1 / 70

Exchange Server 2010. Seguridad , control de información y cumplimiento legal

Exchange Server 2010. Seguridad , control de información y cumplimiento legal. Joshua Sáenz G. jsaenz@informatica64.com www.saenzguijarro.com. Contenido. Mejoras y nuevas características en seguridad Configuración de Seguridad en Exchange Server 2010

darby
Télécharger la présentation

Exchange Server 2010. Seguridad , control de información y cumplimiento legal

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Exchange Server 2010.Seguridad, control de información y cumplimiento legal Joshua Sáenz G. jsaenz@informatica64.com www.saenzguijarro.com

  2. Contenido • Mejoras y nuevas características en seguridad • Configuración de Seguridad en Exchange Server 2010 • Desafíos y amenazas en materia de seguridad • Implantación del servidor Transporte de perímetro • Configuración de certificados y acceso seguro desde Internet • Implantación de firma digital y cifrado de mensajes de correo • Configuración de seguridad de dominio (Mutual TLS) • Configuración de higiene de mensajes y agentes anti SPAM

  3. Contenido • Control de información y cumplimiento legal • Amenazas en la gestión de la información • ¿Porque es importante el cumplimiento legal? • Novedades en el control de información • Control de los mensajes con reglas de transporte • Configuración de carpetas administradas para el cumplimiento de normativas • Configuración de registro en diario (journaling) • Configuración de políticas y etiquetas de retención • Configuración de archivo personal • Moderación de buzones • Implementación de derechos de información con AD RMS • e-Discovery y auditoría

  4. Mejoras y nuevas características en seguridad

  5. Mejoras y nuevas características en seguridad • Nuevo modelo de acceso basado en roles (RBAC) • Integración IRM en Outlook Web App y reglas de transporte • Archivo personal • e-Discovery • Moderación de mensajes • Cifrado automático de correo electrónico y mensajes de voz • Políticas de retención de mensajes • Mejoras en la auditoría de tareas adminstrativas

  6. Configuración de Seguridad en Exchange Server 2010

  7. Desafíos y amenazas en materia de seguridad • Cada vez mas, la seguridad es un factor crítico en las organizaciones • La mensajería es uno de los servicios más atacados y vulnerables por su propio diseño • Una buena estrategia de seguridad en profundidad, basada en capas, es la clave para reducir el riesgo

  8. Desafíos y amenazas en materia de seguridad • El administrador de la infraestructura de mensajería debe hacer frente a amenazas como: • Virus • Troyanos • SPAM • Phising • Denegación de servicio • Suplantación de identidad • Robo de credenciales • Captura de mensajes en tránsito • Uso fraudulento de pasarelas SMTP

  9. Desafíos y amenazas en materia de seguridad • La estrategia de seguridad consiste en: • Aplicar un modelo de seguridad en capas • Cifrar comunicaciones y mensajes • Implementar servicios de detección y filtrado • Implementar servicios de recuperación rápida • Autenticar equipos y usuarios • Registrar conexiones, eventos y tareas administrativas • Realizar una gestión adecuada de actualizaciones de seguridad

  10. Servidor Transporte de perímetro (EDGE) • Actúa como pasarela SMTP con filtrado en varios niveles • Fortalece la seguridad la cadena de transporte • Se instala en un servidor independiente, sin ninguna relación con del Directorio Activo o el dominio • Incluye servicios de autenticación mediante ADAM, el cual se sincroniza con el Directorio Activo • Se implanta como primera capa fortificada

  11. Servidor Transporte de perímetro (EDGE) • Rol de servidor Edge Transport

  12. Implantación del servidor Transporte de perímetro • Requisitos • Edge “multihomed” • Resolución de nombres • Desde Edge a todos los Hub Transport • Desde los Hub Transport a todos los Edge • Puertos: • 50389 LDAP • 50636 LDAP Seguro • 25 SMTP • 53 DNS (opcional)

  13. Implantación del servidor Transporte de perímetro • Crear y exportar la configuración de suscripción • New-EdgeSubscription –file “C:\EdgeSubscriptionExport.xml” • Transferir el archivo al HubTransport Server • Importar la configuración y suscribir al Edge • Iniciar la sincronización manual • Start-EdgeSynchronization • Verificar la suscripción • Get-AcceptedDomain

  14. Implantación del servidor Transporte de perímetro • Datos que se replican hacia ADAM • Send connector configuration • Accepted domains • Remote domains • Safe Senders Lists • Recipients

  15. Servidor Transporte de perímetro (Arquitectura)

  16. Servidor Transporte de perímetro (Arquitectura)

  17. Configuración de certificados y acceso seguro desde Internet • Los certificados permiten establecer canales seguros, cifrados y autenticados para el transporte de mensajes o el acceso de clientes • Reduce el riesgo de robo de credenciales y robo de información privada • Requisitos: • Entidad certificadora raíz de confianza • Certificados de servidor • Servicios y clientes que soporten SSL/TLS • Ámbito de aplicación: • SMTP • POP3, IMAP • OWA, ActiveSync, Outlook Anywhere

  18. Configuración de certificados y acceso seguro desde Internet • Un nuevo asistente permite crear fácilmente una solicitud de certificado para cada servicio de Exchange 2010 • Esta solicitud se debe enviar a la Entidad Certificadora para que sea aprobada y firmada

  19. Implantación de firma digital y cifrado de mensajes de correo con S/MIME • Permite el envío y recepción de mensajes cifrados y firmados • Reduce el riesgo de suplantación de identidad, modificación del mensaje y robo de información privada • Requisitos: • Entidad certificadora raíz de confianza • Certificados de usuario • Clientes que soporten S/MIME • Ámbito de aplicación • Outlook 2003 / 2007 • OWA 2003 / 2007 • ActiveSync (Pocket Outlook en Windows Mobile 5.0 con MSFP) • Outlook Express • Otros

  20. Configuración de seguridad de dominio (Mutual TLS) • La seguridad de dominio es una alternativa de bajo coste a S/MIME • El objetivo es proporcionar tráfico seguro de mensajes en internet con socios de negocio o empresas colaboradoras • Utiliza autenticación mutua TLS a nivel de sesión para autenticar y cifrar los mensajes • Generar una solicitud de certificado para certificados TLS • Importar certificados a servidores de transporte perimetral • Configurar la seguridad de dominio saliente • Configurar la seguridad de dominio entrante • Probar el flujo de correo seguro de dominio

  21. Configuración de seguridad de dominio (Mutual TLS) • Para crear la solicitud de certificado • $Data1 = New-ExchangeCertificate -GenerateRequest -FriendlyName "Internet certificatefor mail1" -SubjectName "DC=com,DC=Contoso,CN=mail1.contoso.com" -DomainName mail.contoso.com • Set-Content -Path "C:\Certificates\mail1-request.req" -Value $Data1 • Para importar el certificado y asignar el servicio SMTP • Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path C:\Certificates\mail1-certificate.pfx -Encoding Byte -ReadCount 0)) | Enable-ExchangeCertificate -Services SMTP

  22. Configuración de seguridad de dominio (Mutual TLS) • Para configurar la seguridad de dominio saliente • Set-TransportConfig -TLSSendDomainSecureListwoodgrovebank.com • Set-SendConnector Internet -DomainSecureEnabled:$true • Para configurar la seguridad de dominio entrante • Set-TransportConfig–TLSReceiveDomainSecureList woodgrovebank.com • Set-ReceiveConnector Internet -DomainSecureEnabled $true -AuthMechanism TLS

  23. Configuración de Higiene de mensajes y agentes anti SPAM

  24. Flujos de decisión de los agentes de transporte • 1. Agente de filtrado de conexión

  25. Flujos de decisión de los agentes de transporte • 2. Agente de filtrado de remitente

  26. Flujos de decisión de los agentes de transporte • 3. Agente de filtrado de destinatario

  27. Flujos de decisión de los agentes de transporte • 4. Agente de Identificación de remitente (SenderID)

  28. Flujos de decisión de los agentes de transporte • 5. Agente de filtro de contenido

  29. Flujos de decisión de los agentes de transporte • 6. Agente de filtrado de adjuntos

  30. Flujos de decisión de los agentes de transporte • 7. Agente de escaneo de antivirus

  31. Flujos de decisión de los agentes de transporte • 8. Filtro de correo no deseado de Outlook

  32. Flujos de decisión de los agentes de transporte • Una buena estrategia Anti SPAM implica la configuración adecuada de todos los niveles de filtrado y el uso de todos ellos • Los primeros niveles de filtrado reducen la necesidad de procesamiento y uso de ancho de banda, ya que el mensaje ni siquiera llega a salir del spammer

  33. Medidas anti SPAM

  34. Bloqueo de IPs y Dominios • Las listas negras y los proveedores de listas negras proporcionan una forma de filtrar los orígenes de SPAM de forma rápida y eficiente • Los proveedores de listas negras (RBLs) mantienen un listado de direcciones IPs desde donde se ha detectado el envío de correo no deseado, exploits, malware, etc. • Seleccionar un buen conjunto de proveedores es fundamental dentro de la estrategia de seguridad anti SPAM

  35. Proveedores de listas negras • SPAMHAUS.org • Dispone de tres tipos de listas • XBL: Lista de sitios de envío de contenido malware y potencialmente peligroso • SBL: Lista de sitios de envío de correo comercial no deseado • PBL: Lista de rangos de IPs de asignación dinámica desde donde no se debería enviar correo electrónico (ADSLs de casa, Modems, Internet por Cable)

  36. Proveedores de listas negras • Configuración de SPAMHAUS.org en Exchange Server 2007 • Dominio de consulta: zen.spamhaus.org • Códigos de respuesta:

  37. Proveedores de listas negras • Otros proveedores: • SenderBase.org • DNSBL.info • BarracudaCentral.org • SpamCannibal.org • SpamCop.net • SORBS.net

  38. Bloqueo de direcciones no válidas • El servidor perimetral de Exchange Server 2010 es capaz de consultar al ADAM para rechazar aquellos mensajes dirigidos a destinatarios no existentes. • Esta opción permite no tener de aceptar y procesar el mensaje si el destinatario no existe. • El rechazo del mensaje (REJECT) implica que éste no sale del spammer, y por lo tanto no se generan NDRs por no poder entregar el mensaje.

  39. Bloqueo de direcciones no válidas • El Spoofing de direcciones propias es una técnica habitual en el envío de SPAM • El servidor perimetral de Exchange Server 2010, mediante el filtro de remitente puede bloquear los mensajes que se originen en Internet y traten de suplantar el dominio de la organización

  40. Directory Harvesting y Tar Pitting • DirectoryHarvestinges un término que se refiere a la capacidad de encontrar direcciones válidas de correo haciendo uso de fuerza bruta u otros métodos • El uso de la opción de bloqueo de mensajes si el destinatario no está en la GAL puede dar ventajas para un DirectoryHarvesting • Para contrarrestar esto, es necesario configurar las opciones de Tar-Pitting, es decir un retraso en las respuestas de verificación de las direcciones SMTP por cada dirección no válida que se envía. • Se introdujo por primera vez en Windows Server 2003 en el año 2004 y posteriormente en el SP1 • http://support.microsoft.com/kb/899492

  41. DirectoryHarvesting y TarPitting • Configuración de TarPitting en Exchange Server 2010 • Se recomienda establecer intervalos de 5 en 5 segundos.

  42. Sender ID y SPF • SenderID es una iniciativa de Microsoft y otras empresas para ayudar a combatir el spoofing. • Funciona verificando cada correo entrante. • El objetivo es comprobar contra una serie de servidores DNS que el mensaje se ha originado en el dominio y desde los servidores SMTP autorizados.

  43. Sender ID y SPF • Los registros SPF se publican en los DNS del dominio remitente y establecen la lista de servidores autorizados par el envío de correo perteneciente a dicho dominio • Opciones de filtrado de SenderID en Exchange Server 2010 • Aceptar el mensaje • Rechazar el mensaje • Marcar y seguir el procesamiento

  44. Sender ID y SPF

  45. Sender ID y SPF • Se puede utilizar el Sender ID Framework SPF Record Wizard • Identificar el Dominio • Seleccionar opcionesy servidores SMTP válidos • Crear registro SPF • Agregar registro tipoTXT en los DNS • http://www.microsoft.com/mscorp/safety/content/technologies/senderid/wizard

  46. Técnicas contra el Backscatter (BATV) • El Backscatter (outscatter, misdirectedbounces, blowback o collateralspam) es el resultado de enviar mensajes de respuesta a remitentes inocentes, cuyas direcciones han sido suplantadas para el envío de SPAM • Si el mensaje no se rechaza durante la conexión, el servidor que recibe podría aceptar dicho mensaje y después de analizarlo, descartarlo y enviar un NDR al remitente • Para combatir el problema: • Validación de destinatario • Verificación de registros SPF • Rechazo de servidores sin registros inversos (PTR) • Rechazo de remitentes en listas negras • BATV: bounceAddressTagValidation): Token criptográfico identificativo de la dirección de retorno • DKIM

  47. Filtro de reputación de remitente • El filtro de reputación de remitente realiza diversas pruebas y analiza los datos de SCL aplicados anteriormente para determinar un valor SRL (SenderReputationLevel)

  48. Tecnología SmartScreen en el filtro de contenido

  49. Control de información y cumplimiento legal

  50. Amenazas en la gestión de la información • Fuga de información • Falta de control interno • Pérdida de datos • Espionaje industrial • Incumplimiento de normativas y legalidad • Ataques deliverados

More Related