Seguridad
Seguridad en Plataforma
ABRAHAM MARTINEZ F.
MCSE 2000,MCT, CCNA, SON
“No descansaremos hasta que nuestros
clientes, esten seguros, y se sientan seguros”
Brian Valentine
“Lo que descubrimos hace unos meses, es que estábamos
VP, Microsoft
haciendo un gran trabajo corrigiendo problemas, Senior
y mejorando
servicios, pero la implementación de estos parches se estaba
volviendo complicada para nuestro clientes”
Dave Thompson
VP, Microsoft
Agenda

El reto de la Seguridad



Seguridad y Microsoft


Microsoft esta comprometido en mejorar sus
productos
Estrategia de seguridad



Impacto en los negocios
Impacto en Tecnología
Procesos, Tecnología, personas
Guía de seguridad, Tecnología y Herramientas
Microsoft Strategic Technology Protection
Program (STPP)
Compromiso de Microsoft con la Seguridad



Los recientes Virus y ataques en Internet resaltan el
riesgo de los usuarios, y demuestra el compromiso
que deben tener las compañías para enfrentar este
reto
Microsoft tiene un compromiso especial, en brindar
seguridad a sus usuarios y en garantizar el comercio
seguro
Microsoft mantiene seguros a sus usuarios
Alto riesgo

Código Hostil








Virus
Worms “Gusanos”
Trojanos
Negación de Servicios
Ataques a servidores Web
Interceptación y robo de información
Suplantación
Spam
Métodos comunes de ataque
Riesgos nuevos: Nimda, Code Red




Nimda: Se esparce por navegar en paginas
infectadas y abrir correos infectados
Code Red: Infecta servidores Web, Escala privilegios
Otros: Negación de servicios, Spam
Quienes sobrevivieron a Nimda y Code Red:


Organizaciones que estaban actualizadas en patches y
security fixes.
Organizaciones que “Bloquearon” sus sistemas con
herramientas como IIS LockDown.
Microsoft tiene la obligación de tomar
medidas proactivas en seguridad
Seguridad en un mundo complejo

La seguridad necesita una estrategia
compuesta de:





Procesos (procediminetos, manuales)
Tecnologia (hardware, software, redes)
Personas (cultura, conocimiento)
La seguridad fallara si solo nos
enfocamos en una parte del problema
La tecnologia no es problema ni la
solucion absoluta.
Microsoft y su esfuerzo en el area
de seguridad

Strategic Technology Protection Program
(STPP)



Proceso:


Guias de Arquitectura de seguridad
Tecnologia:


Programas a corto y largo plazo.
Informacion especifica a seguir.
Esfuerzos especificos de Microsoft
Personas:


Guias de seguridad
Servicios de Microsoft
Guia de arquitectura de seguridad


Microsoft ha entendido la necesidad de
proveer guías de seguridad especificas a cada
producto.
Guias de seguridad:


Guias de comercio en Internet, Seguridad y Firewall
Guias de seguridad para Windows 2000, IIS, ISA,
redes en general
Linea de Tiempo
Seguridad de Windows Prioridad
Formacion de la fuerza de trabajo de
seguridad en Microsoft
Equipos
de diferentes compañias
trabajando para obtener
recomendaciones y mejores practicas
Reconocimiento
Creacion de la iniciativa de
seguridad Windows (SWI)
al ser la primera
compañia en el mundo en entregar guias
de creacion de software seguro
1988
El desarrollo de Windows
NT comienza con la
seguridad como meta
principal
Mejoramiento
del
capitulo de construcion de
software seguro
1997
1999
2002
Equipo de respuesta de seguridad Microsoft Inicia
Se
construye una marco de trabajo sobre
seguridad Microsoft Framework
Los Clientes estan obteniendo los productos
mas seguros posibles
Cuatro puntos clave
Educacion
Herramientas
Procesos
Pruebas
Educacion
Educacion
Meta
Enviar la mejor informacion acerca de
construir componentes seguros a nuestro
grupo de ingenieros.
Metodos
• “Escribiendo codigo seguro”
• Fundamentos de seguridad
• Laboratorios de codigo seguro
• Presentaciones en vivo y en Linea
• Manual de Ingenieria de Windows
• Mejorando MSDN & Kits de desarrollo
SDK
• Ejemplos y plantillas
• “Disparen al Bug”
• Alianzas externas
Herramientas
Herramientas
Meta
Usar herramientas de uso diario,
procesos de desarrollo y prueba para
encontrar Bugs potenciales.
Metodos
• Herramientas de analisis de Fuente
avanzadas
•PREfix/PREfast
• Mejoras en los compiladores de Visual
C++ .NET
•/GS opciones de compilador
• Herramientas especificas de Dominio
•Herramienta de ataque de RPC
• Herramientas de modelado
• Herramientas de chequeo en tiempo de
ejecucion
Procesos
Procesos
Meta
Implementar procesos que nos permitan
aprender de nuestros errores y los de
los demas, y mantener practicas seguras
en nuetras rutinas diarias.
Metodos
• Mejoras End-To-End
• Analisis de tendencias
• Chequeos por SWI
• Requerimientos de firma de codigo
• Entrevistas y cuestionarios
• Revisiones a nivel de componente
• Retroalimentacion de errores
• Monitoreo de problemas
Pruebas
Meta
Detectar fallas por medio de procesos
de QA que incluye expertos internos y
externos.
Metodos
•Procesos automaticos de prueba
•Guias de pruebas de seguridad
•Equipos de auditoria de codigo interno
•Pruebas de penetracion y auditoria
•Trabajo de evaluacion de temas
comunes
Pruebas
Cerrando el anillo
Diseño
Modelo
Trampas
Desarrollo
codigo
Herramientas
Analisis
Fallo
Encontrado
Grupo
Respuesta
Revision
Correccion
Hecha
Solucion
publicada
Creacion
Post Mortem
Educacion
Desarrollo de productos
Seguros- Linea del tiempo
Determinar criterios
De firma de seguridad
Empuje de seguridad
Analisis de
Preguntas de seguridad
Aprendizaje
trampas
Durante entrevistas
refinamiento
Revision
Externa
Concepto
Diseño
Completo
Entrenamiento
Miembros de
Grupo
Revision de
SWI
Planes de
Prueba
completos
Codigo
Completo
Envio
Post
Envio
Revision de viejos
Inyeccion de fallas
Defectos, utilizacion
Pruebas Privadas
herramientas
=En Marcha
Trampas
Meta
Botin
Vulnerabilidad
Tecnicas de
Mitigacion
Botin
Guia de seguridad Microsoft


Basado en el “British Standard 7799”,
incluidas en las guias de Internet, Windows
2000, redes, Firewall.
Metas



Diseño



Desarrollar aplicaciones para seguridad
Utilzar herramientas de defensa
Implementacion



Definir requerimientos de seguridad
Ejecutar análisis de los estados actuates y deseados
Pruebas e implementacion
Definir y documentar politicas, Estándares,
procedimientos
Administrar


Administracion operacional
Revisar y redefinir periodicamente
Microsoft Internet Data Center
Guia de seguridad

Ejemplos de los topicos incluidos en
esta guia:






Estrategia de defensa de seguridad
Metodos comunes de Hack
Mejores Practicas de seguridad para IIS
Windows 2000 – Diseño del Directorio
Activo, politicas de seguridad
Mejores practicas para seguridad en
aplicaciones
Autenticacion
Modulo OSI Defensa en profundidad
Transmision
Usuario
Nivel de Aplicacion
Nivel de Presentacion
Nivel de Sesion
Nivel de Transporte
Nivel de Red
Nivel enlace de Datos
Nivel Fisico
Enlace Fisico
Recepción
Metodología Hacker
FootPrinting
 Escaneo
 Penetración
 Escalado
 Obteniendo Interactividad
 Expandiendo Influencia
 Limpieza
 Negación de servicios

Exploit Unicode
c:\myprograms\mydir\test.asp
Una Rosa
c:\myprog~1\mydir\test.asp
Es una Rosa
..\mydir\test.asp
Es una Rosa
c:\myprograms\mydir\test.asp.
Es una Rosa
c:\myprograms\mydir\test.asp::$DATA
HFNetChk
QChain
Integra los HotFixes, permitiendo que se
instalen todos simultáneamente, para poder
Reiniciar la maquina una sola vez.



Funciona con Windows 2000 y Windows N.T 4.0
Knowledge Base Article: Q296861
Fundamentos de seguridad

Practicas basicas de seguridad






Bloquee o deshabilite todo lo que no esta
explícitamente permitido
El 10% de las vulnerabilidades causan el 90%
de los problemas
Mantenga actualizado de los parches de su
fabricante rigurosamente
Autorice los accesos utilizando los menores
privilegios
Sea particularmente paranoico con las
interfaces externas (Conmutadas)
Arquitectura de seguridad de
Windows 2000 ( Perspectiva del
Hacker)
Autenticación y Autorización
 El Token

Whoami
SYSKEY
SIDs
Los nombres de grupos y usuarios son convenientes
para nosotros. NT/2000 hace seguimiento de las
cuentas utilizando un numero único de 48 Bit
llamado SID.
 Estos números son globales y únicos en todos los
Dominios excepto el RID que es permanente para
todos los tipos de cuentas

SIDs
RID
• SID: Ejemplo:
S-1-5-21-861567501-562591055-682003330-500
• RID 500 es la cuenta de Administrador
• Otros conocidos son: 501 (Invitado), 1000
(Primer usuario).
• Renombrar las cuentas????
SID (Hacker)
User2sid
SID´s (punto de vista del administrador)
* Utilice las plantillas de seguridad de
Windows 2000 (Políticas de password´s)
•
Aplique SR en las maquinas
•
Utilice MSBA
•
Dsclient en todas las maquinas clientes
•
Guía de seguridad de Windows 2000
Creando un Perfil


Seguimiento a Windows 2000
(Motores de búsqueda).
Google: c:\Winnt, c:\Inetpub
Escaneo



Ping
Escáner de Puertos “Port Scans”
Captura de Avisos “Banner Grabbing”
Escaneo de Puertos (Hacker)
Enumerando NetBIOS (Hacker)
Seguridad especifica de producto




Todos los desarrolladores se estan
entrenando, y haciendo de la seguridad
su prioridad.
Incremento en las pruebas y
procedimientos de seguridad
Cambios en el lanzamiento de productos
con opciones de seguridad mas altas.
Iniciativa de seguridad Windows (SWI)


Profesionales dedicados a la seguridad con
Microsoft
La meta: hacer que Windows sea mas
seguro
Herramientas de seguridad
(Gratis)

Adicional a las caracteristicas de cada producto,
Microsoft provee herramientas adicionales:

IIS (Asistente) Herramienta de Lockdown




HFNetCHK


Administrador de parches de seguridad
URLscan




Configura los servidores para ser inmunes a muchos ataques
Deshabilita servicios innecesarios
Restringe el acceso a comandos del sistema
Filtro ISAPI que corre en el servidor
Bloquea URL´s que “parecen” ataques
Puede ser personalizado
MBSA

Administracion de parches, correcciones de seguridad,
permite distribuirlos.
Demo
Herramienta de LockDown
Resultados de IIS LockDown
Vulnerabilidades descubiertas (scaneo)
Bajas
Medias
Altas
Antes*
78
36
3
Despues
**
7
2
0
* Antes de la configuracion del servidor Web:
• Instalacion nueva de Windows 2000 AS
• Service Pack 2
** Despues de la configuracion del servidor Web:
• Instalacion nueva de Windows 2000 AS
• Service Pack 2
• Aplicado IIS Lockdown
Personal- su mas seguro aliado

Personal dedicado a seguridad



Equipo especializado en seguridad
Expertos especificos en seguridad
Entrenamiento
Capacitacion en estandares,
tecnologias y procesos
 Mantenerse actualizado
Compromiso de todas las personas de la
organizacion
 Capacite a todo el personal
 Haga enfasis en seguridad fisica,
politicas en password, y
procedimientos con datos.

Defensa en profundidad

Metodologias de niveles de defensa
comunmente usados:
Defensas perimetrales
 Defensas de Red
 Defensas en maquinas
 Defensas en aplicaciones
Datos y recursos



Provee un metodo y una estrategia para
diseñar una infraestructura segura
Guias y detalles especificos para cada
producto
Diagrama recomendado
Internet Firewall:
NEGAR todo por defecto
Internet Firewall
Entrante desde Internet (permitir)
TCP port 25 (SMTP)
SMTP forwarder/
TCP/UDP port 53 (DNS)
content filter
TCP port 443 (HTTPS)
Saliente: solo conexiones
Front End
Exchange/OWA
DMZ Firewall:
NEGAR todo por defecto
ENTRANTE desde DMZ permitir
TCP/UDP port 53
TCP port 80 (HTTP)
TCP/UDP port 88 (Kerberos)
TCP port 135 (endpoint mapper)
TCP/UDP port 389 (LDAP)
TCP port 445 (SMB/CIFS)
TCP port 1025 (optional RPC
static port)
TCP port 3268 (GC)
SALIENTE: Permitir
Únicamente conexiones entabladas
No confiado
DMZ
DMZ Firewall
BackEnd Exchange
LAN corporativa
Demo
Seguridad Windows XP
El futuro…….

Windows Server 2003
- Herramientas de línea de comando
mejoradas
- Arquitectura de seguridad mejorada
(PKI, SAML, SOAP, XKerberos)
- IIS 6.0 (Asegurado por defecto) LockDown
- Auditoria habilitada por defecto
- Diferentes formatos de Log (aspx, xml)
.NET Server…
.NET Server…
Microsoft y su curso de accion



Actitud proactiva para brindar seguridad
a los usuarios
Movilizacion sin precedentes del
personal y los recursos de Microsoft.
Trabajando proactivamente con los
clientes para:



Proteger sus ambientes de sistemas,
pequeños y grandes
Tomar medidas para prevenir daños en sus
datos y sistemas.
Proveer actualizaciones de software y
herramientas a corto plazo.
Programa de proteccion
tecnologica estrategica (STPP)
Servicios
Soporte Gratuito para incidentes con Virus
En Linea
Recursos de seguridad:
www.microsoft.com/security
Servicio de notificacion de seguridad Microsoft
Producto
Kit de herramientas de seguridad Microsoft
Herramientas de seguridad y recursos
Mejoras y actulizaciones en los productos
actuales
Este seguro…mantengase seguro

“Programa a corto plazo que pretende recuperar los
niveles normales de seguridad



Libre de Virus soporte en linea.
Kit de herramientas de seguridad, guias
“mantengase seguro”: Programa a mediano plazo para
administrar , mejorar la flexibilidad de los sistemas
seguros.


Correcciones de seguridad periodicas
Caracterisitcas de seguridad del producto, incluidos los
valores por defecto.
http://www.microsoft.com/security
Compromiso de Microsoft
“Para hacer todo lo posible y darle la certeza al
usuario de poder trabajar, comunicarse, y
realizar transacciones seguras sobre
internet. “
Brian Valentine, Senior VP, Microsoft
ABRAHAM MARTINEZ F.
MCSE 2000,MCT,CCNA,SNO
Descargar

Microsoft Security - Bienvenido a ACIS | ACIS