Académique Documents
Professionnel Documents
Culture Documents
Appliance
Sergio Oshiro
soshiro@securesoft.com.pe
Agenda
Introduccin a la Seguridad en el Correo
Solucin de Seguridad del Correo de Cisco
Cisco Email Security Appliance (IronPort
Antispam)
Conversacin SMTP
SMTP es un protocolo simple con un
conjunto de comandos bien definidos.
Utilizando Telnet es una forma fcil de
probar la conectividad SMTP y entregar
un correo hacia una cuenta receptora.
Conversacin SMTP
Comandos que
escribimos estn
en azul.
Las respuestas
del sistema en
negro.
Datos que se
ingresan estn en
naranja.
Conversacin SMTP
Introduccin a la
Seguridad en el
Correo
Qu es el Spam?
Mensajera electrnica no deseada.
Correos electrnicos, mensajera
instantnea (IM), web spam, entre otros.
Generalmente es de la forma publicitaria,
pero tambin existen actualmente el
spam con fines criminales como robo de
identidad (phishing) o fraudes.
Obtencin de direcciones de
correo
Obtencin de direcciones de
correo
Pginas en las que se solicita tu direccin de
correo (o la de "tus amigos" para enviarles la
pgina en un correo) para acceder a un
determinado servicio o descarga.
Entrada ilegal en servidores.
Por ensayo y error: se generan aleatoriamente
direcciones, y se comprueba luego si han llegado
los mensajes. Un mtodo habitual es hacer una
lista de dominios, y agregarles "prefijos"
habituales. Por ejemplo, para el dominio
wikipedia.org,
probar
info@wikipedia.org,webmaster@wikipedia.org,
El Spam en nmeros
Representan entre el 45%-60% de todos
los correos electrnicos, segn diversas
empresas de investigacin.
El ancho de banda utilizado por
spammers se incremento de 275 Tb en
el 2011 a 950 Tb al 2014.
Publicidad
El tipo de Spam ms comn es el
relacionado a la Publicidad, el cual
representa un 36%.
El segundo ms comn es el
relacionado al contenido Adulto, el cual
es un 32%. Y el Spam relacionado a los
asuntos Financieros representa un 27%.
Phishing
El Spam relacionado al fraude
comprende un 3% de los correos y lo
relacionado al Phishing representa un
70%.
Reduccin de Ataques
Masivos
Cisco estima que el beneficio del
cibercrmen en los ataques masivos
tradicionales ha disminiudo en ms de
50%; desde US$1.1 billones en Junio
2010 a $500 millones en Junio 2011.
Este cambio refleja la reduccin del
volmen de spam desde 300 billones a
40
billones
de
mensajes
spam
diariamente desde Junio 2010 hacia Junio
2011.
Adquisicin de IronPort
Modelos de Appliance
Cisco Security
Intelligence
Operations - SIO
Qu es?
Es un servicio basado en la nube que conecta la
informacin con respecto a las amenazas
globales, servicios basados en reputacin y un
anlisis sofisticado para los dispositivos de Cisco
para proteger las redes de comunicaciones.
Contiene el contenido relacionado con la
publicaciones de avisos y otros contenido de
seguridad.
(http://
tools.cisco.com/security/center/home.x)
Objetivo
Analizar las amenazas y mitigarlas lo
ms pronto posible.
Proveer anlisis de las vulnerabilidades,
corrigindolas
y
brindando
este
retroalimentacin
a
los
usuarios
empresariales.
IronPort SenderBase
Network
Cisco Email
Security
Appliance (ESA)
Arquitectura de la
Plataforma
Sin ESA
Con ESA
Sistema de Defensa
Multi-nivel
Anti- Spam
Message Filters
Permite crear reglas especiales, las cuales
describen cmo sern manejados los
mensajes al ser recibidos.
1. Message filter rule define y determina
los mensajes que sern aplicados por un
filtro.
2. Message filter action toma accin
sobre el mensaje seleccionado (final
action drop, non-final actions inserting
a header)
Mail Policies
ESA provee polticas para mensajes a
enviar/recibir que especifican cmo ser
tratada informacin que se requiere que
no ingrese o salga de la red. Este tipo de
contenido puede ser:
SPAM, VIRUSES, Phishing
Informacin confidencial, Informacin
personal.
Content Filters
Algunos mensajes tienen un tratamiento
especial ya sea porque necesitan ser
evaluados antes de ser recibidos por el
usuario (al enviarlo a cuarentena), o
porque algunos de estos requieren ser
cifrados antes de ser enviados, etc.
Trabajan de manera similar a los
message filters, a diferencia que este
tipo de procesamiento se realiza despus
de ser escaneados a nivel de antispam y
antivirus.
Cmo escanear
mensaje?
http://www.cisco.com/c/dam/en/us/td/docs/security/esa/esa8-0/user_guide/ESA_8-01_User_Guide.pdf
Outbreak Filters
Proveen una primera capa de defensa crtica al
enviar a cuarentena de manera inteligente los
correos sospechosos durante la etapa ms
temprana del brote de los virus.
Permite realizar la evaluacin de amenazas para
los mensajes de entrada, en la cual se indica a
travs de un puntaje, qu mensajes son enviados
a cuarentena y re-escaneados a travs de las
soluciones antivirus tradicionales una vez que las
actualizaciones de las firmas se hayan establecido.
Outbreak Filters
Outbreak Filters
Ventaja de los Filtros
Nivel de amenaza
Text Resources
Plantillas de texto que pueden ser
enviadas como mensajes o adjuntas a
estos.
Message Disclaimers
Notification templates
Anti-virus Notification templates
Bounce and Encryption Failure Notification template
Encryption Notification templates
>textconfig
Text Resources
Disclaimer
Puede ser aadida arriba o debajo del
mensaje (heading o footer) para algunos
o todos los mensajes recibidos por un
listener.
>listenerconfig
Text Resources
Notification
Usados con los accionadores de filtros
notify() y notify-copy().
Pueden contener texto no-ascii.
Text Resources AV
Notification
Anti-virus notification template
Cuando el mensaje original no se adjunta a la notificacin
de virus.
Text Resources
Bounce and Encryption
Failure Notification
Text Resources
Encryption Notification
Usado en caso se tenga configurado un
mtodo de cifrado para correos salientes.
Se notifica al usuario que ha recibido un
mensaje seguro y le provee instrucciones
para leerlo.
CISCO EMAIL
ENCRYPTION
TLS
No requiere intervencin del usuario.
Los usuarios no sabrn que sus
correos estn siendo transmitidos
por un canal seguro.
Requiere configuracin en extremos.
TLS es direccional. Se puede habilitar
para uno o varios dominios internos,
o por el contrario para el dominio al
cual se enviarn mensajes.
Ironport
AsyncOS
soporta
extensiones
STARTTLS
hacia
protocolo seguro SMTP descrito en
RFC32C7.
Para configurar STARTTLS:
Obtener certificado.
Instalar certificado.
Habilitar TLS para enviar/recibir.
CRES
Requiere que los usuarios se
registren
(https://res.cisco.com/websafe/
activate)
Es un servicio en la nube, por lo
que el control de llaves
privadas la tiene Cisco.
A travs de consola de
administracin
se
puede
customizar la plantilla de
pgina
web
(
https://res.cisco.com/admin/)