Seguridad en MS Exchange 2003

1
Seguridad en MS Exchange 2003

• Tecnologías AntiSpam

Chema Alonso MVP Windows Server Security
2
Agenda

• Protección Relay.
• Filtros Estáticos
• Emisor.
• Destinatario.
• Filtros de conexión.
• Filtrado en ISA Server 2004 con Message Screener.
• Filtrado mediante IMF. Tecnología SmartScreen.
• SCL.
• Coordinated Spam Reduction Initiative.
• Tecnología Sender ID.

3
Problemática

• Plataforma Relay de correo
• El ataque se produce cuando un usuario malicioso
  vulnera la seguridad de la plataforma para enviar
  correo masivo a través de nuestro servidor.
• Receptor de Correo Spam
• Se reciben correos que cargan el rendimiento,
  reducen la productividad de los empleados y
  generan gastos directos(sistemas de backup,
  conexiones GPRS, ancho de banda, soporte...)

4
Problemática Relay
Relay
Buzones Exchange Back-End
Pasarela SMTP Exchange Front-End
No Relay
5
Soluciones ExchangeServer 2003

• Opciones de Seguridad para no admitir Relay y,
  por tanto, no ser plataforma de correo Spam.
• Bloqueo de Relay por defecto para todos los
  clientes no autenticados.
• Bloqueo por dominios.
• Bloqueo por usuarios.
• Bloqueo por máquinas.

6
Soluciones ExchangeServer 2003

• Opciones para detener el correo Spam recibido
• Filtro de Remitente.
• Filtro de Destinatario. Nuevo.
• Filtro de Conexión en tiempo real. Nuevo.
• Filtros de Junk e-mail. Nuevo.
• Listas Autenticadas. Nuevo.
• IMF. Nuevo.

7
Soluciones ExchangeServer 2003

• Filtro de Remitente. (Filtro Estático)
• Bloquea los mensajes que proceden de determinados
  usuarios.
• Filtro de Destinatario (Filtro Estático)
• Bloquea los mensajes que van dirigidos a
  determinados destinatarios.

8
Soluciones ExchangeServer 2003

• Listas Autenticadas
• Se discrimina solo a usuarios autenticados para
  enviar mensajes a listas de correo.

9
Soluciones ExchangeServer 2003

• Filtros de Conexión
• Exchange Server 2003 comprueba en tiempo real si
  un servidor que está enviando correo está
  almacenado en una base de datos de servidores
  nocivos.

10
Soluciones ExchangeServer 2003

• Implantación de filtros de conexión
• Implantamos en un servidor DNS una zona de
  consulta para almacenar los servidores
  bloqueados. Ej. bloqueados.midominio.com
• Añadimos registros del tipo
• Configuramos un filtro para que se consulte la
  zona anterior cada vez que se recibe una conexión
  de servidor.

13.12.11.10 Host 127.0.0.1
11
Filtro de Conexión
Servidor FrontEnd
Servidor BackEnd
Servidor DNS
12
Soluciones ExchangeServer 2003

• Filtros Junk e-mail en Cliente
• Opciónes de Outlook 2003
• El cliente tiene la opción de configurar los
  correos nocivos.
• El Servidor y Sw de terceros catalogan los
  mensajes para entrar en la carpeta de Junk-email.
• En conexiones de pago por transferencia permite
  ahorrar costes.

13
Demo Filtro de Conexión en MS Exchange Server
2003
14
Message Screener

• MS ISA Server 2004 proporciona una serie de
  filtros de aplicaciones para el control de
  tráfico.
• El protocolo SMTP presenta un filtro que realiza
  el control de los comandos SMTP.
• MS ISA Server 2004 amplía la funcionalidad del
  filtro SMTP mediante el Message Screener.

15
Instalación

• Message Screener se instala como un componente
  adicional de MS ISA 2004.
• Puede ser instalado sobre cualquier servidor que
  ejecute IIS 5.0 o 6.0 y tenga instalado el
  Servidor SMTP.
• No se recomienda su implementación sobre el
  servidor MS Exchange Server 2003, ya que podría
  interferir en los filtros propios.

16
Implantación

• La implantación puede ser realizada sobre el
  servidor MS ISA 2004 o sobre otro servidor de
  Gateway SMTP.
• En el caso de que la implantación se realizar
  sobre otro servidor, habría que ejecutar la
  aplicación SMTPCred.exe, incluida en el CD de MS
  ISA Server 2004, para indicarle cual es el
  Servidor MS ISA Server 2004 del que va a tomar
  los valores de configuración del filtro.

17
(No Transcript)
18
Implicaciones

• En función de los escenarios de implantación,
  habrá que tener en cuenta las siguientes medidas
• Publicar DNS para reconocer los Servidores de
  correo Internos.
• Publicar o crear las reglas de acceso necesarias
  para los servidores SMTP.
• Establecer conexiones entre servidores SMTP.

19
Funcionalidades

• Message Screener aporta mayores funcionalidades
  controlando
• Palabras en cabecera o cuerpo del mensaje.
• Permite parar Virus difundidos por e-mail cuando
  aún no hay vacunas.
• Bloqueos de remitente y dominios.
• Correos con attachments.

20
(No Transcript)
21
Acciones de Filtrado

• Cuando se aplica una regla de filtrado se pueden
  establecer 3 acciones diferentes
• Eliminar el mensaje.
• Retener el mensaje para inspeccionarlo
  posteriormente.
• Enviar una notificación a una dirección de correo.

22
Logs

• Message Screener crea un registro de información
  donde podemos comprobar las acciones que ha
  estado realizando el filtro.
• El log permite establecer la ruta de inserción de
  datos y los campos que van a ser registrados.
• Puede integrarse con monitorizadores de
  aplicaciones como MicroSoft Operations Manager
  (MOM).

23
Demo Message Screener
24
Técnicas Detección SPAM

• Filtrado de Contenido
• RBLs (Real Time Black Holes)
• Análisis Heurístico
• Filtros Bayesianos
• Checksums
• IMF SmartScreen

25
Filtrado de Contenido

• Muy útil como herramienta de administración de
  contenido
• Evita que cierto tipo de palabras y tópicos sen
  enviados hacia o desde los usuarios
• Sin embargo, es ineficiente para controlar el
  SPAM
• Requiere una atención continua del Administrador
  (varias horas por día)
• Algunos simples trucos lo hacen vulnerable
• Ejemplos ave, Viagra, Chë??
• Existen 105 variantes solo para la letra A!
• Genera muchos falsos positivos
• Imposible de utilizar en ciertas industrias

26
RBLs

• Las RBLs son listas de supuestos spammers y sus
  dominios/direcciones IP.
• Ejemplos SpamCop, MAPS, SPEWS, Dorkslayers
• Generalmente es manejado por voluntarios, por lo
  cual no existe una auditoría, y a menudo bloquean
  mas de la cuenta
• Algunos ISPs son agregados, aún cuando envían
  correos legítimos
• No figurar en estas listas puede llevar desde
  días a meses
• Requiere la utilización de muchas listas blancas
  para no generar falsos positivos o la
  administración propia.

27
Análisis Heurístico

• Utiliza una técnica que busca miles de
  características y/o palabras para identificar
  SPAM y asignar una calificación
• El nivel de SPAM debe ser ajustado periódicamente
• Es utilizado en muchos productos antispam
• Muy conocido por los spammers
• Sitios Web de spammers permiten verificar el spam
  contra motores heurísticos
• Incrementar el nivel de detección significa
  incrementar los falsos positivos

28
Filtros Bayesianos

• Es un sistema de aprendizaje que se basa en
  análisis estadísticos de vocabulario
• Listas de palabras buenas y malas
• Necesita de la intervención del usuario para que
  sea efectiva
• Puede ser muy efectiva para usuarios individuales
• Es atacado deliberadamente por los spammers
• Texto generado aleatoriamente baja la
  calificación de spam, incrementando el número de
  palabras buenas
• Generalmente con palabras escondidas dentro de
  código HTML

29
Checksums

• Crea un fingerprint de ejemplos de spam
  conocido
• La Base de Datos se actualiza periódicamente
• Es reactivo
• Por definición, el fingerprint es creado luego
  de identificar el correo como spam
• Es posible evitarlo con una técnica llamada hash
  busting agregando diferentes caracteres dentro
  del mensaje

30
Hash busting

• Ejemplo de hash busting para evitar la técnica de
  checksums

31
Tecnología SmartScreen

• La tecnología SmartScreen permite que
  Intelligent Message Filter distinga entre los
  mensajes de correo legítimos y el correo
  comercial no solicitado u otro tipo de correo
  electrónico no deseado
• Hace un seguimiento de más de 500.000
  características de correo electrónico basadas en
  datos de cientos de miles de suscriptores del
  servicio MSN Hotmail que participaron
  voluntariamente en la clasificación de millones
  de mensajes de correo electrónico
• Ayuda a filtrar el correo no deseado antes de
  que llegue a la bandeja de entrada del usuario

32
Tecnología SmartScreen

• La base de datos utilizada para almacenar las
  características se actualiza con nueva
  información de patrones del origen de la muestra,
  lo que hace que el filtro sea más eficaz y actual
• El filtro inteligente de mensajes utiliza esta
  base de datos para reconocer modelos de mensajes
  legítimos y no legítimos
• Permite llevar a cabo una evaluación más
  precisa de la legitimidad de un mensaje de correo
  electrónico entrante

33
Nivel de Confianza delCorreo No Deseado. SCL.

• IMF evalúa el contenido de los mensajes en
  busca de modelos reconocibles y les asigna una
  clasificación basada en la probabilidad de que el
  mensaje sea correo comercial no solicitado o
  correo no deseado
• La clasificación se almacena en una base de
  datos con el mensaje como una propiedad llamada
  nivel de confianza de correo no deseado (SCL)
• Los administradores configuran dos umbrales que
  determinan la forma en que IMF controla los
  mensajes de correo electrónico con diferentes
  niveles de SCL
• El Umbral de la pasarela de correo con una acción
  asociada que se lleva a cabo en mensajes que
  sobrepasan el umbral
• Umbral de almacén de buzón

34
Filtrado de Exchange 2003y Outlook 2003

• Cada uno de estos métodos de Exchange 2003 se
  utiliza durante la sesión SMTP
• Intelligent Message Filter se aplica después de
  la sesión SMTP
• Los mensajes de correo electrónico que pasan por
  el filtrado de destinatario, remitente o conexión
  se tratan individualmente y no se envían a través
  de Intelligent Message Filter
• Al igual que Intelligent Message Filter, Outlook
  2003 utiliza la tecnología Smartscreen, que tiene
  en cuenta varios factores, como la hora y el
  contenido del mensaje, para evaluar si un mensaje
  debe tratarse como correo electrónico no deseado

35
DemoIntelligent Message Filter (IMF)
36
Coordinated Spam Reduction Initiative (CSRI).
37
CSRI. Sender ID.

• Iniciativa promovida por Microsoft para Reducir
  la incidencia del correo Spam.
• Se centra en establecer un mecanismo de
  verificación confiable para determinar quien es
  el emisor del correo (Anti-spoofing).
• Esto da como resultado la técnología
• Caller Id.
• http//www.microsoft.com/mscorp/twc/privacy/spam_
  csri.mspx

38
CSRI. Sender ID.

• Caller ID de Microsoft, Sender Policy Framework
  (SPF) de Meng Wong,y una especificación llamada
  the Submitter Optimization son unidas para
  crear un estándar para la validación de los
  emisores de correo.
• Ese estándar es Sender ID.
• http//www.microsoft.com/mscorp/twc/privacy/spam_s
  enderid.mspx

39
CSRI. Sender ID.
40
Referencias

• LSSI
• http//www.lssi.es
• MS ISA Server 2004
• http//www.microsoft.com/spain/servidores/isaserve
  r
• Message Screener
• http//www.microsoft.com/technet/prodtechnol/isa/2
  004/plan/smtpfilter.mspx
• Sender ID
• http//www.microsoft.com/mscorp/twc/privacy/spam_s
  enderid.mspx

41
Preguntas ?
42
Más Acciones (I)

• Próximos webcasts
• Windows XP SP2, un nuevo sistema operativo. Qué
  debo saber sobre Windows XP SP2? (29 Sept) 
• Introducción al Directorio Activo Parte I
  Conceptos básicos de Directorio Activo (22 Sept)
• Mas info http//www.microsoft.com/spain/techn
  et/jornadas/webcasts
• Techday Ampliando las fronteras del Directorio
  Activo. Interoperabilidad en entornos
  heterogéneos Gestión de Identidades,
  Autenticación y Seguridad.
• Barcelona, 14 octubre - Madrid, 19 octubre
• Mas info http//www.microsoft.com/spain/tech
  net/techday

43
Más Acciones (II)

• IV Seminario Seguridad Informática
• Rights Management Services.
• Hacking ético de Web Sites.

http//www.informatica64.com/tecnicashacker.html
44
(No Transcript)
45
TechNews

• Suscripción gratuita enviando un mail
• mailtotechnews_at_informatica64.com

46
Contacto

• Chema Alonso
• chema_at_informatica64.com
• Informatica64
• http//www.informatica64.com
• i64_at_informatica64.com
• 34 91 665 99 98