Bloquear MS.SMB.DCERPC.SRVSVC.PathCanonicalize.Overflow

Para temas relacionados con la detección y prevención de intrusos y accesos no autorizados a la red.
Responder
anavarro_pana
Mensajes: 34
Registrado: 14 Abr 2010, 20:38

Bloquear MS.SMB.DCERPC.SRVSVC.PathCanonicalize.Overflow

Mensaje por anavarro_pana »

Hola un saludo a todos: Como puedo hacer para evitar que se infecte las PC a través de MS.SMB.DCERPC.SRVSVC.PathCanonicalize.Overflow. tengo varios servidores con este problema.. existe alguna forma para hacerlo desde el fortigate.. tengo un Fortigate-500A 3.00-b0726(MR7).

De antemano agradecido.

Saludos
damagris
Mensajes: 68
Registrado: 29 Jul 2008, 17:39

Re: Bloquear MS.SMB.DCERPC.SRVSVC.PathCanonicalize.Overflow

Mensaje por damagris »

Deberías parchear convenientemente todos los equipos ya que ese ataque explota uno de los bugs más críticos de Windows. Además impide que los puertos 139 y 445 sean accesibles desde Internet hacia lo que tu publiques por medio del Fortigate.

Puede evitarlos en los accesos de Internet hacia tus servidores (denegando los puertos) pero si tus servidores y tus equipos están en el mismo segmento de red tendrás que actuar sobre ellos directamente.
anavarro_pana
Mensajes: 34
Registrado: 14 Abr 2010, 20:38

Re: Bloquear MS.SMB.DCERPC.SRVSVC.PathCanonicalize.Overflow

Mensaje por anavarro_pana »

Hola Damagris: Gracias por tu aporte, consulta: los equipos los tengo en el mismo segmento de red que los servidores. Detallame please como actuar directamente, a través del forti. trate de instarle el parche pero me manda un error.

Saludos,
damagris
Mensajes: 68
Registrado: 29 Jul 2008, 17:39

Re: Bloquear MS.SMB.DCERPC.SRVSVC.PathCanonicalize.Overflow

Mensaje por damagris »

Tener los servidores y los equipos de cliente en el mismo segmento de red no es recomendable y es uno de los errores más graves en los diseños de redes. Sobre todo si los equipos de los usuarios están ejecutando en modo administrador que me temo es tu caso ya que por lo que veo lo tienes extendido. Mi recomendación sería que te hicieras una DMZ (una zona desmilitarizada) en una boca del Fortigate y en otra boca dispusieras el segmento LAN de tus usuarios. Entre DMZ y LAN filtra todos los puertos y deja pasar exclusivamente lo necesario. No estarás 100% protegido pero al menos establecerás una segmentación a nivel de cortafuegos. Piensa que el primer nivel de seguridad es siempre no dejar que los usuarios ejecuten en modo administrador nada, luego sería tener correctamente parcheadas las máquinas, tener un buen antivirus, tener la red segmentada y en lo más alto un buen firewall que controle todos los segmentos.

Ahora intenta coger las ayudas de Microsoft para ir quitando el gusano ya que tiene muchas variantes y en gran parte de ellas, una de las consecuencias es no dejarte parchear correctamente ya que mete su parche "falso" y Windows Update te dirá que no lo necesitas, cuando es falso evidentemente.

El firewall ahora mismo no te va a ayudar si ya lo tienes dentro y sólo tienes un único segmento de red. Vete limpiando con paciencia y luego ya todas medidas más estructurales.
anavarro_pana
Mensajes: 34
Registrado: 14 Abr 2010, 20:38

Re: Bloquear MS.SMB.DCERPC.SRVSVC.PathCanonicalize.Overflow

Mensaje por anavarro_pana »

Muchas gracias por tu aporte y recomendaciones..

Le he corrido varias utilidades y aún no logro instalar el parche. Pero te confirmo cuando lo consiga.

Saludos,
anavarro_pana
Mensajes: 34
Registrado: 14 Abr 2010, 20:38

Re: Bloquear MS.SMB.DCERPC.SRVSVC.PathCanonicalize.Overflow

Mensaje por anavarro_pana »

De paso si me puedes ayudar necesito bloqueaar este trafico ICMP.Bad.Checksum. para q me orients.

Gracias
eduardo73
Mensajes: 13
Registrado: 08 Nov 2009, 21:48

Re: Bloquear MS.SMB.DCERPC.SRVSVC.PathCanonicalize.Overflow

Mensaje por eduardo73 »

Antes de bloquearlo revisa la configuración de cables, conexiones y tarjetas de red de los elementos implicados. No necesariamente tiene que tratarse de un tráfico generado a propósito. Los errores de Bad Checksum son causados principalmente por problemas de conexión (cables, switchs o hubs con problemas, conexiones en autonegociación, HDx y no FDx, saturación ...)

A parte deniega todo el tráfico ICMP del exterior hacia el interior de tu red y si es posible al mismo firewall.
anavarro_pana
Mensajes: 34
Registrado: 14 Abr 2010, 20:38

Re: Bloquear MS.SMB.DCERPC.SRVSVC.PathCanonicalize.Overflow

Mensaje por anavarro_pana »

Muchas gracias por el Aporte
Responder