Disminución de amenazas al Sistema de Mensajería en la Red CeniaInternet. Lic. Yaremis Miranda Soria UEB. Operaciones de Internet CITMATEL

Transcripción

1 Disminución de amenazas al Sistema de Mensajería en la Red CeniaInternet Lic. Yaremis Miranda Soria UEB. Operaciones de Internet CITMATEL

2 Correo electrónico. Premisas Es una herramienta imprescindible y su utilización con propósitos de negocio se ha ido implantando. Es un medio de comunicación más rápido y barato que los métodos tradicionales. El costo de la no observancia del sistema de mensajería de una organización, es elevado porque deja la puerta abierta para cualquier amenaza.

3 Métodos usados para atacar al correo v Troyanos de correo electrónico. Son programas enviados a la víctima para burlar la seguridad del sistema y pueden ocasionar: - daños a las aplicaciones instaladas. - fuga de información sensible. - activación de un ataque distribuido. Para que un ataque troyano tenga éxito, generalmente se requiere que el destinatario ejecute el archivo adjunto.

4 Métodos usados para atacar al correo v Desbordamientos de buffer ( buffer overflow). El atacante aprovecha vulnerabilidades de la aplicación de mensajería, que están dadas por la forma en que se tratan los tipos de datos en el programa, esto provoca un desbordamiento de buffer, que proporciona a su vez las instrucciones necesarias para ejecutar códigos maliciosos en el ordenador de la víctima sin que ésta sea consciente de ello. Ej. Correo electrónico con cabeceras MIME deformadas usada por el virus Nimda.

5 Métodos usados para atacar al correo v Virus HTML. Están orientados a aquellos que utilicen clientes de correo electrónico HTML para leer sus mensajes; este ataque intenta usar las posibilidades de interpretación de scripts del cliente de mensajería HTML para ejecutar ilícitamente código en la computadora. Como consecuencia de esto, casi todos los clientes de correo electrónico hoy en día están igualmente afectados, ya que pueden enviar y recibir correo HTML que pueden contener código JavaScript, ActiveX, etc.

6 Métodos usados para atacar al correo v Phishing. Se basa en el envío de mensajes a los usuarios, donde se les recomienda la visita a una página falsa, haciéndoles creer que se encuentra en la página original. Se le pide al visitante que introduzca datos personales como claves de acceso, tarjetas de crédito, etc. que posteriormente son usados por los creadores de la estafa. Citibank y Bank of America han sufrido similares intentos de estafa. El Natwest, unidad del Royal Bank of Scotland, fue atacado en septiembre.

7 Métodos usados para atacar al correo Ejemplo de phishing el remitente incluye un vínculo a un sitio web que parece legítimo. en realidad, dirige al usuario a un sitio falso.

8 Métodos usados para atacar al correo v Ataques de diccionarios. Se utiliza para encontrar usuarios válidos de una empresa. Se trata de intentar todas las posibles combinaciones, con generadores de palabras, sometiendo al servidor de correo a un ataque basado en fuerza bruta. Las direcciones de correo que no sean rechazadas son consideradas como válidas y luego vendidas a sistemas de envíos masivos de correo electrónico (Spam).

9 Métodos usados para atacar al correo v Spam Es el hecho de enviar mensajes electrónicos no solicitados en cantidades masivas. Se estima que el 60% de todos los correos hoy en día son spam. Sus consecuencias fundamentales son: - el consumo de ancho de banda. - ralentiza los sistemas de correo. - pérdida de tiempo para los empleados al borrar los correos. - crean problemas a la empresa si aparece en listas negras. - costos para las empresa. ( se estima 8.8 billones x año) fórmula: 1 empleado recibe 5 correos basura a diario y dedica 30 seg en c/u, pierde 15 horas al año, se multiplica x el valor de la hora que paga a cada empleado x la cant. de empleados.

10 Recomendaciones generales para clientes v Nunca abrir datos adjuntos sospechosos de los que no se tienen noticia previa. v No responder a mensajes en los que el remitente solicita información de cuentas o contraseñas sin verificar antes la legitimidad de la solicitud. v Si le piden llamar por teléfono a un número extranjero, no lo haga, le saldrá cara la llamada. v Si le ofrecen millones usted perderá miles.

11 Recomendaciones generales para clientes v Mantener actualizado el software antivirus que utiliza y los parches de seguridad para el sistema operativo y programas. v Sólo acepte ofertas de tiendas conocidas por Internet donde se haya inscrito, no de donde no conozca la marca o empresa. v Para compras en Internet es muy importante fijarse en el dominio de la web y que este no cambie, ni el modo seguro de la página.

12 Resultados de la Red CeniaInternet La red nuestra ha podido comprobar los daños que ocasiona la gestión ineficiente de la seguridad en los sistemas de mensajería, y a fin de disminuir las amenazas y reducir las pérdidas de la Empresa por este concepto, ha tomado algunas medidas de seguridad en los servidores de correo electrónico. Esquema del Sistema de Mensajería Servidores internos Internet Servidores mailhubs

13 Producto antivirus en los servidores Nuestros servidores de mensajería están montados sobre la plataforma Unix, y están protegidos con el producto Kaspersky Antivirus para Mail Servers que es capaz de: v Escanear el cuerpo del mensaje y todos los adjuntos, incluyendo los archivos comprimidos y objetos incrustados OLE. v Integrarse, como un módulo adicional, con varios Agentes de Transporte de Mensajería como Qmail, Postfix, Exim y Sendmail, que es el que nos ocupa.

14 Arquitectura interna de Kaspersky 1. El tráfico de mensajería lo recibe sendmail mediante el protocolo SMTP, y los almacena en una cola, de donde pasa mediante el protocolo LMTP al componente smtpscanner para la búsqueda. 3. El tráfico de mensajería procesado con las notificaciones resultantes de la búsqueda y desinfección es transferido mediante el protocolo SMTP al sendmail para que lo procese. -bd -q15m -C sendmail.cf.listen -q15m -C sendmail.cf mqueue.kav mqueue 2. Smtpscanner pasa el nombre del fichero del mensaje al componente aveserver usando el socket local, este busca y desinfecta el mensaje usando la base de datos del antivirus. Smtpscanner recibe desde el aveserver un código de retorno que define el estado del fichero y procesa este de acuerdo a los parámetros definidos en el fichero de configuración.

15 Instalación y administración centralizada La instalación es muy sencilla y depende del Sistema Operativo: - para Linux rpm i <distribution_file_name> dpkg i <distribution_file_name> - para FreeBSD pkg_add <package_name> Kaspersky está completamente integrado con el administrador de sistema Webmin, el cual es útil para la administración remota. Toda la información de configuración se ubica en un único fichero de texto (kav4mailservers.conf), que puede ser modificado a través de diferentes opciones del módulo de Kaspersky en el Webmin.

16 Principales opciones de configuración

17 Actualización de las bases antivirus Pueden ser actualizadas por NFS HTTP FTP Red local Internet

18 Opciones generales para el smtpscanner Se especifican algunos elementos que definen el modo de trabajo del smtpscanner: protocolo de comunicación a la escucha. la línea de comando para el enrutamiento del mensaje a sendmail.

19 Mensajes de notificación Es posible personalizar las notificaciones que se envían a administradores, remitentes y destinatarios como resultado de la acción del antivirus.

20 Gestión de grupos En el servidor interno sólo se chequean los mensajes de los dominios locales de ese servidor para eliminar procesamiento innecesario, el resto es chequeado en los servidores de cara a internet.

21 Filtrado de adjuntos Mediante esta opción se pueden bloquear archivos sospechosos o de tipo ejecutable, que se usan para generar virus y gusanos, por ejemplo *.exe, *.vbs, etc.

22 Notificación automática Cuando se detecta un mensaje infestado o sospechoso, la notificación y la descripción completa del código malicioso puede ser enviado al administrador del sistema, al recipiente y al destinatario del mensaje.

23 Protección Anti-Spam en los servidores EL sistema de mensajería nuestro tiene la habilidad de prevenir que los spammers utilicen los servidores de correo para enviar enormes cantidades de mensajes a diferentes direcciones electrónicas, para ello se aprovechan al máximo los elementos de configuración que pueden ser definidos en el Agente de Transporte de Mensajería que utilizamos.

24 Políticas Anti-Spam en Sendmail v Se rechaza el correo proveniente de dominios no resueltos por el DNS. dnl FEATURE(`accept_unresolvable_domains')dnl v Se filtran las listas negras que deniegan a servidores que incurren en esta práctica. FEATURE(dnsbl, `blackholes.mail-abuse.org', `Rejected -see FEATURE(dnsbl, `dialups.mail-abuse.org', `Rejected -see FEATURE(dnsbl, `relays.mail-abuse.org', `Rejected -see work-rss.mail-abuse.org/rss/')dnl FEATURE(dnsbl, `sbl-xbl.spamhaus.org')dnl FEATURE(`dnsbl',`list.dsbl.org')dnl

25 Protegiéndonos de Open Relay v Se define explícitamente los dominios para los que el servidor será open relay, cualquier otro es denegado, fichero relaydomains. blasroca.cu bnc.cu boga.com.cu bogaii.com.cu bpa.cu camaguey.cu canternet.com.cu caonao.inf.cu cap.cu carigraf.cu cdc.com.cu cea.org.cu ceaden.edu.cu

26 Políticas Anti-Spam en Sendmail v Se define quienes podrán hacer uso de nuestro servidor de correo para poder enviar mensajes, fichero access_db, clásico para filtrar spam. # Por defecto, solo se permite enviar correo desde localhost... localhost.localdomain RELAY localhost RELAY RELAY # Debemos añadir solo las direcciones IP que ahora tenga el servidor RELAY RELAY # Agregue también las direcciones IP que integran su red local. # Solo especifique aquellas máquinas que tendrán permitido enviar y recibir correo RELAY RELAY RELAY # también podemos agregar las direcciones de correo electrónico de aquellos a quienes # consideremos "indeseables", o que queramos bloquear. Spam@algun_Spamer.com REJECT info@otro_spammer.com REJECT #

27 Registros del filtrado de los servidores Ejemplos del filtrado de Spam Nov 10 00:00:05 mail2 sendmail[61016]: ruleset=check_relay, arg1=[ ], arg2= , relay=[ ], reject= Rejected: listed at sbl-xbl.spamhaus.org Nov 10 00:08:10 mail2 sendmail[61963]: ruleset=check_relay, arg1=[ ], arg2= , relay=[ ], reject= Rejected: listed at list.dsbl.org Ejemplos del filtrado de virus [10/11/05 00:02:59 I] [61411] jaa02xv <-- [10/11/05 00:02:59 I] [61411] jaa02xv <-- message_id=<(none)>, detected=< - Worm.Win32.NetSky.q> [10/11/05 00:02:59 I] [61411] jaa02xv === group=<default>, result=<infected> [10/11/05 00:10:02 I] [62165] jaa0a <-- [10/11/05 00:10:02 I] [62165] jaa0a <-- message_id=<(none)>, detected=<net- Worm.Win32.Mytob.bi>[10/11/05 00:10:02 I] [62165] jaa0a === result=<infected>

28 Proyecciones Instalar un producto Anti-Spam en los servidores para filtrar el contenido de los mensajes. Diseñar un sistema estadístico que permita tener una idea exacta de las redes internas y externas menos seguras, es decir con mayores incidencias de virus y de spam.

29 Gracias