicaciones y mensajes
Implementar
servicios de detección y filtrado
Implementar
servicios de recuperación rápida
Autenticar
Registrar
Realizar
equipos y usuarios
conexiones, eventos y tareas administrativas
una gestión adecuada de actualizaciones de
seguridad
►Actúa como pasarela SMTP con filtrado en varios
niveles
►Fortalece la seguridad la cadena de transporte
►Se instala en un servidor independiente,
sin ninguna
relación con del Directorio Activo o el dominio
►Incluye servicios de autenticación mediante ADAM,
el cual se sincroniza con el Directorio Activo
►Se implanta como primera capa fortificada
►Rol de servidor Edge Transport
►Requisitos
Edge
“multihomed”
Resolución
de nombres
Desde
Edge a todos los Hub Transport
Desde
los Hub Transport a todos los Edge
Puertos:
50389 LDAP
50636 LDAP
Seguro
25
SMTP
53
DNS (opcional)
►Crear y exportar la configuración de suscripción
New-EdgeSubscription
–file
“C:\EdgeSubscriptionExport.xml”
►Transferir el archivo al Hub Transport Server
►Importar la configuración y suscribir al Edge
►Iniciar la sincronización manual
Start-EdgeSynchronization
►Verificar la suscripción
Get-AcceptedDomain
►Datos que se replican hacia ADAM
Send
connector configuration
Accepted
Remote
Safe
domains
domains
Senders Lists
Recipients
►Los certificados permiten establecer canales seguros,
cifrados y autenticados para el transporte de
mensajes o el acceso de clientes
►Reduce el riesgo de robo de credenciales y robo de
información privada
►Requisitos:
Entidad
certificadora raíz de confianza
Certificados de servidor
Servicios y clientes que soporten SSL/TLS
►Ámbito de aplicación:
SMTP
POP3,
IMAP
OWA, ActiveSync, Outlook Anywhere
►Un nuevo asistente
permite crear fácilmente
una solicitud de
certificado para cada
servicio de Exchange 2010
►Esta solicitud se debe
enviar a la Entidad
Certificadora para que sea
aprobada y firmada
► Permite
el envío y recepción de mensajes cifrados y
firmados
► Reduce el riesgo de suplantación de identidad,
modificación del mensaje y robo de información privada
► Requisitos:
Entidad
certificadora raíz de confianza
Certificados de usuario
Clientes que soporten S/MIME
► Ámbito de aplicación
Outlook
2003 / 2007
OWA 2003 / 2007
ActiveSync (Pocket Outlook en Windows Mobile 5.0 con MSFP)
Outlook Express
Otros
► La seguridad de dominio es una alternativa
de bajo coste a
S/MIME
► El objetivo es proporcionar tráfico seguro de mensajes en
internet con socios de negocio o empresas colaboradoras
► Utiliza autenticación mutua TLS a nivel de sesión para
autenticar y cifrar los mensajes
Generar una solicitud de certificado para certificados
TLS
Importar certificados a servidores de transporte
perimetral
Configurar la seguridad de dominio saliente
Configurar la seguridad de dominio entrante
Probar el flujo de correo seguro de dominio
► Para crear
la solicitud de certificado
$Data1
= New-ExchangeCertificate -GenerateRequest FriendlyName "Internet certificate for mail1" SubjectName
"DC=com,DC=Contoso,CN=mail1.contoso.com" DomainName mail.contoso.com
Set-Content
-Path "C:\Certificates\mail1-request.req" Value $Data1
► Para importar
el certificado y asignar el servicio SMTP
Import-ExchangeCertificate
-FileData ([Byte[]]$(GetContent -Path C:\Certificates\mail1-certificate.pfx Encoding Byte -ReadCount 0)) | EnableExchangeCertificate -Services SMTP
►Para configurar la seguridad de dominio saliente
Set-TransportConfig
-TLSSendDomainSecureList
woodgrovebank.com
Set-SendConnector
Internet DomainSecureEnabled:$true
►Para configurar la seguridad de dominio entrante
Set-TransportConfig
–TLSReceiveDomainSecureList
woodgrovebank.com
Set-ReceiveConnector
Internet DomainSecureEnabled $true -AuthMechanism TLS
►1. Agente de filtrado de conexión
►2. Agente de filtrado de remitente
►3. Agente de filtrado de destinatario
►4. Agente de Identificación de remitente (SenderID)
►5. Agente de filtro de contenido
►6. Agente de filtrado de adjuntos
►7. Agente de escaneo de antivirus
►8. Filtro de correo no deseado de Outlook
►Una buena estrategia Anti
SPAM implica la configuración
adecuada de todos los niveles
de filtrado y el uso de todos
ellos
►Los primeros niveles de filtrado
reducen la necesidad de
procesamiento y uso de ancho
de banda, ya que el mensaje ni
siquiera llega a salir del
spammer
►Las listas negras y los proveedores de listas negras
proporcionan una forma de filtrar los orígenes de
SPAM de forma rápida y eficiente
►Los proveedores de listas negras (RBLs) mantienen
un listado de direcciones IPs desde donde se ha
detectado el envío de correo no deseado, exploits,
malware, etc.
►Seleccionar un buen conjunto de proveedores es
fundamental dentro de la estrategia de seguridad
anti SPAM
► SPAMHAUS.org
Dispone
de tres tipos de listas
XBL: Lista de sitios de envío de
contenido malware y
potencialmente peligroso
SBL: Lista de sitios de envío de
correo comercial no deseado
PBL: Lista de rangos de IPs de
asignación dinámica desde
donde no se debería enviar
correo electrónico (ADSLs de
casa, Modems, Internet por
Cable)
►Configuración de SPAMHAUS.org en Exchange Server
2007
Dominio
Códigos
de consulta: zen.spamhaus.org
de respuesta:
►Otros proveedores:
SenderBase.org
DNSBL.info
BarracudaCentral.org
SpamCannibal.org
SpamCop.net
SORBS.net
► El servidor perimetral
de
Exchange Server 2010 es capaz
de consultar al ADAM para
rechazar aquellos mensajes
dirigidos a destinatarios no
existentes.
► Esta opción permite no tener de
aceptar y procesar el mensaje si
el destinatario no existe.
► El rechazo
del mensaje (REJECT)
implica que éste no sale del
spammer, y por lo tanto no se
generan NDRs por no poder
entregar el mensaje.
►El Spoofing de direcciones
propias es una técnica
habitual en el envío de
SPAM
►El servidor perimetral de
Exchange Server 2010,
mediante el filtro de
remitente puede bloquear
los mensajes que se
originen en Internet y traten
de suplantar el dominio de
la organización
►Directory Harvesting es un término que se refiere a la
capacidad de encontrar direcciones válidas de correo
haciendo uso de fuerza bruta u otros métodos
►El uso de la opción de bloqueo de mensajes si el
destinatario no está en la GAL puede dar ventajas
para un Directory Harvesting
►Para contrarrestar esto, es necesario configurar las
opciones de Tar-Pitting, es decir un retraso en las
respuestas de verificación de las direcciones SMTP
por cada dirección no válida que se envía.
►Se introdujo por primera vez en Windows Server
2003 en el año 2004 y posteriormente en el SP1
http://support.microsoft.com/kb/899492
►Configuración de Tar Pitting en Exchange Server 2010
►Se recomienda establecer intervalos de 5 en 5
segundos.
► Sender ID es una
iniciativa de Microsoft y
otras empresas para
ayudar a combatir el
spoofing.
►Funciona verificando
cada correo entrante.
► El objetivo es comprobar
contra una serie de
servidores DNS que el
mensaje se ha originado
en el dominio y desde los
servidores SMTP
autorizados.
►Los registros SPF se publican en
los DNS del dominio remitente y
establecen la lista de servidores
autorizados par el envío de
correo perteneciente a dicho
dominio
►Opciones de filtrado de Sender
ID en Exchange Server 2010
Aceptar
el mensaje
Rechazar
Marcar
el mensaje
y seguir el procesamiento
Resultado de Sender ID
Descripción
Acción
Neutral
Dominio neutral (no se toman decisiones)
Registrar y aceptar
Pass (+)
Dirección IP permitida
Registrar y aceptar
Fail (-)
- El dominio no existe
- Remitente no permitido
- Dominio mal formado
- Encabezado sin PRA
(Purported Responsible Address)
Dirección IP no permitida
Registrar y aceptar,
después eliminar o
rechazar
Soft Fail (~)
Dirección IP no permitida
Registrar y aceptar
None
No existe entrada SPF publicada en
el DNS del dominio
Registrar y aceptar
TempError
Error en la transmisión (Puede ser
un DNS inalcanzable)
Registrar y aceptar
Perm Error
Posible error en el registro y no se
puede leer correctamente
Registrar y aceptar
►Se puede utilizar el Sender ID Framework SPF Record Wizard
Identificar
el Dominio
Seleccionar
opciones
y servidores SMTP
válidos
Crear
registro SPF
Agregar
registro tipo
TXT en los DNS
► http://www.microsoft.com/mscorp/safety/content/technologies/senderid/wizard
► El Backscatter (outscatter, misdirected bounces, blowback o
collateral spam) es el resultado de enviar mensajes de
respuesta a remitentes inocentes, cuyas direcciones han sido
suplantadas para el envío de SPAM
► Si el mensaje no se rechaza durante la conexión, el servidor que
recibe podría aceptar dicho mensaje y después de analizarlo,
descartarlo y enviar un NDR al remitente
► Para combatir el problema:
Validación de destinatario
Verificación de registros SPF
Rechazo de servidores sin registros inversos (PTR)
Rechazo de remitentes en listas negras
BATV: bounce Address Tag Validation): Token criptográfico
identificativo de la dirección de retorno
DKIM
►El filtro de reputación de remitente realiza diversas
pruebas y analiza los datos de SCL aplicados
anteriormente para determinar un valor SRL (Sender
Reputation Level)
►Fuga de información
►Falta de control interno
►Pérdida de datos
►Espionaje industrial
►Incumplimiento de normativas y legalidad
►Ataques deliverados
► Impacto legal y financiero
El
incumplimiento legal puede tener como consecuencia
multas que pueden ascender a millones de €
Costes en juicios, indemnizaciones y abogados
Cada vez hay más regulación y es más estricta a nivel nacional
e internacional
► Impacto en la credibilidad y la imagen
Daño en la imagen pública de la organización
La información filtrada al exterior puede poner en serios
aprietos a la organización
► Pérdida de competitividad
La fuga de información de planes puede suponer una pérdida
de inversionistas y cotización en bolsa
Pérdida de capital intelectual, resultados de investigaciones u
otros datos importantes para el negocio.
►¿Como se gestionan los datos de los clientes?
►¿Existen políticas para proteger dichos datos?
►¿Se transmite la información de forma confidencial
cuando se hace uso del correo electrónico?
►¿Hay control sobre quien puede ver información
confidencial y a donde se puede enviar?
►¿Se cumple con los requisitos legales?
►¿Existen leyes que prohiban expresamente la
comunicación entre diferentes grupos de la
organización?
►¿Existe la obligación de almacenar o eliminar la
información pasado cierto tiempo?
►Las organizaciones deben proporcionar evidencias de
litigio o documentación diversa a los organismos
reguladores si se les solicita (incluidos los mensajes
de correo electrónico).
►Un incumplimiento podría suponer una fuerte
sanción, incluso la apertura de un proceso penal
contra los responsables.
►Por ello deben considerar el cumplimiento legal
como parte de sus planes de infraestructuras,
incluyendo el correo electrónico.
►
Las organizaciones multinacionales deben considerar la legislación de cada
país en donde tienen una sede.
Sarbanes-Oxley Act of 2002 (SOX)
Security Exchange Commission Rule 17a-4 (SEC Rule 17 A-4)
National Association of Securities Dealers 3010 & 3110 (NASD 3010 &
3110)
Gramm-Leach-Bliley Act (Financial Modernization Act)
Financial Institution Privacy Protection Act of 2001
Financial Institution Privacy Protection Act of 2003Health Insurance
Portability and Accountability Act of 1996 (HIPAA)
Uniting and Strengthening America by Providing Appropriate Tools
Required to Intercept and Obstruct Terrorism Act of 2001 (Patriot Act)
European Union Data Protection Directive (EUDPD)
Japan’s Personal Information Protection Act
Ley Orgánica de Protección de Datos (LOPD)
►Políticas y etiquetas de retención
►Archivo personal
►Moderación de buzones
►Integración con AD RMS
►e-Discovery y auditoría
►Registro en diario (Journaling)
Bases
de datos
Buzón
Carpetas
administradas
►Políticas de retención (Retention Policies)
Directivas
personalizadas que definen que se debe
hacer con una clase de mensaje determinado
pasado cierto tiempo
Tienen
vinculadas etiquetas de retención
(Retention Tags) en donde se definen los tiempos,
la acción y el destino de los mensajes.
►El servicio de Messaging Records Management
(MRM) es el que se encarga de aplicar las directivas
configuradas con una frecuencia programada
►Complementan a las carpetas administradas
introducidas en Exchange Server 2007
►En Exchange 2010 se pueden crear 3 tipos de
etiquetas de retención
Retention Policy Tag (RPT)
Default Policy Tag (DPT)
Personal Tags (PT)
►Las acciones disponibles son
Mover al archivo personal (Move to Archive)
Mover a la carpeta de elementos eliminados
Eliminar y permitir la recuperación
Eliminar permanentemente
Marcar que el límite de retención ha expirado
► El almacenamiento
de mensajes antiguos siempre ha sido un
problema para las organizaciones.
Cumplimiento legal
Copias de seguridad
Control de la información
► Los almacenes .pst en el cliente Outlook no solucionan el
problema.
No están controlados
Aumento en costes de auditoría
No se pueden aplicar políticas de retención
Riesgo de pérdida de información
Riesgo de fuga o robo
Dispersión de la información
► Para aquellas organizaciones que necesiten controlar, almacenar y
auditar la información antigua, Exchange 2010 incorpora el Archivo
personal.
►Solución básica de archivo del
lado del servidor.
►Se elimina el uso de .pst distribuidos y difíciles de
controlar.
►Con la misma experiencia para el usuario.
Accesible
desde Outlook 2010 y OWA 2010
►Puede ser un destino de las políticas de retención.
►Requiere que el buzón de archivo esté en la misma
base de datos que el buzón principal.
►La cuota del archivo personal es independiente de la
cuota del buzón principal.
► Proporciona
un control humano de los
mensajes que llegan a ciertos buzones o
listas de distribución
► Hasta ahora la forma de controlar el
flujo de mensajes era mediante las
restricciones de envío o recepción.
►Integrado en las reglas de transporte
► Escenarios:
Control de mensajes enviados a
grupos de distribución
Control de mensajes enviados a
buzones ejecutivos
Control de mensajes enviados a
contactos externos (socios de
negocio)
►Importante: Si el mensaje se
envía a un Hub Transport
Server de Exchange 2007, se
ignora el proceso de
moderación.
►Opciones de moderación:
Aceptar
Rechazar
Rechazar
con comentarios
►La tecnología IRM (Information Rights Management)
permite proteger de forma persistente los mensajes y
adjuntos enviados desde Exchange Server
►Las aplicaciones deben soportar AD RMS para poder
crear o leer contenido protegido
►IRM ayuda a lo siguiente:
Previene que los destinatarios autorizados para
leer el mensaje pueda reenviar, modificar, copiar,
guardar, imprimir o enviar por fax dicho mensaje y
sus adjuntos.
También se previene el uso de capturas de pantalla
Se pueden establecer fechas de caducidad del
mensaje
►Múltiples puntos de protección
Manualmente
desde Outlook
Manualmente
desde Outlook Web App
Automáticamente
desde Outlook 2010
Automáticamente
desde los servidores de
transporte
► Exchange 2010 permite el
descrifrado del contenido protegido
por motivos de políticas internas,
cumplimiento de legalidad,
auditorías, investigaciones internas,
etc.
Descifrado a nivel de transporte
Descifrado de informes de
registro de diario (Journal)
Descifrado en búsquedas multi
buzón (e-Discovery)
► Para ello se requiere agregar el
buzón Federated Delivery Mailbox
al grupo de superusuarios en AD
RMS
► Para conprobar el funcionamiento
Test-IRMConfiguration
►Agentes de transporte relacionados con IRM
Agent e
Event o
Función
RMS Decryption agent
OnEndOfData (SMTP) &
OnSubmittedMessage
Descifra los mensajes para permitir el acceso a los
agentes de transporte,
OnRoutedMessage
Señala los mensajes que coinciden con una regla para
que se le aplique protección IRM por el agente de
cifrado RMS.
RMS Encryption agent
OnRoutedMessage
Aplica protección IRM a los mensajes señalados y
vuelve a cifrar los mensajes descifrados por el
transporte.
Pre-Licensing agent
OnRoutedMessage
Adjunta una pre-licencia a los mensajes protegidos
con IRM
OnCategorizedMessage
Descifra los mensajes IRM adjuntos a un informe de
registro de diario e incluye una versión en texto claro
junto con el mensaje original cifrado.
Transport Rule agent
Journal Report Decryption
agent
►Muchas organizaciones requieren disponer de acceso
a mensajes y documentos por motivos de auditorías
internas, investigaciones criminales, requisitos
legales, juicios o demandas.
►La capacidad de búsqueda en múltiples buzones de
Exchange Server 2010 ofrece un cumplimiento de
dichos requisitos, sin afectar ni interrumpir al usuario
final.
►Se basa en la capacidad de indexación del servicio
Exchange Search.
►El acceso se realiza mediante Exchange Control Panel
y está completamente integrado con los permisos
granulares de control de acceso basado en roles
(RBAC).
►El grupo Discovery
management consiste en dos
roles:
Mailbox
Search: Permite
realizar las búsquedas
Legal
Hold: Permite
configurar un buzón en un
estado de mantenimiento
legal
►La búsqueda incluye el buzón
principal, el archivo personal y
las conversaciones de IM
► Los resultados se almacenan en un buzón especial
denominado Discovery Mailbox.
Selección segura y filtrada del buzón de resultados
desde ECP
Cuota de almacenamiento de 50 GB por defecto
Seguro por defecto
Cuenta
deshabilitada
Permiso de acceso otorgado de forma explícita
El
envío a este tipo de buzón está prohibido por
restricciones de entrega
► Se pueden crear desde el Shell
New-Mailbox SearchResults -Discovery UserPrincipalName [email protected]
Suscripción gratuita en
[email protected]
►Informática 64
http://www.informatica64.com
[email protected]
+34
91 665 99 98
►Joshua Sáenz G.
[email protected]
www.saenzguijarro.com