Implementación de seguridad en aplicaciones y datos Mónica Fernández Consultor Microsoft Requisitos previos para la sesión Conocimiento de los fundamentos de seguridad de una red Experiencia práctica con Windows®
Download ReportTranscript Implementación de seguridad en aplicaciones y datos Mónica Fernández Consultor Microsoft Requisitos previos para la sesión Conocimiento de los fundamentos de seguridad de una red Experiencia práctica con Windows®
Implementación de seguridad en aplicaciones y datos
Mónica Fernández Consultor Microsoft
Requisitos previos para la sesión
Conocimiento de los fundamentos de seguridad de una red Experiencia práctica con Windows® Server 2000 o Windows Server™ 2003 Experiencia con las herramientas de administración de Windows Experiencia práctica con las herramientas de administración de SQL Server y Exchange Server Nivel 300
Agenda
Introducción Protección de Exchange Server Protección de SQL Server Seguridad en Small Business Server Seguridad en la información
Defensa en profundidad
Modelo de seguridad por capas :
Aumenta las opciones de detección de intrusos
Disminuye el riesgo de que los intrusos logren su propósito
Datos Aplicación Host Red interna Perímetro Seguridad física Directivas, procedimientos y concienciación ACL, cifrado Refuerzo de las aplicaciones, antivirus Refuerzo del sistema operativo, administración de actualizaciones, autenticación, HIDS Segmentos de red, IPSec, NIDS Firewalls, sistemas de cuarentena en VPN Guardias de seguridad, bloqueos, dispositivos de seguimiento Programas de aprendizaje para los usuarios
Importancia de la seguridad en las aplicaciones
Las defensas perimetrales proporcionan una protección limitada
Muchas defensas basadas en hosts no son especificas de las aplicaciones
En la actualidad, la mayor parte de los ataques se producen en la capa de aplicación
Importancia de la seguridad en la información
Proteja la información como última línea de defensa Configure los permisos de archivo Configure el cifrado de los datos
Protege la confidencialidad de la información cuando la seguridad física se ve comprometida
Recomendaciones para los servidores de aplicaciones Configure el sistema operativo básico para que sea seguro Aplique los Service Packs y revisiones del sistema operativo y de las aplicaciones Instale o habilite únicamente los servicios necesarios Asigne únicamente aquellos permisos necesarios para realizar las tareas requeridas Asigne los permisos mínimos a las cuentas de las aplicaciones Aplique los principios de defensa en profundidad para aumentar la protección
Agenda
Introducción Protección de Exchange Server Protección de SQL Server Seguridad en Small Business Server Seguridad en la información
Dependencias de seguridad de Exchange
La seguridad de Exchange depende de:
La seguridad del sistema operativo La seguridad de la red
La seguridad de IIS (si se utiliza OWA)
La seguridad del cliente (Outlook) La seguridad de Active Directory Recuerde: defensa en profundidad
Seguridad en los servidores Exchange
Servidores Back-End de Exchange 2000
Aplique la plantilla de seguridad básica y la plantilla incremental para Back-End de Exchange Servidores Front-End de Exchange 2000
Aplique la plantilla de seguridad básica y la plantilla incremental para Front-End de Exchange Desmonte los almacenes privados y públicos Servidor OWA de Exchange 2000
Aplique Bloqueo de seguridad de IIS, incluido URLScan Servidor Back-End de Exchange 2003
Aplique plantillas de seguridad de protocolo Servidor Front-End y de OWA de Exchange 2003
Bloqueo de seguridad de IIS y URLScan integrados con IIS 6.0
Utilice el modo de aislamiento de aplicaciones
Aspectos de seguridad en los servidores Exchange
Seguridad del acceso a los servidores Exchange
Bloqueo del acceso no autorizado Seguridad en las comunicaciones
Bloqueo y cifrado de las comunicaciones Bloqueo del correo no deseado
Filtrado del correo entrante Restricciones de reenvío: no ayude a los sistemas de envío de correo no deseado Bloqueo de los mensajes de correo electrónico no seguros
Detección de virus
Bloqueo de los archivos adjuntos
Configuración de la autenticación, parte 1
Proteja la autenticación de los clientes Outlook
Configure Exchange y Outlook 2003 para utilizar RPC sobre HTTPS Configure SPA para cifrar la autenticación de los clientes de protocolos Internet Recuerde: una autenticación segura no equivale a cifrar los datos
Configuración de la autenticación, parte 2
OWA admite varios métodos de autenticación: Método de autenticación Autenticación básica Autenticación integrada Autenticación Digest
Consideraciones
No segura, a menos que requiera SSL Compatibilidad limitada en los clientes, problemas con servidores de seguridad Compatibilidad limitada en los clientes
Autenticación basada en formularios
Capacidad de personalizar la autenticación Amplia compatibilidad con clientes Disponible con Exchange Server 2003
Seguridad en las comunicaciones
Configure el cifrado RPC
Configuración en el cliente
Aplicación con el FP1 de ISA Server
Bloqueo del servidor de seguridad
Publicación del servidor de correo con ISA Server Configure HTTPS para OWA Utilice S/MIME para el cifrado de los mensajes Mejoras de Outlook 2003
Autenticación Kerberos
RPC sobre HTTPS
Cifrado de un mensaje
Active Directory Controlador de dominio
2 Se busca la clave pública del cliente 2 4 El mensaje se envía con S/MIME 6 La clave privada del cliente 2 se utiliza para descifrar la clave compartida que, a su vez, se emplea para descifrar el mensaje 1 Mensaje nuevo
SMTP VS1 SMTP VS 2
5 El mensaje llega cifrado 3 El mensaje se cifra con una clave compartida
Cliente 2 Cliente 1
Demostración 1
Seguridad de Exchange
Configuración de la autenticación basada en formularios Configuración del cifrado RPC Uso de ISA Server para publicación de Exchange
Bloqueo de correo no deseado en Exchange 2000
Cierre de reenvíos Protéjase de la suplantación de direcciones Impida que Exchange resuelva los nombres de destinatario en cuentas GAL Configure búsquedas DNS inversas
Bloqueo de correo no deseado en Exchange 2003
Utilice características adicionales en Exchange Server 2003
Soporte para listas de bloqueo en tiempo real Listas globales de direcciones rechazadas y aceptadas
Filtrado de destinatarios y remitentes Mejoras en la protección contra el reenvío Integración con Outlook 2003 y filtrado de correo no deseado de terceros
Demostración 2
Configuración de la protección contra el correo no deseado de Exchange
Protección contra el reenvío
Bloqueo de mensajes no seguros
Implemente gatesays antivirus
Supervisión de los mensajes entrantes y salientes Actualización frecuente de las firmas
Configure la seguridad en los archivos adjuntos de Outlook
La seguridad del explorador Web determina si los archivos adjuntos se pueden abrir en OWA Implemente ISA Server
Message Screener puede bloquear los mensajes entrantes
Uso de permisos para proteger Exchange Modelos de administración
Centralizada Delegación de permisos Descentralizada
Creación de grupos administrativos
Uso de roles administrativos Delegación del control administrativo
Mejoras en Exchange Server 2003
Muchas configuraciones son seguras de forma predeterminada Permisos más restrictivos Nuevas características de transporte de correo Nuevo Asistente para conexión a Internet Soporte para autenticación entre forest
Defensa en profundidad Eficiencia Continuidad Ajuste del rendimiento Sistema Exchange Políticas Gestión de capacidad Almacenamiento Administración Actualizaciones de hardware Rendimiento Monitorización UPS Pruebas de recuperación Monitorización de disponibilidad Gestión de disponibilidad Recuperación ante desastres Soporte técnico Antivirus Monitorización de eventos Administración Políticas de grupo de cambios Copia de seguridad Directivas de seguridad Aspectos relativos a firewalls Políticas del sistema Exchange Pertenencia a grupos de Active Directory Seguridad
Diez principios fundamentales para proteger Exchange 1 Instale los Service Pack más recientes 2 Instale todas las revisiones de seguridad aplicables 3 Ejecute MBSA 4 Compruebe de la configuración de reenvío 5 Deshabilite o proteja las cuentas conocidas 6 Utilice una solución antivirus por capas 7 Utilice un firewall 8 Evalúe ISA Server 9 Proteja OWA 10 Implemente una estrategia de copia de seguridad
Agenda
Introducción Protección de Exchange Server Protección de SQL Server Seguridad en Small Business Server Seguridad en la información
Configuración básica de seguridad
Aplique Service Packs y revisiones
Utilice MBSA para detectar las actualizaciones de SQL no aplicadas Deshabilite los servicios que no se utilicen
MSSQLSERVER (obligatorio)
SQLSERVERAGENT MSSQLServerADHelper
Microsoft Search Microsoft DTC
Amenazas comunes para los servidores de bases de datos y medidas preventivas “Crackear“ contraseñas Inserción de SQL Puntos vulnerables de las aplicaciones Web
Cuentas con demasiados privilegios Validación semanal de las entradas
Espionaje de red
Firewall perimetral Firewall interno
Servidor SQL Explorador Aplicación Web Acceso externo no autorizado Puntos vulnerables de la red
No se bloquean los puertos SQL
Puntos vulnerables de la configuración
Cuenta de servicio con demasiados privilegios Permisos poco restringidos No se utilizan certificados
Categorías de seguridad de los servidores de bases de datos Seguridad de SQL Server Logins, usuarios y funciones Objetos de base de datos Recursos compartidos Servicios Cuentas Auditoría y registro Archivos y directorios Registro Protocolos Puertos
Seguridad de la red
Limite SQL Server para que utilice TCP/IP
Refuerce la pila TCP/IP
Restrinja los puertos
Seguridad del sistema operativo
Configure la cuenta de servicio de SQL Server con los mínimos permisos posibles
Elimine o deshabilite las cuentas que no se utilicen Proteja el tráfico de autenticación
Logins, usuarios y funciones
Utilice una contraseña segura para la cuenta de administrador del sistema (sa)
Elimine la cuenta de usuario invitado (guest) de SQL
Elimine el login BUILTIN\Administradores
No conceda permisos para el rol público
Archivos, directorios y recursos compartidos
Compruebe los permisos de los directorios de instalación de SQL Server Compruebe que el grupo Everyone no tiene permisos para los archivos de SQL Server Proteja los ficheros de log de la instalación Proteja o elimine las herramientas, utilidades y SDK Elimine los recursos compartidos innecesarios Restrinja el acceso a los recursos compartidos necesarios Proteja las claves del Registro con ACL
Seguridad de SQL
Establezca la autenticación como Sólo Windows Si debe utilizar la autenticación de SQL Server, compruebe que se cifra el tráfico de autenticación
Auditoría de SQL
Registre todos los intentos iniciar sesión en Windows erróneos de Registre las acciones erróneas y correctas en el sistema de archivos Habilite la auditoría de inicios de sesión de SQL Server Habilite la auditoría general de SQL Server
Seguridad de los objetos de base de datos
Elimine las bases de datos de ejemplo Proteja los procedimientos almacenados Proteja los procedimientos almacenados extendidos Limite el acceso de cmdExec a la función sysadmin
Uso de vistas y procedimientos almacenados
Las consultas SQL pueden contener información confidencial
Utilice procedimientos almacenados siempre que sea posible
Utilice vistas en lugar de permitir el acceso directo a las tablas Implemente las recomendaciones de seguridad para las aplicaciones basadas en Web
Seguridad de las aplicaciones Web
Valide todos los datos de entrada Proteja la autenticación y la autorización Proteja los datos confidenciales Utilice cuentas de servicio y proceso con los privilegios mínimos Configure la auditoría y el registro Utilice métodos estructurados de tratamiento de excepciones
Diez principios básicos para proteger SQL Server 1 Instale los Service Packs más recientes 2 3 4 5 6 Ejecute MBSA Configure la autenticación de Windows Aísle el servidor y realice copias de seguridad de su contenido Compruebe la contraseña del usuario sa Limite los privilegios de los servicios de SQL Server 7 Bloquee los puertos en el servidor de seguridad 8 9 Utilice NTFS Elimine los archivos de datos de ejemplo configuración y las bases de 10 Audite las conexiones
Agenda
Introducción Protección de Exchange Server Protección de SQL Server Seguridad en Small Business Server Seguridad en la información
Reconocimiento de las amenazas Small Business Server desempeña muchas funciones de servidor
Amenazas externas
Small Business Server suele estar conectado a Internet Amenazas internas
Todos los componentes de Small Business Server se deben proteger Muchas configuraciones son seguras de forma predeterminada
Protección contra amenazas externas
Configure políticas de contraseña para requerir el uso de contraseñas complejas
Configure el acceso remoto seguro
Remote Web Workplace Acceso remoto Cambie el nombre de la cuenta Administrador Implemente las recomendaciones de seguridad para Exchange e IIS Utilice un firewall
Uso de un firewall
Internet Servidor de seguridad LAN
Características de firewall incluidas:
ISA Server 2000 en SBS 2000 y SBS 2003, Premium Edition Funciones básicas de firewall en SBS 2003, Standard Edition Considere la utilización de un firewall independiente
SBS 2003 puede comunicarse con un firewall externo mediante UPnP ISA Server puede proporcionar protección en el nivel de aplicación
Protección contra amenazas internas
Implemente una solución antivirus
Implemente un plan de copia de seguridad Ejecute MBSA Controle los permisos de acceso Instruya a los usuarios No utilice el servidor como estación de trabajo Proteja físicamente el servidor Limite el espacio de disco de los usuarios Actualice el software
Agenda
Introducción Protección de Exchange Server Protección de SQL Server Seguridad en Small Business Server Seguridad en la información
Función y limitaciones de los permisos de archivo
Impiden el acceso no autorizado Limitan la capacidad de los administradores No protegen contra los intrusos con acceso físico El cifrado proporciona seguridad adicional
Función y limitaciones de EFS Ventaja del cifrado de EFS
Garantiza la privacidad de la información
Utiliza una sólida tecnología de claves públicas Peligro del cifrado
Se impide todo acceso a los datos si se pierde la clave privada Claves privadas en los equipos cliente
Las claves se cifran con un derivado de la contraseña del usuario
Las claves privadas sólo son seguras en la medida que lo es la contraseña
Las claves privadas se pierden cuando el perfil de usuario se pierde
Arquitectura de EFS Aplicaciones API de Win32
Crypto API
Modo de usuario Modo de núcleo Administrador de E/S Servicio EFS EFS.sys
NTFS Almacenamiento de datos cifrados en disco
Diferencias de EFS entre las versiones de Windows
Windows 2000 y las versiones más recientes de Windows admiten el uso de EFS en particiones NTFS Windows XP y Windows Server 2003 incluyen características nuevas:
Se puede autorizar a usuarios adicionales Se pueden cifrar archivos sin conexión
El algoritmo de cifrado triple-DES (3DES) puede reemplazar a DESX Se puede utilizar un disco de restablecimiento de contraseñas EFS preserva el cifrado sobre WebDAV Se recomienda utilizar agentes de recuperación de datos Mejora la capacidad de uso
Implementación de EFS: cómo conseguir que sea correcta
Utilice políticas de grupo para deshabilitar EFS hasta que disponga de una implementación centralizada Planee y diseñe políticas Diseñe agentes de recuperación Asigne certificados Utilice políticas de grupo para implementarla
Demostración 3
Configuración de EFS
Configuración de agentes de recuperación de datos Cifrado de archivos Descifrado de archivos Visualización de información de EFS
Resumen de la sesión
Protección de aplicaciones y datos Protección de Exchange Server Protección de SQL Server Seguridad en Small Business Server Seguridad en la información
Pasos siguientes 1.
2.
Mantenerse informado sobre seguridad
Suscribirse a boletines de seguridad: http://www.microsoft.com/latam/technet/seguridad/ boletines.asp Obtener las directrices de seguridad de Microsoft más recientes: http://www.microsoft.com/latam/technet/seguridad/ Obtener aprendizaje de seguridad adicional
Buscar seminarios de aprendizaje en línea y presenciales:
http://www.microsoft.com/latam/technet/evento/default.asp
Buscar un CTEC local que ofrezca cursos prácticos: http://www.microsoft.com/spain/formacion/default.asp
http://www.microsoft.com/latam/entrenamiento/default.asp
Para obtener más información
Sitio de seguridad de Microsoft (todos los usuarios)
http://www.microsoft.com/latam/seguridad Sitio de seguridad de TechNet (profesionales de IT)
http://www.microsoft.com/latam/technet/seguridad/ http://www.eu.microsoft.com/spain/technet/seguridad/ default.asp
Sitio de seguridad de MSDN (desarrolladores)
http://msdn.microsoft.com/security (este sitio está en inglés)