Transcript Servidor Transporte de perímetro

►Mejoras y nuevas características en seguridad
►Configuración de Seguridad en Exchange Server 2010
Desafíos
y amenazas en materia de seguridad
Implantación del servidor Transporte de perímetro
Configuración de certificados y acceso seguro
desde Internet
Implantación de firma digital y cifrado de mensajes
de correo
Configuración de seguridad de dominio (Mutual
TLS)
►Configuración de higiene de mensajes y agentes anti
SPAM
► Control de información y cumplimiento legal
 Amenazas
en la gestión de la información
 ¿Porque es importante el cumplimiento legal?
 Novedades en el control de información
 Control de los mensajes con reglas de transporte
 Configuración de carpetas administradas para el
cumplimiento de normativas
 Configuración de registro en diario (journaling)
 Configuración de políticas y etiquetas de retención
 Configuración de archivo personal
 Moderación de buzones
 Implementación de derechos de información con AD RMS
 e-Discovery y auditoría
►Nuevo modelo de acceso basado en roles (RBAC)
►Integración IRM en Outlook Web App y reglas de
transporte
►Archivo personal
►e-Discovery
►Moderación de mensajes
►Cifrado automático de correo electrónico y mensajes
de voz
►Políticas de retención de mensajes
►Mejoras en la auditoría de tareas adminstrativas
►Cada vez mas, la seguridad es un factor crítico en las
organizaciones
►La mensajería es uno de los servicios más atacados y
vulnerables por su propio diseño
►Una buena estrategia de seguridad en profundidad,
basada en capas, es la clave para reducir el riesgo
►El administrador de la infraestructura de mensajería
debe hacer frente a amenazas como:
Virus
Troyanos
SPAM
Phising
Denegación de servicio
Suplantación de identidad
Robo de credenciales
Captura de mensajes en tránsito
Uso fraudulento de pasarelas SMTP
►La estrategia de seguridad consiste en:
Aplicar
un modelo de seguridad en capas
Cifrar
comunicaciones y mensajes
Implementar
servicios de detección y filtrado
Implementar
servicios de recuperación rápida
Autenticar
Registrar
Realizar
equipos y usuarios
conexiones, eventos y tareas administrativas
una gestión adecuada de actualizaciones de
seguridad
►Actúa como pasarela SMTP con filtrado en varios
niveles
►Fortalece la seguridad la cadena de transporte
►Se instala en un servidor independiente,
sin ninguna
relación con del Directorio Activo o el dominio
►Incluye servicios de autenticación mediante ADAM,
el cual se sincroniza con el Directorio Activo
►Se implanta como primera capa fortificada
►Rol de servidor Edge Transport
►Requisitos
Edge
“multihomed”
Resolución
de nombres
Desde
Edge a todos los Hub Transport
Desde
los Hub Transport a todos los Edge
Puertos:
50389 LDAP
50636 LDAP
Seguro
25
SMTP
53
DNS (opcional)
►Crear y exportar la configuración de suscripción
New-EdgeSubscription
–file
“C:\EdgeSubscriptionExport.xml”
►Transferir el archivo al Hub Transport Server
►Importar la configuración y suscribir al Edge
►Iniciar la sincronización manual
Start-EdgeSynchronization
►Verificar la suscripción
Get-AcceptedDomain
►Datos que se replican hacia ADAM
Send
connector configuration
Accepted
Remote
Safe
domains
domains
Senders Lists
Recipients
►Los certificados permiten establecer canales seguros,
cifrados y autenticados para el transporte de
mensajes o el acceso de clientes
►Reduce el riesgo de robo de credenciales y robo de
información privada
►Requisitos:
 Entidad
certificadora raíz de confianza
 Certificados de servidor
 Servicios y clientes que soporten SSL/TLS
►Ámbito de aplicación:
 SMTP
 POP3,
IMAP
 OWA, ActiveSync, Outlook Anywhere
►Un nuevo asistente
permite crear fácilmente
una solicitud de
certificado para cada
servicio de Exchange 2010
►Esta solicitud se debe
enviar a la Entidad
Certificadora para que sea
aprobada y firmada
► Permite
el envío y recepción de mensajes cifrados y
firmados
► Reduce el riesgo de suplantación de identidad,
modificación del mensaje y robo de información privada
► Requisitos:
 Entidad
certificadora raíz de confianza
 Certificados de usuario
 Clientes que soporten S/MIME
► Ámbito de aplicación
 Outlook
2003 / 2007
 OWA 2003 / 2007
 ActiveSync (Pocket Outlook en Windows Mobile 5.0 con MSFP)
 Outlook Express
 Otros
► La seguridad de dominio es una alternativa
de bajo coste a
S/MIME
► El objetivo es proporcionar tráfico seguro de mensajes en
internet con socios de negocio o empresas colaboradoras
► Utiliza autenticación mutua TLS a nivel de sesión para
autenticar y cifrar los mensajes
 Generar una solicitud de certificado para certificados
TLS
 Importar certificados a servidores de transporte
perimetral
 Configurar la seguridad de dominio saliente
 Configurar la seguridad de dominio entrante
 Probar el flujo de correo seguro de dominio
► Para crear
la solicitud de certificado
 $Data1
= New-ExchangeCertificate -GenerateRequest FriendlyName "Internet certificate for mail1" SubjectName
"DC=com,DC=Contoso,CN=mail1.contoso.com" DomainName mail.contoso.com
 Set-Content
-Path "C:\Certificates\mail1-request.req" Value $Data1
► Para importar
el certificado y asignar el servicio SMTP
 Import-ExchangeCertificate
-FileData ([Byte[]]$(GetContent -Path C:\Certificates\mail1-certificate.pfx Encoding Byte -ReadCount 0)) | EnableExchangeCertificate -Services SMTP
►Para configurar la seguridad de dominio saliente
Set-TransportConfig
-TLSSendDomainSecureList
woodgrovebank.com
Set-SendConnector
Internet DomainSecureEnabled:$true
►Para configurar la seguridad de dominio entrante
Set-TransportConfig
–TLSReceiveDomainSecureList
woodgrovebank.com
Set-ReceiveConnector
Internet DomainSecureEnabled $true -AuthMechanism TLS
►1. Agente de filtrado de conexión
►2. Agente de filtrado de remitente
►3. Agente de filtrado de destinatario
►4. Agente de Identificación de remitente (SenderID)
►5. Agente de filtro de contenido
►6. Agente de filtrado de adjuntos
►7. Agente de escaneo de antivirus
►8. Filtro de correo no deseado de Outlook
►Una buena estrategia Anti
SPAM implica la configuración
adecuada de todos los niveles
de filtrado y el uso de todos
ellos
►Los primeros niveles de filtrado
reducen la necesidad de
procesamiento y uso de ancho
de banda, ya que el mensaje ni
siquiera llega a salir del
spammer
►Las listas negras y los proveedores de listas negras
proporcionan una forma de filtrar los orígenes de
SPAM de forma rápida y eficiente
►Los proveedores de listas negras (RBLs) mantienen
un listado de direcciones IPs desde donde se ha
detectado el envío de correo no deseado, exploits,
malware, etc.
►Seleccionar un buen conjunto de proveedores es
fundamental dentro de la estrategia de seguridad
anti SPAM
► SPAMHAUS.org
 Dispone
de tres tipos de listas
 XBL: Lista de sitios de envío de
contenido malware y
potencialmente peligroso
 SBL: Lista de sitios de envío de
correo comercial no deseado
 PBL: Lista de rangos de IPs de
asignación dinámica desde
donde no se debería enviar
correo electrónico (ADSLs de
casa, Modems, Internet por
Cable)
►Configuración de SPAMHAUS.org en Exchange Server
2007
Dominio
Códigos
de consulta: zen.spamhaus.org
de respuesta:
►Otros proveedores:
SenderBase.org
DNSBL.info
BarracudaCentral.org
SpamCannibal.org
SpamCop.net
SORBS.net
► El servidor perimetral
de
Exchange Server 2010 es capaz
de consultar al ADAM para
rechazar aquellos mensajes
dirigidos a destinatarios no
existentes.
► Esta opción permite no tener de
aceptar y procesar el mensaje si
el destinatario no existe.
► El rechazo
del mensaje (REJECT)
implica que éste no sale del
spammer, y por lo tanto no se
generan NDRs por no poder
entregar el mensaje.
►El Spoofing de direcciones
propias es una técnica
habitual en el envío de
SPAM
►El servidor perimetral de
Exchange Server 2010,
mediante el filtro de
remitente puede bloquear
los mensajes que se
originen en Internet y traten
de suplantar el dominio de
la organización
►Directory Harvesting es un término que se refiere a la
capacidad de encontrar direcciones válidas de correo
haciendo uso de fuerza bruta u otros métodos
►El uso de la opción de bloqueo de mensajes si el
destinatario no está en la GAL puede dar ventajas
para un Directory Harvesting
►Para contrarrestar esto, es necesario configurar las
opciones de Tar-Pitting, es decir un retraso en las
respuestas de verificación de las direcciones SMTP
por cada dirección no válida que se envía.
►Se introdujo por primera vez en Windows Server
2003 en el año 2004 y posteriormente en el SP1
http://support.microsoft.com/kb/899492
►Configuración de Tar Pitting en Exchange Server 2010
►Se recomienda establecer intervalos de 5 en 5
segundos.
► Sender ID es una
iniciativa de Microsoft y
otras empresas para
ayudar a combatir el
spoofing.
►Funciona verificando
cada correo entrante.
► El objetivo es comprobar
contra una serie de
servidores DNS que el
mensaje se ha originado
en el dominio y desde los
servidores SMTP
autorizados.
►Los registros SPF se publican en
los DNS del dominio remitente y
establecen la lista de servidores
autorizados par el envío de
correo perteneciente a dicho
dominio
►Opciones de filtrado de Sender
ID en Exchange Server 2010
 Aceptar
el mensaje
 Rechazar
 Marcar
el mensaje
y seguir el procesamiento
Resultado de Sender ID
Descripción
Acción
Neutral
Dominio neutral (no se toman decisiones)
Registrar y aceptar
Pass (+)
Dirección IP permitida
Registrar y aceptar
Fail (-)
- El dominio no existe
- Remitente no permitido
- Dominio mal formado
- Encabezado sin PRA
(Purported Responsible Address)
Dirección IP no permitida
Registrar y aceptar,
después eliminar o
rechazar
Soft Fail (~)
Dirección IP no permitida
Registrar y aceptar
None
No existe entrada SPF publicada en
el DNS del dominio
Registrar y aceptar
TempError
Error en la transmisión (Puede ser
un DNS inalcanzable)
Registrar y aceptar
Perm Error
Posible error en el registro y no se
puede leer correctamente
Registrar y aceptar
►Se puede utilizar el Sender ID Framework SPF Record Wizard
Identificar
el Dominio
Seleccionar
opciones
y servidores SMTP
válidos
Crear
registro SPF
Agregar
registro tipo
TXT en los DNS
► http://www.microsoft.com/mscorp/safety/content/technologies/senderid/wizard
► El Backscatter (outscatter, misdirected bounces, blowback o
collateral spam) es el resultado de enviar mensajes de
respuesta a remitentes inocentes, cuyas direcciones han sido
suplantadas para el envío de SPAM
► Si el mensaje no se rechaza durante la conexión, el servidor que
recibe podría aceptar dicho mensaje y después de analizarlo,
descartarlo y enviar un NDR al remitente
► Para combatir el problema:
 Validación de destinatario
 Verificación de registros SPF
 Rechazo de servidores sin registros inversos (PTR)
 Rechazo de remitentes en listas negras
 BATV: bounce Address Tag Validation): Token criptográfico
identificativo de la dirección de retorno
 DKIM
►El filtro de reputación de remitente realiza diversas
pruebas y analiza los datos de SCL aplicados
anteriormente para determinar un valor SRL (Sender
Reputation Level)
►Fuga de información
►Falta de control interno
►Pérdida de datos
►Espionaje industrial
►Incumplimiento de normativas y legalidad
►Ataques deliverados
► Impacto legal y financiero
 El
incumplimiento legal puede tener como consecuencia
multas que pueden ascender a millones de €
 Costes en juicios, indemnizaciones y abogados
 Cada vez hay más regulación y es más estricta a nivel nacional
e internacional
► Impacto en la credibilidad y la imagen
 Daño en la imagen pública de la organización
 La información filtrada al exterior puede poner en serios
aprietos a la organización
► Pérdida de competitividad
 La fuga de información de planes puede suponer una pérdida
de inversionistas y cotización en bolsa
 Pérdida de capital intelectual, resultados de investigaciones u
otros datos importantes para el negocio.
►¿Como se gestionan los datos de los clientes?
►¿Existen políticas para proteger dichos datos?
►¿Se transmite la información de forma confidencial
cuando se hace uso del correo electrónico?
►¿Hay control sobre quien puede ver información
confidencial y a donde se puede enviar?
►¿Se cumple con los requisitos legales?
►¿Existen leyes que prohiban expresamente la
comunicación entre diferentes grupos de la
organización?
►¿Existe la obligación de almacenar o eliminar la
información pasado cierto tiempo?
►Las organizaciones deben proporcionar evidencias de
litigio o documentación diversa a los organismos
reguladores si se les solicita (incluidos los mensajes
de correo electrónico).
►Un incumplimiento podría suponer una fuerte
sanción, incluso la apertura de un proceso penal
contra los responsables.
►Por ello deben considerar el cumplimiento legal
como parte de sus planes de infraestructuras,
incluyendo el correo electrónico.
►
Las organizaciones multinacionales deben considerar la legislación de cada
país en donde tienen una sede.
 Sarbanes-Oxley Act of 2002 (SOX)
 Security Exchange Commission Rule 17a-4 (SEC Rule 17 A-4)
 National Association of Securities Dealers 3010 & 3110 (NASD 3010 &
3110)
 Gramm-Leach-Bliley Act (Financial Modernization Act)
 Financial Institution Privacy Protection Act of 2001
 Financial Institution Privacy Protection Act of 2003Health Insurance
 Portability and Accountability Act of 1996 (HIPAA)
 Uniting and Strengthening America by Providing Appropriate Tools
Required to Intercept and Obstruct Terrorism Act of 2001 (Patriot Act)
 European Union Data Protection Directive (EUDPD)
 Japan’s Personal Information Protection Act
 Ley Orgánica de Protección de Datos (LOPD)
►Políticas y etiquetas de retención
►Archivo personal
►Moderación de buzones
►Integración con AD RMS
►e-Discovery y auditoría
►Registro en diario (Journaling)
Bases
de datos
Buzón
Carpetas
administradas
►Políticas de retención (Retention Policies)
Directivas
personalizadas que definen que se debe
hacer con una clase de mensaje determinado
pasado cierto tiempo
Tienen
vinculadas etiquetas de retención
(Retention Tags) en donde se definen los tiempos,
la acción y el destino de los mensajes.
►El servicio de Messaging Records Management
(MRM) es el que se encarga de aplicar las directivas
configuradas con una frecuencia programada
►Complementan a las carpetas administradas
introducidas en Exchange Server 2007
►En Exchange 2010 se pueden crear 3 tipos de
etiquetas de retención
Retention Policy Tag (RPT)
Default Policy Tag (DPT)
Personal Tags (PT)
►Las acciones disponibles son
Mover al archivo personal (Move to Archive)
Mover a la carpeta de elementos eliminados
Eliminar y permitir la recuperación
Eliminar permanentemente
Marcar que el límite de retención ha expirado
► El almacenamiento
de mensajes antiguos siempre ha sido un
problema para las organizaciones.
 Cumplimiento legal
 Copias de seguridad
 Control de la información
► Los almacenes .pst en el cliente Outlook no solucionan el
problema.
 No están controlados
 Aumento en costes de auditoría
 No se pueden aplicar políticas de retención
 Riesgo de pérdida de información
 Riesgo de fuga o robo
 Dispersión de la información
► Para aquellas organizaciones que necesiten controlar, almacenar y
auditar la información antigua, Exchange 2010 incorpora el Archivo
personal.
►Solución básica de archivo del
lado del servidor.
►Se elimina el uso de .pst distribuidos y difíciles de
controlar.
►Con la misma experiencia para el usuario.
Accesible
desde Outlook 2010 y OWA 2010
►Puede ser un destino de las políticas de retención.
►Requiere que el buzón de archivo esté en la misma
base de datos que el buzón principal.
►La cuota del archivo personal es independiente de la
cuota del buzón principal.
► Proporciona
un control humano de los
mensajes que llegan a ciertos buzones o
listas de distribución
► Hasta ahora la forma de controlar el
flujo de mensajes era mediante las
restricciones de envío o recepción.
►Integrado en las reglas de transporte
► Escenarios:
 Control de mensajes enviados a
grupos de distribución
 Control de mensajes enviados a
buzones ejecutivos
 Control de mensajes enviados a
contactos externos (socios de
negocio)
►Importante: Si el mensaje se
envía a un Hub Transport
Server de Exchange 2007, se
ignora el proceso de
moderación.
►Opciones de moderación:
Aceptar
Rechazar
Rechazar
con comentarios
►La tecnología IRM (Information Rights Management)
permite proteger de forma persistente los mensajes y
adjuntos enviados desde Exchange Server
►Las aplicaciones deben soportar AD RMS para poder
crear o leer contenido protegido
►IRM ayuda a lo siguiente:
Previene que los destinatarios autorizados para
leer el mensaje pueda reenviar, modificar, copiar,
guardar, imprimir o enviar por fax dicho mensaje y
sus adjuntos.
También se previene el uso de capturas de pantalla
Se pueden establecer fechas de caducidad del
mensaje
►Múltiples puntos de protección
Manualmente
desde Outlook
Manualmente
desde Outlook Web App
Automáticamente
desde Outlook 2010
Automáticamente
desde los servidores de
transporte
► Exchange 2010 permite el
descrifrado del contenido protegido
por motivos de políticas internas,
cumplimiento de legalidad,
auditorías, investigaciones internas,
etc.
 Descifrado a nivel de transporte
 Descifrado de informes de
registro de diario (Journal)
 Descifrado en búsquedas multi
buzón (e-Discovery)
► Para ello se requiere agregar el
buzón Federated Delivery Mailbox
al grupo de superusuarios en AD
RMS
► Para conprobar el funcionamiento
 Test-IRMConfiguration
►Agentes de transporte relacionados con IRM
Agent e
Event o
Función
RMS Decryption agent
OnEndOfData (SMTP) &
OnSubmittedMessage
Descifra los mensajes para permitir el acceso a los
agentes de transporte,
OnRoutedMessage
Señala los mensajes que coinciden con una regla para
que se le aplique protección IRM por el agente de
cifrado RMS.
RMS Encryption agent
OnRoutedMessage
Aplica protección IRM a los mensajes señalados y
vuelve a cifrar los mensajes descifrados por el
transporte.
Pre-Licensing agent
OnRoutedMessage
Adjunta una pre-licencia a los mensajes protegidos
con IRM
OnCategorizedMessage
Descifra los mensajes IRM adjuntos a un informe de
registro de diario e incluye una versión en texto claro
junto con el mensaje original cifrado.
Transport Rule agent
Journal Report Decryption
agent
►Muchas organizaciones requieren disponer de acceso
a mensajes y documentos por motivos de auditorías
internas, investigaciones criminales, requisitos
legales, juicios o demandas.
►La capacidad de búsqueda en múltiples buzones de
Exchange Server 2010 ofrece un cumplimiento de
dichos requisitos, sin afectar ni interrumpir al usuario
final.
►Se basa en la capacidad de indexación del servicio
Exchange Search.
►El acceso se realiza mediante Exchange Control Panel
y está completamente integrado con los permisos
granulares de control de acceso basado en roles
(RBAC).
►El grupo Discovery
management consiste en dos
roles:
Mailbox
Search: Permite
realizar las búsquedas
Legal
Hold: Permite
configurar un buzón en un
estado de mantenimiento
legal
►La búsqueda incluye el buzón
principal, el archivo personal y
las conversaciones de IM
► Los resultados se almacenan en un buzón especial
denominado Discovery Mailbox.
 Selección segura y filtrada del buzón de resultados
desde ECP
 Cuota de almacenamiento de 50 GB por defecto
 Seguro por defecto
Cuenta
deshabilitada
Permiso de acceso otorgado de forma explícita
 El
envío a este tipo de buzón está prohibido por
restricciones de entrega
► Se pueden crear desde el Shell
 New-Mailbox SearchResults -Discovery UserPrincipalName [email protected]
Suscripción gratuita en
[email protected]
►Informática 64
http://www.informatica64.com
[email protected]
+34
91 665 99 98
►Joshua Sáenz G.
[email protected]
www.saenzguijarro.com