Página 1 de 1

Aguien puede ayudarme por favor!!!

Publicado: 29 Jun 2011, 18:21
por oscci_199
Les comento que hace unos meses comence a trabajar en una empresa que tenia problemas con su anteriro administrador, yo se utilizar el fortinet en la creacion de politicas y routeo sin embargo los antecesores amenazaron con entrar a la red y destruir la informacion de servidor, en cuenstiones de seguridad no soy muy habil y actualmente detecte algunos ataques a mi red, alguien me puede ayudar para tener al 100 % la seguridad en mi red o almenos decirme a que hace referencia el mensaje de ataque que detecto el sensor ips es a-ipdf: HTTP.URI.Overflow. Mi empresa cuenta con un fortinet 50b, mi red no tiene mucha ciencia solo cuento con un servidor en donde se aloja todo la informacion, no tiene instalado ningun controlador de dominio, recientemente le active el controlador para soporte ftp y web.

Espero alguien pueda apoyarme.

Agradezco de antemano.

Saludos.

Re: Aguien puede ayudarme por favor!!!

Publicado: 29 Jun 2011, 19:51
por gabyrossi
Hola, asi como contas mucho no podremos ayudarte.

<estas abriendo servicios a internet? cuales? tenes configurado el ips, como?

saludos

Re: Aguien puede ayudarme por favor!!!

Publicado: 29 Jun 2011, 20:35
por oscci_199
De afuera hacia adentro no tengo abierto ningun puerto, ni siquiera los de monitoreo(https, ping, telnet), no tengo publicado ningun servidor web, ftp o algun servicio por algun puerto. Todo esta cerrado, sin embargo me han estado llegando estos mensajes en el ips, utilice una configuracion por default de "ips protect against client-side vulnerabilities". La verdad es que la persona que les comento anteriormente es un especialista en seguridad informatica, doctorados y de mas y temo que pueda entrar a la red y robar la informacion.

en el mensaje me indica que es de nivel critico y el trafico es de una maquina de mi red hacia la una ip publica, es posible que me esten atacando desde dentro???

Muchas gracias por el interes, tengo aproximadamente 6 meses manejando tecnologia fortinet y no tengo mucha experiencia.

Re: Aguien puede ayudarme por favor!!!

Publicado: 29 Jun 2011, 20:37
por oscci_199
olvide decirte la version de fw de mi fortinet es: v4.0,build0192,091222 (MR1 Patch 2)

Saludos.

Re: Aguien puede ayudarme por favor!!!

Publicado: 30 Jun 2011, 14:40
por gabyrossi
Hola, si usas el ips por defaulr seguramente tenes muchos falsos positivos.
Primero pensaria, para que usas ips en politicas salientes? tenes windows con las ultimas actualizaciones? estas bloqueando algo?

Yo lo dejaria de usar, y para bloquear alguna applicacion usaria application control.
Si tuvieras algun servicio abierto , si pondria ips. Y revisaria que quisiera chequear en politicas salientes.
saludos

Re: Aguien puede ayudarme por favor!!!

Publicado: 30 Jun 2011, 17:04
por oscci_199
Ok, a ver si te entendi, lo que me sugieres es que me despreocupe por las entradas a mi red desde internet (desactivar el ips) y active el aplication control para bloquear puertos y aplicaciones desde el interior de la red?. El problema aqui es que no se que aplicaciones bloquear, hay una gran lista o deberia bloquear todo?. Solo una pregunta mas, es posible entrar a una red que tiene un fortinet 50b sin nada publicado al exterior (todos los puertos cerrados) ?

Gracias

Re: Aguien puede ayudarme por favor!!!

Publicado: 30 Jun 2011, 19:16
por gabyrossi
hola, como estas?
el que tiene que saber que bloquear sos vos. Por eso el ips en default esta revsiando todo lo que pasa poor ahi, con algunas blouqeos y otros solo alertas de ataques que pueden ser falsos positivos o no.

saludos

Re: Aguien puede ayudarme por favor!!!

Publicado: 23 Dic 2016, 16:20
por yelismar
hola Gaby,

gusto en saludarte,

y como uno determina si son falsos positivos? o no ?

quedo atenta a tu pronta respuesta.

Re: Aguien puede ayudarme por favor!!!

Publicado: 27 Dic 2016, 15:06
por gabyrossi
hola, depende de como armaste el sensor de ips , si hay firmas que no son correctas para el s.o o app. que tengas detras

Re: Aguien puede ayudarme por favor!!!

Publicado: 29 Mar 2019, 20:00
por ariel
hola fíjate que trafico ejemplo el wanacryptor es el puerto 445 smb y genera trafico y mucho queriendo salir de adentro hacia afuera , esto sucede porque los windows no están actualizados , y cuales son los destinos y el origen banea todos los destinos y la pc de origen