Upload
antonia-campos-robles
View
219
Download
0
Embed Size (px)
Citation preview
Seguridad Correo electrónico E-Mail
José Luis Dominikow
Antecedentes
Crecimiento exponencial del uso del e-Mail
Diferentes versiones y soluciones
Costosos vs. gratis
Internet
Integración con aplicaciones empresariales
Workflow
Aplicaciones de uso especifico
Antecedentes
Soluciones
Microsoft Exchange / Outlook
Lotus Notes / Domino
Novell GroupWise
SMTP / POPEsquema de directorio compartido
Esquema de correo local
Conexión externa
Arquitecturas
Esquema de directorio compartido
Cliente
Servidor de Archivos
Arquitecturas
Esquema local
Cliente
Servidor de correo
Conexión
Arquitecturas
Conexión externa
Servidor de correo
In ternetS M TP /P O P
Servidor de correo
Servidor de correo
Tunel
Estándares
Privacy-Enhanced Mail (PEM)
Autentificación del remitenteConfidencialidad del mensajeIntegridad de los datosAun en RFC
Pretty Good Privacy (PGP)
Firmas digitalesAutentificación del remitentehttp://www.pgp.comAhora parte de Network Associates
Seguridad
Qué proteger?
20% Información importante
80% Información del dominio público
Tipos de ataques
Pasivos
Activos
Seguridad
Ataques Pasivos
Características
El mensaje no es alterado
Sólo se afecta la confidencialidad
Difícil de detectarTipos
Eavesdropping (Escuchar detrás de las puertas); Monitoreo sencillo
Análisis de tráfico; Análisis a mayor detalle
Seguridad
Ataques Activos
Características
Afectan Confidencialidad, Disponibilidad e Integridad
Tipos
Enmascaramiento (Masquerading)
Usurpación de identidadRepetición de paquetes (Packet Replay)
Se captura un flujo y se vuelve a enviar
Modificación del mensaje
Negación del servicio (Denial of Service)
Seguridad
Virus
Aprovechan
Huecos en Sistemas OperativosDebilidades en correos electrónicosSMTP sin autentificaciónDesconocimiento de usuarios
Amplia difusiónImpactos inmediatosPara combatirlos:
Antivirus (Cliente y Servidor)PolíticasCultura
Seguridad
Puntos a evaluar
Política corporativa sobre InternetProtección de datos durante
Almacenamientoy transmisión (criptografía y tecnologías
relacionadas)Seguridad del perímetro (Firewall, Detección de intrusos,
etc.)Controles de seguridad de datos, en diferentes niveles:
RegistroArchivoRed
Encripción
Funcionamiento
Se utilizan dos llaves
Una para encriptar y la otra para desencriptar
Una es privada y la otra es publicaRSA (por sus inventores Rivest, Shamir y Adelman)
A
Firmas digitales
Requerimientos
Deben identificar única e irrefutablemente a la persona o entidad que firma, incluyendo hora y fecha
Debe proveer forma de autentificar los contenidos firmados
En caso de requerirse, la firma debe ser verificable por un terceroFirma digital no es igual a firma electrónica
Firmas Digitales
A A
Recomendaciones
Utilizar todas las funcionalidades de seguridad disponibles en la tecnología seleccionada
Crear una cultura sobre el uso del correo electrónico
Incluir al correo electrónico en la arquitectura de seguridad
Recomendaciones
POP
Habilitar Encripción
Proteger archivos locales
Seleccionar una solución de firmas digitales
Incluida o externa
Verisign (Internet Explorer)
EnTrust
SmartTrust
Recomendaciones
Puntos a Auditar
Esquema de administraciónArquitectura local
EncripciónFirmas Digitales
Esquema de autentificaciónConexión remota
TunnelingHerramientas de apoyo
AntivirusFiltros