Aguien puede ayudarme por favor!!!

Para temas relacionados con la detección y prevención de intrusos y accesos no autorizados a la red.
Cerrado
oscci_199
Mensajes: 4
Registrado: 29 Jun 2011, 17:57

Aguien puede ayudarme por favor!!!

Mensaje por oscci_199 »

Les comento que hace unos meses comence a trabajar en una empresa que tenia problemas con su anteriro administrador, yo se utilizar el fortinet en la creacion de politicas y routeo sin embargo los antecesores amenazaron con entrar a la red y destruir la informacion de servidor, en cuenstiones de seguridad no soy muy habil y actualmente detecte algunos ataques a mi red, alguien me puede ayudar para tener al 100 % la seguridad en mi red o almenos decirme a que hace referencia el mensaje de ataque que detecto el sensor ips es a-ipdf: HTTP.URI.Overflow. Mi empresa cuenta con un fortinet 50b, mi red no tiene mucha ciencia solo cuento con un servidor en donde se aloja todo la informacion, no tiene instalado ningun controlador de dominio, recientemente le active el controlador para soporte ftp y web.

Espero alguien pueda apoyarme.

Agradezco de antemano.

Saludos.
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Aguien puede ayudarme por favor!!!

Mensaje por gabyrossi »

Hola, asi como contas mucho no podremos ayudarte.

<estas abriendo servicios a internet? cuales? tenes configurado el ips, como?

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
oscci_199
Mensajes: 4
Registrado: 29 Jun 2011, 17:57

Re: Aguien puede ayudarme por favor!!!

Mensaje por oscci_199 »

De afuera hacia adentro no tengo abierto ningun puerto, ni siquiera los de monitoreo(https, ping, telnet), no tengo publicado ningun servidor web, ftp o algun servicio por algun puerto. Todo esta cerrado, sin embargo me han estado llegando estos mensajes en el ips, utilice una configuracion por default de "ips protect against client-side vulnerabilities". La verdad es que la persona que les comento anteriormente es un especialista en seguridad informatica, doctorados y de mas y temo que pueda entrar a la red y robar la informacion.

en el mensaje me indica que es de nivel critico y el trafico es de una maquina de mi red hacia la una ip publica, es posible que me esten atacando desde dentro???

Muchas gracias por el interes, tengo aproximadamente 6 meses manejando tecnologia fortinet y no tengo mucha experiencia.
oscci_199
Mensajes: 4
Registrado: 29 Jun 2011, 17:57

Re: Aguien puede ayudarme por favor!!!

Mensaje por oscci_199 »

olvide decirte la version de fw de mi fortinet es: v4.0,build0192,091222 (MR1 Patch 2)

Saludos.
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Aguien puede ayudarme por favor!!!

Mensaje por gabyrossi »

Hola, si usas el ips por defaulr seguramente tenes muchos falsos positivos.
Primero pensaria, para que usas ips en politicas salientes? tenes windows con las ultimas actualizaciones? estas bloqueando algo?

Yo lo dejaria de usar, y para bloquear alguna applicacion usaria application control.
Si tuvieras algun servicio abierto , si pondria ips. Y revisaria que quisiera chequear en politicas salientes.
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
oscci_199
Mensajes: 4
Registrado: 29 Jun 2011, 17:57

Re: Aguien puede ayudarme por favor!!!

Mensaje por oscci_199 »

Ok, a ver si te entendi, lo que me sugieres es que me despreocupe por las entradas a mi red desde internet (desactivar el ips) y active el aplication control para bloquear puertos y aplicaciones desde el interior de la red?. El problema aqui es que no se que aplicaciones bloquear, hay una gran lista o deberia bloquear todo?. Solo una pregunta mas, es posible entrar a una red que tiene un fortinet 50b sin nada publicado al exterior (todos los puertos cerrados) ?

Gracias
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Aguien puede ayudarme por favor!!!

Mensaje por gabyrossi »

hola, como estas?
el que tiene que saber que bloquear sos vos. Por eso el ips en default esta revsiando todo lo que pasa poor ahi, con algunas blouqeos y otros solo alertas de ataques que pueden ser falsos positivos o no.

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
yelismar
Mensajes: 6
Registrado: 03 May 2016, 21:47

Re: Aguien puede ayudarme por favor!!!

Mensaje por yelismar »

hola Gaby,

gusto en saludarte,

y como uno determina si son falsos positivos? o no ?

quedo atenta a tu pronta respuesta.
Ing.Yelismar
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Aguien puede ayudarme por favor!!!

Mensaje por gabyrossi »

hola, depende de como armaste el sensor de ips , si hay firmas que no son correctas para el s.o o app. que tengas detras
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
ariel
Mensajes: 1
Registrado: 03 May 2017, 22:49

Re: Aguien puede ayudarme por favor!!!

Mensaje por ariel »

hola fíjate que trafico ejemplo el wanacryptor es el puerto 445 smb y genera trafico y mucho queriendo salir de adentro hacia afuera , esto sucede porque los windows no están actualizados , y cuales son los destinos y el origen banea todos los destinos y la pc de origen
Cerrado