Ataques. Necesito ayuda

Hola a todos,

Tengo un gran problema, es mi segundo día de trabajo y mi jefe me ha dicho que sospecha (bueno que está seguro) que se estan sufriendo ataques a la red de la empresa por parte de un antíguo trabajador, claro yo tengo que solucionar esto y no sé por donde empezar, ¿como puedo ver si eso es verdad? y si es así como puedo arreglarlo?? que puertos son los que tengo que cerrar??.

Por favor necesito vuestra ayuda.

Muchas gracias

Bueno, eso dependerá de los servicios que estés prestando o de servicios que tengas activos y no prestes. Por ejemplo, tener el servicio de servidor IIS si no lo usas. Depende también de la topología o arquitectura de red que uses y otras cosillas como:

- sistema operativo
- tipo de acceso a internet
- si tienes NAT o no lo tienes
- etc,

Antes que nada, y teniendo en cuenta que de seguridad no tienes demasiada idea, deberías de instalar algo que detectase los ataques. Empiesza por un firewalll sencillito que no tenga mucho que configurar como Zone Alarm, no es el mejor ni mucho menos, pero te servirá para entender algunas cosas. con este cortafuegos tendrás la oportunidad de averiguar que ataques y hacia que puertos van destinados, así como la IP de origen ( aunque en muchos casos no vale de nada ) y otros datos.

Una vez que sepas de donde provienen y hacia que puertos o servicios van destinados los ataques, es el momento de preparar la proteccióne implementar una política de seguridad y si tu sistema o red sigue sufriendo ataques, puedes instalar también un sistema de detección de intrusos ( IDS ) o NIDs.

Desactiva todos los servicios que no pienses usar. Cuidado con los recursos compartidos en la interface que coencte a internet, actualizaciónes de seguiridad de programas, servidores y sistemas operativos, establece auditorias de seguridad, usa contraseñas fuertes, establece permisos y politica de usuarios, configura ( en caso de windows ) el registro para prevenir de ataque a la red tipo DDOS, etc, renombrar utilidades del sistema para que nosea usadas por posibles atacantes o troyanizados, no usar el host de conexión a internet como root o administrador, uso de sistema de ficheros NTFS en caso de windows, copias de seguridad, uso de cifrado y firmaa digita en las comunicaciones, uso de firewall y políticas contra virus, configuración adecuada de clientes de correo y navegadores, y muchos etcéteras más.

De todas maneras antes de nada sería interesante saber cual es el sistema operativo que usas para gestionar la conexión a internet, servicios que ofreces, si tienes proxy, etc

A parte de lo cometado hasta ahora, si por ejemplo ofreces IIS lo mejor es estar al tanto de las vulnarebilidades sobre seguridad que desgraciadamente son norma en este servidor y parchear lo antes posible., para ello existen una series de herreamientas:

IIS Lockdown Tool.

Configura el servidor para ser inmune a muchos ataques, deshabilita servicios innecesarios y restringe el acceso a los comandos realizados por sistema

HFNetCHK

comprobación de parches y actualizaciones de seguridad instalados en servidores.

URLscan tool

Filtro ISAPI para correr en el servidor, bloquea URLs que “lucen como” ataques. Puede ser configurado para soportar configuraciones de servidores

Microsoft personal Security Advisor

Comprueba el estatus de los patch de estaciones individuales.

mas cosas.....

Configura para activar los Logs del IIS. y configura los permisos (ACLs):

ACLs apropiado para el IIS Log File

(%systemroot%\system32\LogFiles)

-Administradores (Control total)
-Sistema (Control total)
-Todos (RWC)

Normalmente, el acceso a un servidor web se hace de forma anónima o más bien bajo la apariencia de un usuario que se crea para ello en el momento de la instalación de IIS:IUSR_nombreservidor. Los usuariosque se conecten a una sede web pública con acceso anónimo tendrán acceso a aquellos archivos para los que la cuenta especificada tenga permisos NTFS.

Para limitar el acceso a ciertas zonas sensibles servidor que contengan información importante se ha de utilizar las características de seguridad de Windows 2000 y el sistema de ficheros NTFS. Por regla general los permisos a archivos individuales y directorios deben ser establecidos con NTFS que por cierto no son los mismo que los permisos Web propios de IIs.

Para restringir el acceso al sitio web o a partes del mismo hay que modificar las propiedades predeterminadas en la pestaña "Seguridad de directorios" y configurar los métodos de autentificación de que dispone IIS.

IIS 5 incorpora un nuevo tipo de autentificación, a aprte de los normales ( además de la autentificación Windows y la autentificación básica ): Digest, que utiliza algoritmos de hashing para encriptar la contraseñas y que funciona a través de proxies y que sólo requiere que el navegador sea compatible HTTP 1.1.

Kerberos y Active Directory pueden ser usados con IIS además de los protocolos SSL y TLS (Transport Layer Security).

Desctivar tosdos los ejemplos de aplicaciones web que vienen con IIs. normalmente están en:

c:\inetpub\iissamples
c:\winnt\help\iishelp

ACLs.

Un ACL es una lista de cuentas de usuarios, grupos de usuarios y sus privilegios asociados con un recurso en particular, como un directorio o un archivo. Como configurar correctamente las ACLs:


CGI (.exe, .dll, .cmd, .pl)

Todos (X)
Administradores (Control total)
Sistema (Control total)

Archivos de comandos (.asp)

Todos (X)
Administradores (Control total)
Sistema (Control total)

Archivos de inclusión (.inc, .shtm, .shtml)

Todos (X)
Administradores (Control total)
Sistema (Control total)

Contenido estático (.txt, .gif, .jpg, .html)

Todos (R)
Administradores (Control total)
Sistema (Control total)
System (Full Control)


Normalmente si tenemos un router ADSL haciendo NAT y no ofrecemos servicio alguno, no es necesario, un principio un cortafuegos, IIS en el servidor web debe estar tras un firewall en una DMZ.

Quitar asignaciones de secuencias de comandos que no se vayan a usar: .idc, .htr, etc.

Uso de plantillas de seguridad que vienen con Windoqw2000: Una de ellas "Secureinternetwebserver.inf" sirve precisamente para la configuración segura de servidores web en internet.

Esto que te comento es de forma muy superficial. A medida que lo necesites podemos profundizar en el tema todo lo que quieras.

Ante todo muchas gracias Alfon, pero no es que no tenga demasiada idea de seguridad es que no sé nada de nada.

Te cuento un poco, al parecer la red es ADSL, tiene un servidor con Windos NT principal (con dominio) y los demás equipos por lo que sé son Windows 98 que se validan a ese dominio, por lo que cada ordenador tiene IP estática y entre ellos comparten ficheros.

El firewall lo tengo que poner en el servidor o en cada uno de los equipos que hay??

La verdad es que cuando no te explican nada de nada te encuentras muy perdida.

Muchas gracias por todo.

Vamos a ver:

1.- Tienes un server NT que está directamente conectado al router y este a internet ?

2.- Supongo entonces que el servidor NT tiene dos tarjetas de red. Una que "va" al router y la otra a un hub ?

Si es así, el firewall lo debes instalar sólo en el servidor NT.

Tengo muchas cosas que comentarte respecto a tu configuración, pero vamos por partes.

Bueno encontre este topic por casualidad, poniendo en el buscador: "autentificacion .dll". Como vi que Alfon, el colaborador se quedo con ganas de ayudar, le voy a pedir a ver si me puede hechar un cable a mi tambien con un tema que no se por donde empezar.

Vamos por partes.
Tengo un: Microsoft Server 2003 Standard edition, y lo uso para una pagina web y un juego online. Se ve que este juego online se basa en unos .exe en el lado del servidor, una DB mssql en el servidor obviamente y un client.exe en el lado del usuario/cliente.
Bien, la cosa es que en un juego online siempre hay quien se salta las reglas y me aconsejaron que un modo de prevenir la posible modificacion de este client.exe era a base de utilizar la "autentificacion cliente - servidor" mediante: "dll injection".
Bueno, cuando me lo dijeron me quede un poco sorprendido pero me pare a pensar y vi que habia dado con la solucion. La cuestion sería que tanto cliente como servidor tuvieran un .dll y que el cliente, al abrir su juego (client.exe) ejecutara ese .dll de manera que hiciera una autentificacion con el .dll del servidor. Algo asi como una comprobacion de que los datos son correctos...

Bueno, me gustaria que alguien que supiera del tema me dijera los pasos que deberia hacer para lograrlo. Si necesitan saber mas datos no duden en preguntarmelos.

El client.exe (el .exe para entrar a jugar) lo pueden descargar de aqui:

http://www.hb-europe.com/CLIENT-HBE.zip

La pagina web del juego online es la siguiente, por si les interesa:

http://www.hb-europe.com/

Yo cree la pagina en flash:

http://www.hb-europe.com/flash/

Gacias a este foro pude hacer todo lo que estoy haciendo. Muchas gracias amigos,

ArgoN

Pero como va a proteger la red con un "Zone Alarm" yo flipo.

Lo primero que tienes que hacer es aislar las maquinas que tengas datos criticos para tu empresa, hacer un backup de todos esos datos y mandarle a todo el mundo un correo diciendo que si observan algo extraño te avisen.

Lo segundo que tienes que hacer es migrar ese NT a 2003 Server y pasar de IIS 5 a IIS 6, que el IIS 5 está en el top ten de software mierdero..

Y por lo que más quieras intenta negociar con quien sea que migren las máquinas como mínimo a windows2000 profesional que estamos en el siglo 21 y Microsoft está pensando en Lanzar Windows Vista.

En vez de instalar un Zone Alarm, y si es que vas a utilizar un Firewall o Proxy o lo que sea basado en Software instala un ISA Server 2004 por DIOS, y si vas a utilizar algo que realmente filtre Pensad en tu empresa en implementar un Firewall Checkpoint o Cisco PIX.

Instalate en 2 o 3 máquinas de tu empresa un IDS Snort en puntos estratégicos y que estén continuamente analizando paquetes y en cuanto encuentren algo sospechoso que te manden un correo electrónico.

Luego cambia todas, absolutamente todas las contraseñas de tu empresa, hasta la del jefe y realiza un plan para migrar todos esos datos compartidos entre máquinas para centralizarlos en un mismo punto, con una máquina o maquinas aisladas fisicamente en una habitación bajo llave y en un Dominio de Active Directory.

Y se me olvidaba, cuando hayas echo todo eso habrás "empezado" a securizar la red, aún te quedará muuuuuuuuuuuuuuuuucho trabajo.

Salu2