Aguien puede ayudarme por favor!!!

Para temas relacionados con la detección y prevención de intrusos y accesos no autorizados a la red.
Responder
oscci_199
Mensajes: 4
Registrado: 29 Jun 2011, 17:57

Aguien puede ayudarme por favor!!!

Mensaje por oscci_199 » 29 Jun 2011, 18:21

Les comento que hace unos meses comence a trabajar en una empresa que tenia problemas con su anteriro administrador, yo se utilizar el fortinet en la creacion de politicas y routeo sin embargo los antecesores amenazaron con entrar a la red y destruir la informacion de servidor, en cuenstiones de seguridad no soy muy habil y actualmente detecte algunos ataques a mi red, alguien me puede ayudar para tener al 100 % la seguridad en mi red o almenos decirme a que hace referencia el mensaje de ataque que detecto el sensor ips es a-ipdf: HTTP.URI.Overflow. Mi empresa cuenta con un fortinet 50b, mi red no tiene mucha ciencia solo cuento con un servidor en donde se aloja todo la informacion, no tiene instalado ningun controlador de dominio, recientemente le active el controlador para soporte ftp y web.

Espero alguien pueda apoyarme.

Agradezco de antemano.

Saludos.

Avatar de Usuario
gabyrossi
Mensajes: 10177
Registrado: 30 Oct 2007, 19:47

Re: Aguien puede ayudarme por favor!!!

Mensaje por gabyrossi » 29 Jun 2011, 19:51

Hola, asi como contas mucho no podremos ayudarte.

<estas abriendo servicios a internet? cuales? tenes configurado el ips, como?

saludos
NSE 5 - FortiGate Network Security Analyst
FCNSP v.5
FCNSA -

oscci_199
Mensajes: 4
Registrado: 29 Jun 2011, 17:57

Re: Aguien puede ayudarme por favor!!!

Mensaje por oscci_199 » 29 Jun 2011, 20:35

De afuera hacia adentro no tengo abierto ningun puerto, ni siquiera los de monitoreo(https, ping, telnet), no tengo publicado ningun servidor web, ftp o algun servicio por algun puerto. Todo esta cerrado, sin embargo me han estado llegando estos mensajes en el ips, utilice una configuracion por default de "ips protect against client-side vulnerabilities". La verdad es que la persona que les comento anteriormente es un especialista en seguridad informatica, doctorados y de mas y temo que pueda entrar a la red y robar la informacion.

en el mensaje me indica que es de nivel critico y el trafico es de una maquina de mi red hacia la una ip publica, es posible que me esten atacando desde dentro???

Muchas gracias por el interes, tengo aproximadamente 6 meses manejando tecnologia fortinet y no tengo mucha experiencia.

oscci_199
Mensajes: 4
Registrado: 29 Jun 2011, 17:57

Re: Aguien puede ayudarme por favor!!!

Mensaje por oscci_199 » 29 Jun 2011, 20:37

olvide decirte la version de fw de mi fortinet es: v4.0,build0192,091222 (MR1 Patch 2)

Saludos.

Avatar de Usuario
gabyrossi
Mensajes: 10177
Registrado: 30 Oct 2007, 19:47

Re: Aguien puede ayudarme por favor!!!

Mensaje por gabyrossi » 30 Jun 2011, 14:40

Hola, si usas el ips por defaulr seguramente tenes muchos falsos positivos.
Primero pensaria, para que usas ips en politicas salientes? tenes windows con las ultimas actualizaciones? estas bloqueando algo?

Yo lo dejaria de usar, y para bloquear alguna applicacion usaria application control.
Si tuvieras algun servicio abierto , si pondria ips. Y revisaria que quisiera chequear en politicas salientes.
saludos
NSE 5 - FortiGate Network Security Analyst
FCNSP v.5
FCNSA -

oscci_199
Mensajes: 4
Registrado: 29 Jun 2011, 17:57

Re: Aguien puede ayudarme por favor!!!

Mensaje por oscci_199 » 30 Jun 2011, 17:04

Ok, a ver si te entendi, lo que me sugieres es que me despreocupe por las entradas a mi red desde internet (desactivar el ips) y active el aplication control para bloquear puertos y aplicaciones desde el interior de la red?. El problema aqui es que no se que aplicaciones bloquear, hay una gran lista o deberia bloquear todo?. Solo una pregunta mas, es posible entrar a una red que tiene un fortinet 50b sin nada publicado al exterior (todos los puertos cerrados) ?

Gracias

Avatar de Usuario
gabyrossi
Mensajes: 10177
Registrado: 30 Oct 2007, 19:47

Re: Aguien puede ayudarme por favor!!!

Mensaje por gabyrossi » 30 Jun 2011, 19:16

hola, como estas?
el que tiene que saber que bloquear sos vos. Por eso el ips en default esta revsiando todo lo que pasa poor ahi, con algunas blouqeos y otros solo alertas de ataques que pueden ser falsos positivos o no.

saludos
NSE 5 - FortiGate Network Security Analyst
FCNSP v.5
FCNSA -

yelismar
Mensajes: 5
Registrado: 03 May 2016, 21:47

Re: Aguien puede ayudarme por favor!!!

Mensaje por yelismar » 23 Dic 2016, 16:20

hola Gaby,

gusto en saludarte,

y como uno determina si son falsos positivos? o no ?

quedo atenta a tu pronta respuesta.
Ing.Yelismar

Avatar de Usuario
gabyrossi
Mensajes: 10177
Registrado: 30 Oct 2007, 19:47

Re: Aguien puede ayudarme por favor!!!

Mensaje por gabyrossi » 27 Dic 2016, 15:06

hola, depende de como armaste el sensor de ips , si hay firmas que no son correctas para el s.o o app. que tengas detras
NSE 5 - FortiGate Network Security Analyst
FCNSP v.5
FCNSA -

Responder