Seguridad Correo electrónico E-Mail

José Luis Dominikow

Antecedentes

Crecimiento exponencial del uso del e-Mail

Diferentes versiones y soluciones

Costosos vs. gratis

Internet

Integración con aplicaciones empresariales

Workflow

Aplicaciones de uso especifico

Antecedentes

Soluciones

Microsoft Exchange / Outlook

Lotus Notes / Domino

Novell GroupWise

SMTP / POPEsquema de directorio compartido

Esquema de correo local

Conexión externa

Arquitecturas

Esquema de directorio compartido

Cliente

Servidor de Archivos

Arquitecturas

Esquema local

Cliente

Servidor de correo

Conexión

Arquitecturas

Conexión externa

Servidor de correo

In ternetS M TP /P O P

Servidor de correo

Servidor de correo

Tunel

Estándares

Privacy-Enhanced Mail (PEM)

Autentificación del remitenteConfidencialidad del mensajeIntegridad de los datosAun en RFC

Pretty Good Privacy (PGP)

Firmas digitalesAutentificación del remitentehttp://www.pgp.comAhora parte de Network Associates

Seguridad

Qué proteger?

20% Información importante

80% Información del dominio público

Tipos de ataques

Pasivos

Activos

Seguridad

Ataques Pasivos

Características

El mensaje no es alterado

Sólo se afecta la confidencialidad

Difícil de detectarTipos

Eavesdropping (Escuchar detrás de las puertas); Monitoreo sencillo

Análisis de tráfico; Análisis a mayor detalle

Seguridad

Ataques Activos

Características

Afectan Confidencialidad, Disponibilidad e Integridad

Tipos

Enmascaramiento (Masquerading)

Usurpación de identidadRepetición de paquetes (Packet Replay)

Se captura un flujo y se vuelve a enviar

Modificación del mensaje

Negación del servicio (Denial of Service)

Seguridad

Virus

Aprovechan

Huecos en Sistemas OperativosDebilidades en correos electrónicosSMTP sin autentificaciónDesconocimiento de usuarios

Amplia difusiónImpactos inmediatosPara combatirlos:

Antivirus (Cliente y Servidor)PolíticasCultura

Seguridad

Puntos a evaluar

Política corporativa sobre InternetProtección de datos durante

Almacenamientoy transmisión (criptografía y tecnologías

relacionadas)Seguridad del perímetro (Firewall, Detección de intrusos,

etc.)Controles de seguridad de datos, en diferentes niveles:

RegistroArchivoRed

Encripción

Funcionamiento

Se utilizan dos llaves

Una para encriptar y la otra para desencriptar

Una es privada y la otra es publicaRSA (por sus inventores Rivest, Shamir y Adelman)

A

Firmas digitales

Requerimientos

Deben identificar única e irrefutablemente a la persona o entidad que firma, incluyendo hora y fecha

Debe proveer forma de autentificar los contenidos firmados

En caso de requerirse, la firma debe ser verificable por un terceroFirma digital no es igual a firma electrónica

Firmas Digitales

A A

Recomendaciones

Utilizar todas las funcionalidades de seguridad disponibles en la tecnología seleccionada

Crear una cultura sobre el uso del correo electrónico

Incluir al correo electrónico en la arquitectura de seguridad

Recomendaciones

POP

Habilitar Encripción

Proteger archivos locales

Seleccionar una solución de firmas digitales

Incluida o externa

Verisign (Internet Explorer)

EnTrust

SmartTrust

Recomendaciones

Puntos a Auditar

Esquema de administraciónArquitectura local

EncripciónFirmas Digitales

Esquema de autentificaciónConexión remota

TunnelingHerramientas de apoyo

AntivirusFiltros