Implementacin de seguridad en aplicaciones y datos

Mnica Fernndez Consultor Microsoft

Requisitos previos para la sesin

Conocimiento de los fundamentos de seguridad de una red Experiencia prctica con Windows Server 2000 o Windows Server 2003 Experiencia con las herramientas de administracin de Windows Experiencia prctica con las herramientas de administracin de SQL Server y Exchange Server

Nivel 300

Agenda

Introduccin Proteccin de Exchange Server Proteccin de SQL Server Seguridad en Small Business Server Seguridad en la informacin

Defensa en profundidad

Modelo de seguridad por capas :

Aumenta las opciones de deteccin de intrusos Disminuye el riesgo de que los intrusos logren su propsito
Datos Aplicacin Host Red interna Permetro Seguridad fsica Directivas, procedimientos y concienciacin
ACL, cifrado Refuerzo de las aplicaciones, antivirus Refuerzo del sistema operativo, administracin de actualizaciones, autenticacin, HIDS Segmentos de red, IPSec, NIDS Firewalls, sistemas de cuarentena en VPN Guardias de seguridad, bloqueos, dispositivos de seguimiento Programas de aprendizaje para los usuarios

Importancia de la seguridad en las aplicaciones

Las defensas perimetrales proporcionan una proteccin limitada Muchas defensas basadas en hosts no son especificas de las aplicaciones En la actualidad, la mayor parte de los ataques se producen en la capa de aplicacin

Importancia de la seguridad en la informacin

Proteja la informacin como ltima lnea de defensa Configure los permisos de archivo Configure el cifrado de los datos

Protege la confidencialidad de la informacin cuando la seguridad fsica se ve comprometida

Recomendaciones para los servidores de aplicaciones

Configure el sistema operativo bsico para que sea seguro Aplique los Service Packs y revisiones del sistema operativo y de las aplicaciones Instale o habilite nicamente los servicios necesarios Asigne nicamente aquellos permisos necesarios para realizar las tareas requeridas Asigne los permisos mnimos a las cuentas de las aplicaciones Aplique los principios de defensa en profundidad para aumentar la proteccin

Agenda

Introduccin Proteccin de Exchange Server Proteccin de SQL Server Seguridad en Small Business Server Seguridad en la informacin

Dependencias de seguridad de Exchange

La seguridad de Exchange depende de:

La seguridad del sistema operativo La seguridad de la red La seguridad de IIS (si se utiliza OWA) La seguridad del cliente (Outlook) La seguridad de Active Directory
Recuerde: defensa en profundidad

Seguridad en los servidores Exchange

Servidores Back-End de Exchange 2000

Aplique la plantilla de seguridad bsica y la plantilla incremental para Back-End de Exchange Aplique la plantilla de seguridad bsica y la plantilla incremental para Front-End de Exchange Desmonte los almacenes privados y pblicos Aplique Bloqueo de seguridad de IIS, incluido URLScan Aplique plantillas de seguridad de protocolo Bloqueo de seguridad de IIS y URLScan integrados con IIS 6.0 Utilice el modo de aislamiento de aplicaciones

Servidores Front-End de Exchange 2000

Servidor OWA de Exchange 2000

Servidor Back-End de Exchange 2003

Servidor Front-End y de OWA de Exchange 2003

Aspectos de seguridad en los servidores Exchange

Seguridad del acceso a los servidores Exchange

Bloqueo del acceso no autorizado Bloqueo y cifrado de las comunicaciones Filtrado del correo entrante Restricciones de reenvo: no ayude a los sistemas de envo de correo no deseado

Seguridad en las comunicaciones

Bloqueo del correo no deseado

Bloqueo de los mensajes de correo electrnico no seguros

Deteccin de virus Bloqueo de los archivos adjuntos

Configuracin de la autenticacin, parte 1

Proteja la autenticacin de los clientes Outlook Configure Exchange y Outlook 2003 para utilizar RPC sobre HTTPS Configure SPA para cifrar la autenticacin de los clientes de protocolos Internet
Recuerde: una autenticacin segura no equivale a cifrar los datos

Configuracin de la autenticacin, parte 2

OWA admite varios mtodos de autenticacin:

Mtodo de autenticacin Autenticacin bsica Autenticacin integrada Autenticacin Digest Autenticacin basada en formularios Consideraciones No segura, a menos que requiera SSL Compatibilidad limitada en los clientes, problemas con servidores de seguridad Compatibilidad limitada en los clientes Capacidad de personalizar la autenticacin Amplia compatibilidad con clientes Disponible con Exchange Server 2003

Seguridad en las comunicaciones

Configure el cifrado RPC

Configuracin en el cliente Aplicacin con el FP1 de ISA Server Publicacin del servidor de correo con ISA Server

Bloqueo del servidor de seguridad

Configure HTTPS para OWA Utilice S/MIME para el cifrado de los mensajes Mejoras de Outlook 2003

Autenticacin Kerberos RPC sobre HTTPS

Cifrado de un mensaje
Active Directory Controlador de dominio

2 Se busca la clave pblica del cliente 2 4 El mensaje se enva con S/MIME

La clave privada del cliente 2 se utiliza para descifrar la clave compartida que, a su vez, se emplea para descifrar el mensaje

1
Mensaje nuevo

SMTP VS1

SMTP VS 2

El mensaje se cifra con una clave compartida

El mensaje llega cifrado

Cliente 2

Cliente 1

Seguridad de Exchange
Configuracin de la autenticacin basada en formularios Configuracin del cifrado RPC Uso de ISA Server para publicacin de Exchange

Demostracin 1

Bloqueo de correo no deseado en Exchange 2000

Cierre de reenvos Protjase de la suplantacin de direcciones Impida que Exchange resuelva los nombres de destinatario en cuentas GAL Configure bsquedas DNS inversas

Bloqueo de correo no deseado en Exchange 2003

Utilice caractersticas adicionales en Exchange Server 2003

Soporte para listas de bloqueo en tiempo real Listas globales de direcciones rechazadas y aceptadas Filtrado de destinatarios y remitentes Mejoras en la proteccin contra el reenvo Integracin con Outlook 2003 y filtrado de correo no deseado de terceros

Configuracin de la proteccin contra el correo no deseado de Exchange

Proteccin contra el reenvo

Demostracin 2

Bloqueo de mensajes no seguros

Implemente gatesays antivirus

Supervisin de los mensajes entrantes y salientes Actualizacin frecuente de las firmas

Configure la seguridad en los archivos adjuntos de Outlook

La seguridad del explorador Web determina si los archivos adjuntos se pueden abrir en OWA Message Screener puede bloquear los mensajes entrantes

Implemente ISA Server

Uso de permisos para proteger Exchange

Modelos de administracin

Centralizada

Descentralizada

Delegacin de permisos

Creacin de grupos administrativos Uso de roles administrativos Delegacin del control administrativo

Mejoras en Exchange Server 2003

Muchas configuraciones son seguras de forma predeterminada Permisos ms restrictivos Nuevas caractersticas de transporte de correo Nuevo Asistente para conexin a Internet Soporte para autenticacin entre forest

Defensa en profundidad
Eficiencia
Ajuste del rendimiento Sistema Exchange Polticas Gestin de capacidad Almacenamiento Administracin Actualizaciones de hardware Rendimiento Monitorizacin

Continuidad
UPS Pruebas de recuperacin Monitorizacin de disponibilidad Gestin de disponibilidad

Recuperacin ante desastres Soporte tcnico Antivirus Monitorizacin de eventos Administracin de cambios Polticas de grupo Copia de seguridad Directivas de seguridad Aspectos relativos a firewalls Polticas del sistema Exchange Pertenencia a grupos de Active Directory

Seguridad

Diez principios fundamentales para 1 Instale los Service Pack ms recientes proteger Exchange
2 Instale todas las revisiones de seguridad aplicables 3 Ejecute MBSA 4 Compruebe de la configuracin de reenvo 5 Deshabilite o proteja las cuentas conocidas 6 Utilice una solucin antivirus por capas 7 Utilice un firewall 8 Evale ISA Server 9 Proteja OWA 10 Implemente una estrategia de copia de seguridad

Agenda

Introduccin Proteccin de Exchange Server Proteccin de SQL Server Seguridad en Small Business Server Seguridad en la informacin

Configuracin bsica de seguridad

Aplique Service Packs y revisiones

Utilice MBSA para detectar las actualizaciones de SQL no aplicadas

Deshabilite los servicios que no se utilicen

MSSQLSERVER (obligatorio) SQLSERVERAGENT MSSQLServerADHelper Microsoft Search Microsoft DTC

Amenazas comunes para los servidores de bases de datos y medidas preventivas

Crackear contraseas Insercin de SQL Puntos vulnerables de las aplicaciones Web Cuentas con demasiados privilegios Validacin semanal de las entradas Espionaje de red Firewall perimetral Firewall interno Servidor SQL Explorador Aplicacin Web

Acceso externo no autorizado

Puntos vulnerables de la red No se bloquean los puertos SQL

Puntos vulnerables de la configuracin Cuenta de servicio con demasiados privilegios Permisos poco restringidos No se utilizan certificados

Categoras de seguridad de los servidores de bases de datos

Servidor SQL
Seguridad de SQL Server Logins, usuarios y funciones Objetos de base de datos

Recursos compartidos Servicios Cuentas

Auditora y registro Archivos y directorios Registro

Red

Protocolos

Puertos

Revisiones y actualizaciones

Sistema operativo

Seguridad de la red

Limite SQL Server para que utilice TCP/IP Refuerce la pila TCP/IP Restrinja los puertos

Seguridad del sistema operativo

Configure la cuenta de servicio de SQL Server con los mnimos permisos posibles Elimine o deshabilite las cuentas que no se utilicen Proteja el trfico de autenticacin

Logins, usuarios y funciones

Utilice una contrasea segura para la cuenta de administrador del sistema (sa) Elimine la cuenta de usuario invitado (guest) de SQL Elimine el login BUILTIN\Administradores No conceda permisos para el rol pblico

Archivos, directorios y recursos compartidos

Compruebe los permisos de los directorios de instalacin de SQL Server Compruebe que el grupo Everyone no tiene permisos para los archivos de SQL Server Proteja los ficheros de log de la instalacin Proteja o elimine las herramientas, utilidades y SDK Elimine los recursos compartidos innecesarios Restrinja el acceso a los recursos compartidos necesarios Proteja las claves del Registro con ACL

Seguridad de SQL

Establezca la autenticacin como Slo Windows Si debe utilizar la autenticacin de SQL Server, compruebe que se cifra el trfico de autenticacin

Auditora de SQL

Registre todos los intentos errneos de iniciar sesin en Windows Registre las acciones errneas y correctas en el sistema de archivos Habilite la auditora de inicios de sesin de SQL Server Habilite la auditora general de SQL Server

Seguridad de los objetos de base de datos

Elimine las bases de datos de ejemplo Proteja los procedimientos almacenados Proteja los procedimientos almacenados extendidos Limite el acceso de cmdExec a la funcin sysadmin

Uso de vistas y procedimientos almacenados

Las consultas SQL pueden contener informacin confidencial

Utilice procedimientos almacenados siempre que sea posible Utilice vistas en lugar de permitir el acceso directo a las tablas

Implemente las recomendaciones de seguridad para las aplicaciones basadas en Web

Seguridad de las aplicaciones Web

Valide todos los datos de entrada Proteja la autenticacin y la autorizacin Proteja los datos confidenciales Utilice cuentas de servicio y proceso con los privilegios mnimos Configure la auditora y el registro Utilice mtodos estructurados de tratamiento de excepciones

Diez principios bsicos para proteger SQL Server

1 Instale los Service Packs ms recientes 2 Ejecute MBSA 3 Configure la autenticacin de Windows 4 contenido
Asle el servidor y realice copias de seguridad de su

5 Compruebe la contrasea del usuario sa 6 Limite los privilegios de los servicios de SQL Server 7 Bloquee los puertos en el servidor de seguridad 8 Utilice NTFS 9 datos de ejemplo
Elimine los archivos de configuracin y las bases de

10 Audite las conexiones

Agenda

Introduccin Proteccin de Exchange Server Proteccin de SQL Server Seguridad en Small Business Server Seguridad en la informacin

Reconocimiento de las amenazas

Small Business Server desempea muchas funciones de servidor Amenazas externas

Small Business Server suele estar conectado a Internet Todos los componentes de Small Business Server se deben proteger

Amenazas internas

Muchas configuraciones son seguras de forma predeterminada

Proteccin contra amenazas externas

Configure polticas de contrasea para requerir el uso de contraseas complejas Configure el acceso remoto seguro

Remote Web Workplace Acceso remoto

Cambie el nombre de la cuenta Administrador Implemente las recomendaciones de seguridad para Exchange e IIS Utilice un firewall

Uso de un firewall

Internet

Servidor de seguridad

LAN

Caractersticas de firewall incluidas:

ISA Server 2000 en SBS 2000 y SBS 2003, Premium Edition Funciones bsicas de firewall en SBS 2003, Standard Edition SBS 2003 puede comunicarse con un firewall externo mediante UPnP ISA Server puede proporcionar proteccin en el nivel de aplicacin

Considere la utilizacin de un firewall independiente

Proteccin contra amenazas internas

Implemente una solucin antivirus Implemente un plan de copia de seguridad Ejecute MBSA Controle los permisos de acceso Instruya a los usuarios No utilice el servidor como estacin de trabajo Proteja fsicamente el servidor Limite el espacio de disco de los usuarios Actualice el software

Agenda

Introduccin Proteccin de Exchange Server Proteccin de SQL Server Seguridad en Small Business Server Seguridad en la informacin

Funcin y limitaciones de los permisos de archivo

Impiden el acceso no autorizado Limitan la capacidad de los administradores No protegen contra los intrusos con acceso fsico El cifrado proporciona seguridad adicional

Funcin y limitaciones de EFS

Ventaja del cifrado de EFS

Garantiza la privacidad de la informacin Utiliza una slida tecnologa de claves pblicas Se impide todo acceso a los datos si se pierde la clave privada

Peligro del cifrado

Claves privadas en los equipos cliente

Las claves se cifran con un derivado de la contrasea del usuario Las claves privadas slo son seguras en la medida que lo es la contrasea Las claves privadas se pierden cuando el perfil de usuar se pierde

Arquitectura de EFS
Aplicaciones
API de Win32
Modo de usuario Modo de ncleo

Crypto API

Servicio EFS

Administrador de E/S

EFS.sys

NTFS

Almacenamiento de datos cifrados en disco

Diferencias de EFS entre las versiones de Windows

Windows 2000 y las versiones ms recientes de Windows admiten el uso de EFS en particiones NTFS Windows XP y Windows Server 2003 incluyen caractersticas nuevas:

Se puede autorizar a usuarios adicionales Se pueden cifrar archivos sin conexin El algoritmo de cifrado triple-DES (3DES) puede reemplazar a DESX Se puede utilizar un disco de restablecimiento de contraseas EFS preserva el cifrado sobre WebDAV Se recomienda utilizar agentes de recuperacin de datos Mejora la capacidad de uso

Implementacin de EFS: cmo conseguir que sea correcta

Utilice polticas de grupo para deshabilitar EFS hasta que disponga de una implementacin centralizada Planee y disee polticas Disee agentes de recuperacin Asigne certificados Utilice polticas de grupo para implementarla

Demostracin 3
Configuracin de EFS
Configuracin de agentes de recuperacin de datos Cifrado de archivos Descifrado de archivos Visualizacin de informacin de EFS

Resumen de la sesin

Proteccin de aplicaciones y datos Proteccin de Exchange Server Proteccin de SQL Server Seguridad en Small Business Server Seguridad en la informacin

Pasos siguientes
1.

Mantenerse informado sobre seguridad

Suscribirse a boletines de seguridad:

http://www.microsoft.com/latam/technet/seguridad/ boletines.asp

Obtener las directrices de seguridad de Microsoft ms recientes:

http://www.microsoft.com/latam/technet/seguridad/

1.

Obtener aprendizaje de seguridad adicional

1.

Buscar seminarios de aprendizaje en lnea y presenciales:

http://www.microsoft.com/latam/technet/evento/default.asp

1.

Buscar un CTEC local que ofrezca cursos prcticos:

http://www.microsoft.com/spain/formacion/default.asp http://www.microsoft.com/latam/entrenamiento/default.asp

Para obtener ms informacin

Sitio de seguridad de Microsoft (todos los usuarios)

http://www.microsoft.com/latam/seguridad

Sitio de seguridad de TechNet (profesionales de IT)

http://www.microsoft.com/latam/technet/seguridad/ http://www.eu.microsoft.com/spain/technet/seguridad/ default.asp

Sitio de seguridad de MSDN (desarrolladores)

http://msdn.microsoft.com/security (este sitio est en ingls)

Preguntas y respuestas