Capacitacion Cisco ESA

 

Cisco Email Security  Appliance Sergio Oshiro [email protected]

 

Agenda • Introducción Introducción a la Seguridad en el Correo • Solución de Seguridad del Correo Correo de Cisco • Cisco Email Security Appliance (IronPort

Antispam)

 

Ar Arquitectura quitectura del Email

 

 Tér érminos minos y Flujo del Corr Correo eo  T

 

Conersación S!TP • S!TP es un protocolo simple con un

conjunto de comandos "ien de#nidos$ • %tili&ando 'Telnet es una orma *cil de

pro"ar la conectiidad S!TP y entregar un correo +acia una cuenta receptora$

 

Conersación S!TP • Comandos que escribimos están en azul. • as respuestas del sistema en negro. • !atos que se ingresan están en naran"a.

 

Conersación S!TP

 

Introducción a la Seguridad en el Correo

 

Eolución de la Seguridad del Email

 

Eolución del %suario

 

 Amenazas de Entrada y Salida en la Actualidad Actualidad

• El costo de solo una "rec+a de seguridad en la

empresa puede ser sorprendente$ 'Ponemon Institute estima de pérdidas desde %S,- millón +asta rangos %S,./ millones$ • 0as normas de diulgación de inormación1

+acen que sean m*s costosas las pol2ticas de correo que no son ejecutadas$

 

34ué es el Spam5 • !ensajer2a electrónica electrónica no deseada$ • Correos electrónicos1 mensajer2a

instant*nea (I!)1 6e" spam1 entre otros$

• 7eneralmente es de la orma pu"licitaria1

pero tam"ién e8isten actualmente el spam con #nes criminales como ro"o de identidad (p+is+ing) o raudes$

 

• 0os 9spammers: utili&an

programas que recor recorren ren la lista eniando el mismo mensaje a todas las direcciones$ • Esto supone un costo

m2nimo para ellos1 pero perjudica al receptor (pérdidas económicas y de tiempo) y en general en Internet1 por consumirse gran parte del anc+o de "anda en mensajes "asura$

 

Obtención de direcciones de correo propios

• 0os

sitios 6e"1 que con recuencia contienen la dirección de su creador1 o de sus isitantes (en oros1 "logs1 etc$)$

• 0os

grupos de noticias de 9usenet:1 cuyos mensajes suelen incluir la dirección del remitente$

• 0istas de correo; les "asta con apuntarse e ir

anotando las direcciones de sus usuarios$ • Correos electrónicos con c+istes1 cadenas1 etc$

que los usuarios de internet suelen reeniar sin ocultar las direcciones1 y que pueden llegar a acumular docenas de el un cuerpo del mensaje1 pudiendo serdirecciones capturadasen por troyano

o1 m*s raramente1 por un usuario malicioso$  

Obtención de direcciones de correo

• P*ginas en las que se solicita tu dirección de

correo (o la de 6i=ipedia$org1 ia$org1  

El Spam en números • @epresentan entre el .BDB de todos

los correos electrónicos1 segn diersas empresas de inestigación$ • El anc+o de "anda utili&ado por spammers se incremento de GH. T" en el G-- a . T" al G-$

 

Países que generan más Spam - 20!

 

Publicidad • El tipo de Spam m*s comn es el

relacionado a la Pu"licidad1 el cual representa un JDB$ • El

segundo

m*s

comn

es

el

relacionado al contenido Adulto1 el cual es un JGB$ K el Spam relacionado a los asuntos Financieros representa un GHB$

 

P"is"ing • El Spam relacionado al raude

comprende un JB de los correos y lo relacionado al P+is+ing representa un HB$

 

El #ol del Email • Lurante el ltimo aMo1 los modelos de

ci"ercr2menes +an tenido un cam"io$ A+ora1 la cantidad de ataques masios +an disminuido y se eidencia en una reducción reducc ión del /B de olumen de spam$ • 0os ci"ercriminales se est*n enocando

en esuer&os de mayor alor1 los cuales incluyen; raudes1 ataques maliciosos1 ataques de p+is+ing y destinados

espec2#camente a una empresaNlugar$  

#educción de $taques %asi&os • Cisco

estima que el "ene#cio del ci"ercr2men en los ataques masios tradicionales +a disminiudo en m*s de .BO desde %S,-$- "illones en unio G- a ,. millones en unio G--$

• Este

cam"io reQeja la reducción del olmen de spam desde J "illones a  "illones de mensajes spam diariamente desde unio G- +acia unio

G--$

 

$dquisición de IronPort

 

%odelos de $ppliance

 

Cisco Securit' Intelligence Operations - SIO

 

()u* es+ • Es un sericio "asado en la nu"e que conecta la

inormación

con

respecto

a

las

amena&as

glo"ales1 sericios para "asados en reputación y un an*lisis so#sticado los dispositios de Cisco para proteger las redes de comunicaciones$ • Contiene

el contenido relacionado con la pu"licaciones de aisos y otros contenido de seguridad$ (+ttp;NN (+ttp;NN tools$cisco$comNsecurityNcenterN+ome$8)) tools$cisco$comNsecurityNcenterN+ome$8

 

Portal de SIO en Cisco • Incluye respuestas de eentos en la

industria1 alertas Intellis+ield y los aisos de seguridad de productos de Cisco$ • El portal de SI est* destinado a ser el

primer lugar que isite en la "squeda de inormación inormaci ón de seguridad en Cisco$ Cisco$

 

Ob,eti&o • Anali&ar las amena&as y mitigarlas lo

m*s pronto posi"le$ • Proeer an*lisis de las ulnera"ilidades1

corrigiéndolas y retroalimentación empresariales$

"rindando este a los usuarios

 

IronPort Senderase   /etor1  .

a primera ' más grande ase de Cali3cación %undial !onitoreo de tr*#co de correo a niel mundial 666$sender"ase$org

 

Cisco Email Securit' $ppliance 4ES$5

 

$rquitectura de la Plata6orma Sin ESA

Con ESA

 

Sistema de 7e6ensa %ulti-ni&el $nti- Spam

 

Seguridad en distintos ni&eles   Preventivo + Reactivo = Defensa Completa

 

#eputation 8ilters detiene 9:; de las "ostilidades

 

7e6ensa %ultini&el ante ataques de e?t #esources • Plantillas de te8to que pueden ser

eniadas como mensajes o adjuntas a estos$ !essage

Lisclaimers

Woti#cation

templates Antiirus Woti#cation templates Xounce 

and Encryption Failure Failure Woti#cation template

Encryption Woti#cation templates • Yte8tcon#g

 

>e?t #esources @ 7isclaimer • Puede ser aMadida arri"a o de"ajo del

mensaje (+eading o ooter) para algunos o todos los mensajes reci"idos reci"idos por un listener$ Ylistenercon#g

 

>e?t #esources @ /oti3cation • %sados con los accionadores de #ltros

notif#$% y notif#&cop#$% $ • Pueden contener te8to noascii$ no ascii$

 

>e?t #esources @ $< /oti3cation • Anti Antiirus irus noti#cation no ti#cation template Cuando el mensaje original no se adjunta a la noti#cación de irus$

• Anti Antiirus irus container template Cuando el mensaje original es eniado como adjunto a la noti#cación de irus$

 

>e?t #esources @ ounce and Encr'ption 8ailure /oti3cation

 

>e?t #esources @ Encr'ption /oti3cation • %sado en caso se tenga con#gurado un

método de cirado para corr correos eos salientes$ • Se noti#ca al usuario que +a reci"ido un mensaje seguro y le proee instrucciones para leerlo$

 

CISCO E%$I E/C#AP>IO/

 

>S

C#ES

• Wo requiere interención del usuario$

0os usuarios no sa"r*n que sus correos est*n siendo transmitidos por un canal seguro$ • @equiere con#guración en e8tremos$ •  T0S es direccional$ Se puede +a"ilitar

para uno o arios dominios internos1 o por el contrario para el dominio al cual se eniar*n mensajes$ • Ironport

e8tensiones

AsyncS STA@TT0S

soporta +acia

protocolo seguro S!TP descrito en @FCJGCH$ • Para con#gurar con#g urar ST STA@ A@TT0S; TT0S; 

"tener certi#cado$



Instalar certi#cado$

• @equiere que los usuarios se

registren (+ttps;NNres$cisco$comN6e"saeN actiate) • Es un sericio en la nu"e1 por lo que el control de llaes priadas la tiene Cisco$ • A

traés de consola de administración se puede customi&ar la plantilla de p*gina 6e" ( +ttps;NNres$cisco$comNadminNN) +ttps;NNres$cisco$comNadmin



Za"ilitar T0S para eniarNreci"ir$