Amenazas de seguridad comunes en la informática modernaCommon security threats in modern day computing

Dado que Skype para Business Server 2015 es un sistema de comunicaciones empresariales, debe tener en cuenta de ataques de seguridad comunes que pueden afectar a su infraestructura y comunicaciones.Because Skype for Business Server 2015 is an enterprise-class communications system, you should be aware of common security attacks that could affect its infrastructure and communications.

Ataque de clave comprometidaCompromised-Key Attack

Una clave es un código o número secreto que se usa para cifrar, descifrar o comprobar información secreta. Hay dos claves confidenciales en uso en la infraestructura de claves públicas (PKI) que deben tenerse en cuenta:A key is a secret code or number that is used to encrypt, decrypt, or validate secret information. There are two sensitive keys in use in public key infrastructure (PKI) that must be considered: .

  • La clave privada que tiene cada titular de un certificadoThe private key that each certificate holder has

  • La clave de sesión que se utiliza después de realizarse correctamente la identificación y el intercambio de las claves de sesión por parte de las entidades de comunicaciónThe session key that is used after a successful identification and session key exchange by the communicating partners

Un ataque de clave comprometida se produce cuando el atacante consigue la clave privada o de sesión. Cuando el atacante consigue la clave, puede usarla para descifrar datos cifrados sin que el remitente lo sepa.A compromised-key attack occurs when the attacker determines the private key or the session key. When the attacker is successful in determining the key, the attacker can use the key to decrypt encrypted data without the knowledge of the sender.

Skype para Business Server utiliza las funciones PKI en el sistema operativo Windows Server para proteger los datos de clave utilizados para el cifrado para las conexiones de seguridad de capa de transporte (TLS).Skype for Business Server uses the PKI features in the Windows Server operating system to protect the key data used for encryption for the Transport Layer Security (TLS) connections. Las claves que se usan para cifrar medios se intercambian en las conexiones TLS.The keys used for media encryption are exchanged over TLS connections.

Ataque por denegación de servicio de la redNetwork Denial-of-Service Attack

El ataque de denegación de servicio se produce cuando el atacante impide el uso normal de la red y función de usuarios válidos.The denial-of-service attack occurs when the attacker prevents normal network use and function by valid users. Esto se realiza cuando el atacante inunda el servicio con solicitudes legítimas que sobrepasan el uso del servicio por parte de los usuarios legítimos.This is done when the attacker floods the service with legitimate requests that overwhelm the use of the service by legitimate users. Con un ataque por denegación de servicio, el atacante puede hacer lo siguiente:By using a denial-of-service attack, the attacker can do the following:

  • Enviar datos no válidos a las aplicaciones y los servicios que se ejecutan en la red que sufre el ataque para interrumpir su funcionamiento normal.Send invalid data to applications and services running in the attacked network to disrupt their normal function.

  • Enviar una gran cantidad de tráfico, lo que sobrecarga el sistema hasta que deja de responder o responde lentamente a las solicitudes legítimas.Send a large amount of traffic, overloading the system until it stops responding or responds slowly to legitimate requests.

  • Ocultar las pruebas de los ataques.Hide the evidence of the attacks.

  • Impedir que los usuarios obtengan acceso a los recursos de la red.Prevent users from accessing network resources.

Interceptación (rastreo o espionaje)Eavesdropping (Sniffing, Snooping)

Las escuchas se producen cuando un atacante obtiene acceso a la ruta de acceso de datos en una red y tiene la capacidad de supervisar y leer el tráfico.Eavesdropping can occur when an attacker gains access to the data path in a network and has the ability to monitor and read the traffic. También es calledsniffing orsnooping.This is also calledsniffing orsnooping. Si el tráfico se produce como texto sin formato, el atacante puede leerlo cuando obtiene acceso a la ruta.If the traffic is in plain text, the attacker can read the traffic when the attacker gains access to the path. Un ejemplo es un ataque que se realiza al controlar un enrutador de la ruta de acceso a los datos.An example is an attack performed by controlling a router on the data path.

La recomendación predeterminada y la configuración para el tráfico de Skype para Business Server es usar TLS mutuo (MTLS) entre servidores de confianza y TLS de cliente a servidor.The default recommendation and setting for traffic within Skype for Business Server is to use mutual TLS (MTLS) between trusted servers and TLS from client to server. Esta medida de protección haría extremadamente difícil o imposible de realizar un ataque en el período en que tiene lugar conversación concreta.This protective measure would make an attack very difficult or impossible to achieve within the time period in which a given conversation occurs. TLS autentica a todos los participantes y cifra todo el tráfico.TLS authenticates all parties and encrypts all traffic. Esto no impide la interceptación, pero el atacante no puede leer el tráfico a menos se interrumpa el cifrado.This does not prevent eavesdropping, but the attacker cannot read the traffic unless the encryption is broken.

El protocolo NAT transversal con relé (TURN) no impone el cifrado del tráfico, y la información que envía está protegida por la integridad del mensaje. Si bien este protocolo está abierto a la interceptación, la información que envía (es decir, direcciones IP y puerto) se puede extraer directamente examinando simplemente las direcciones de origen y de destino de los paquetes. El servicio perimetral A/V se asegura de que los datos son válidos comprobando la integridad del mensaje mediante la clave derivada de algunos elementos, como una contraseña TURN, la cual no se envía nunca en texto no cifrado. Si se utiliza Protocolo en tiempo real seguro (SRTP), también se cifra el tráfico de medios.The Traversal Using Relay NAT (TURN) protocol does not mandate the traffic to be encrypted and the information that it is sending is protected by message integrity. Although it is open to eavesdropping, the information it is sending (that is, the IP addresses and port) can be extracted directly by simply looking at the source and destination addresses of the packets. The A/V Edge service ensures that the data is valid by checking the Message Integrity of the message by using the key derived from a few items, including a TURN password, which is never sent in clear text. If Secure Real Time Protocol (SRTP) is used, media traffic is also encrypted.

Suplantación de identidad (suplantación de dirección IP)Identity Spoofing (IP Address Spoofing)

Se produce cuando el atacante determina y utiliza una dirección IP de una red, equipo o componente de la red sin ser autorizado para ello.Spoofing occurs when the attacker determines and uses an IP address of a network, computer, or network component without being authorized to do so. En este tipo de ataque, el atacante actúa como si fuese la entidad que hubiera identificado la dirección IP en un caso normal.A successful attack allows the attacker to operate as if the attacker is the entity normally identified by the IP address. Dentro del contexto de Skype para Business Server, esta situación entra en juego sólo si un administrador ha hecho lo siguiente:Within the context of Skype for Business Server, this situation comes into play only if an administrator has done both of the following:

  • Ha configurado conexiones compatibles únicamente con el Protocolo de control de transmisión (TCP) (lo cual no se recomienda porque las comunicaciones TCP no están cifradas).Configured connections that support only Transmission Control Protocol (TCP) (which is not recommended, because TCP communications are unencrypted).

  • Ha marcado las direcciones IP de esas conexiones como hosts de confianza.Marked the IP addresses of those connections as trusted hosts.

Este es un problema menor para las conexiones TLS (Seguridad de la capa de transporte), puesto que TLS autentica todas las partes y cifra todo el tráfico.This is less of a problem for Transport Layer Security (TLS) connections, as TLS authenticates all parties and encrypts all traffic. El uso de TLS evita que un atacante suplante las direcciones IP en una conexión concreta (por ejemplo, conexiones Mutual TLS).Using TLS prevents an attacker from performing IP address spoofing on a specific connection (for example, mutual TLS connections). Pero, un atacante podría suplantar la dirección del servidor DNS que usa Skype para Business Server.But an attacker could still spoof the address of the DNS server that Skype for Business Server uses. Sin embargo, ya que se realiza la autenticación en Skype para empresas con certificados, un atacante no tendría un certificado válido debe spoof una de las partes en la comunicación.However, because authentication in Skype for Business is performed with certificates, an attacker would not have a valid certificate required to spoof one of the parties in the communication.

Ataque de tipo "Man in the middle"Man-in-the-Middle Attack

Un ataque de intermediario se produce cuando un atacante redistribuye la comunicación entre dos usuarios a través del equipo del atacante sin el conocimiento de los dos usuarios que se comunican.A man-in-the-middle attack occurs when an attacker reroutes communication between two users through the attacker's computer without the knowledge of the two communicating users. El atacante puede supervisar y leer el tráfico antes de enviarlo al destinatario previsto.The attacker can monitor and read the traffic before sending it on to the intended recipient. Sin darse cuenta, todos los usuarios que participan en la comunicación envían tráfico al atacante y reciben tráfico del mismo pensando que la comunicación se produce únicamente con el usuario previsto.Each user in the communication unknowingly sends traffic to and receives traffic from the attacker, all while thinking they are communicating only with the intended user. Esto puede suceder si un atacante modifica los Servicios de dominio de Active Directory para agregar su servidor como un servidor de confianza o modifica el Sistema de nombres de dominio (DNS) para que los clientes se conecten al servidor a través del atacante.This can happen if an attacker can modify Active Directory Domain Services to add his or her server as a trusted server or modify Domain Name System (DNS) to get clients to connect through the attacker on their way to the server. Un ataque de tipo "Man in the middle" también puede producirse con tráfico multimedia entre dos clientes.A man-in-the-middle attack can also occur with media traffic between two clients. Sin embargo, en Skype para Business Server punto a punto de audio, vídeo y uso compartido de aplicaciones, secuencias se cifran con SRTP, mediante claves de cifrado que se negocian entre los interlocutores de que están utilizando el protocolo de inicio de sesión (SIP) mediante TLS.However, in Skype for Business Server point-to-point audio, video, and application sharing, streams are encrypted with SRTP, using cryptographic keys that are negotiated between the peers that are using Session Initiation Protocol (SIP) over TLS. Los servidores como los de conversaciones en grupo utilizan HTTPS para mejorar la seguridad del tráfico web.Servers such as Group Chat make use of HTTPS to enhance the security of web traffic.

Ataque de reproducción RTPRTP Replay Attack

Se produce un ataque de reproducción cuando intercepta una transmisión multimedia válido entre dos partes y retransmite con fines malintencionados.A replay attack occurs when a valid media transmission between two parties is intercepted and retransmitted for malicious purposes. SRTP, usado en conexión con un protocolo de señalización segura, protege las transmisiones de estos ataques al permitir que el receptor tenga un índice de los paquetes RTP ya recibidos y pueda comparar cada paquete nuevo con los que figuran en dicho índice.SRTP used in connection with a secure signaling protocol protects transmissions from replay attacks by enabling the receiver to maintain an index of already received RTP packets and compare each new packet with those already listed in the index.

Mensajes instantáneos no deseadosSpim

Mensajes no solicitados es mensajes instantáneos comerciales no solicitados o suscripción de presencia solicitudes.Spim is unsolicited commercial instant messages or presence subscription requests. Si bien estos mensajes por sí mismos no son un peligro para la seguridad de la red, son como mínimo molestos, pueden reducir la disponibilidad y la productividad de los recursos, y podrían llegar a poner en peligro la red.While not by itself a compromise of the network, it is annoying in the least, can reduce resource availability and production, and can possibly lead to a compromise of the network. Un ejemplo de ello es el caso de usuarios que se envían solicitudes no deseadas entre sí.An example of this is users spimming each other by sending requests. Los usuarios pueden bloquearse entre sí para evitarlo, pero con la federación, si se establece un ataque coordinado de este tipo, puede ser difícil de solucionar a menos que se deshabilite la federación para el asociado.Users can block each other to prevent this, but with federation, if a coordinated spim attack is established, this can be difficult to overcome unless you disable federation for the partner.

Virus y gusanosViruses and Worms

Un virus es un código de unidad de cuya finalidad es reproducir unidades de código adicional, de forma similar.A virus is a unit of code whose purpose is to reproduce additional, similar code units. Los virus necesitan un host, como un archivo, un correo electrónico o un programa, para poder funcionar.To work, a virus needs a host, such as a file, email, or program. Aworm es una unidad de código cuya finalidad es reproducir unidades de código adicional, de forma similar, pero no es necesario un host.Aworm is a unit of code whose purpose is to reproduce additional, similar code units, but it does not need a host. Los virus y los gusanos suelen aparecer principalmente durante las transferencias de archivo entre clientes o cuando otros usuarios envían direcciones URL.Viruses and worms primarily show up during file transfers between clients or when URLs are sent from other users. Si hay un virus en su equipo, podrá, por ejemplo, usar su identidad y enviar mensajes instantáneos en su nombre.If a virus is on your computer, it can, for example, use your identity and send instant messages on your behalf.

Información de identificación personalPersonally Identifiable Information

Skype para Business Server tiene el potencial de revelar información sobre una red pública que podrían vincularse a un individuo.Skype for Business Server has the potential to disclose information over a public network that might be able to be linked to an individual. Dicha información se puede desglosar en dos categorías:The information types can be broken down to two specific categories:

  • Datos de presencia mejorada Datos de presencia mejorada están información que un usuario puede compartir o no compartir a través de un vínculo a un socio federado o con contactos dentro de una organización.Enhanced presence data Enhanced presence data is information that a user can choose to share or not share over a link to a federated partner or with contacts within an organization. Estos datos no se comparten con los usuarios de una red de mensajería instantánea pública.This data is not shared with users on a public IM network. Las directivas de cliente y otras opciones de configuración del cliente pueden otorgar algún tipo de control al administrador del sistema.Client policies and other client configuration may put some control with the system administrator. En Skype para Business Server, el modo de privacidad de presencia mejorada puede configurarse para que un usuario individual evitar que Skype para usuarios de negocios no en la lista de contactos del usuario vea la información de presencia.In Skype for Business Server, enhanced presence privacy mode can be configured for an individual user to prevent Skype for Business users not on the user's Contacts list from seeing the user's presence information. Modo de privacidad de presencia mejorada no impide que los usuarios de Microsoft Office Communicator 2007 y Microsoft Office Communicator 2007 R2 ver información de presencia de un usuario.Enhanced presence privacy mode does not prevent users of Microsoft Office Communicator 2007 and Microsoft Office Communicator 2007 R2 from seeing a user's presence information. Para obtener más información acerca de cómo implementar el cliente y presencia, vea implementar clientes de Skype para Business Server 2015 y planificar para mensajería instantánea y presencia en Skype para Business Server 2015.For details about deploying the client and presence, see Deploy clients for Skype for Business Server 2015 and Plan for instant messaging and presence in Skype for Business Server 2015.

  • Datos obligatorios Datos obligatorios es necesarios para el correcto funcionamiento del servidor o el cliente y no está bajo el control de la administración del sistema o del cliente.Mandatory data Mandatory data is required for the proper operation of the server or the client and is NOT under the control of the client or system administration. Se trata de información que es necesaria en un servidor o una red para el enrutamiento, el mantenimiento de estados y la señalización.This is information that is necessary at a server or network level for the purposes of routing, state maintenance, and signaling.

En las tablas siguientes, se muestran los datos que se exponen sobre una red pública.The following tables list the data that is exposed over a public network.

Datos de presencia mejoradaEnhanced Presence Data

Datos reveladosData Disclosed Valores posiblesPossible Settings
Datos personalesPersonal Data
Nombre, Puesto, Compañía, Dirección de correo electrónico, Zona horariaName, Title, Company, Email Address, Time Zone
Números de teléfonoTelephone Numbers
Trabajo, Móvil, ParticularWork, Mobile, Home
Información de calendarioCalendar Information
Información de disponibilidad, aviso de fuera de la oficina, detalles de las reuniones (para las personas con acceso a su calendario)Free/Busy, Out-Of-Town Notice, Meeting Details (to those who have access to your calendar)
Estado de presenciaPresence Status
Ausente, Disponible, No disponible, No molestar, No conectadoAway, Available, Busy, Do Not Disturb, Offline

Datos obligatoriosMandatory Data

Datos reveladosData Disclosed Información de ejemploExample Information
Dirección IPIP Address
Dirección real del equipo o dirección traducidaActual address of computer or NATed address
URI del SIPSIP URI
jeremylos@litwareinc.comjeremylos@litwareinc.com