Aumentar seguridad (Dos sensor), impedir escaner puertos

[Trustee]

Buenas compañeros, con los tiempos que corren, a uno le inquieta, cada vez más, la seguridad. En este sentido estaba ojeando las siguientes recomendaciones para nuestros fortigates, muy claras y bien explicadas
[Debes identificarte para poder ver enlaces.]

La gran mayoría ya las estoy aplicando, pero me surge una cuestión, tengo habilitado en el IPS el sensor DoS con todos los ataques que vienen por defecto habilitados y con la acción de "bloquear", aun así he realizado pruebas desde un equipo externo y con la típica aplicación de escaner de puertos logro ver los puertos que tengo abiertos en mi fortigate. ¿es normal? ¿se me está escapando algo?
Ya he probado a variar el umbral en las anomalías DoS pero el escenario no ha cambiado.

A ver si alguien puede orientarme un poco, gracias de antemano!

[gabyrossi]

hola, escanear puertos no es un ataque de DoS .

Si el puerto esta abierto es normal que se "vea" de afuera.

saludos

[yatusabes]

Gracias Trustee por el aporte.

[Trustee]

Gracias Trustee por el aporte.

No hay de que!!! para eso estamos todos por aquí!

Gracias una vez más Gabirossi!!!

[jlfelipe]

Buenas señores, he visto el enlace y esta genial.
Si queréis mejorarlo aun mas tenéis la opción de cuarentena, yo lo configuro con ésta opción porque te evitas los moscones.
Esto no se aplica en la política de DOS sino sobre el sensor.
En la CLI;
#config ips DoS
y sobre el profile que queramos, vamos a la edición del tipo de DoS y establecemos quarantine a enable:
ejemplo;
edit "udp_scan"
set status enable
set log enable
set action block
set quarantine attacker
set quarantine-log enable
set threshold 50


Saludos

[lemes]

hola, mi recomendacion es la siguiente:
los atacantes siempre buscan como atacar los puertos por defecto, te recomiendo cambies los puertos publicados, puedes usar del 35,000 en adelante.
saludos,

[yatusabes]

Buenas señores, he visto el enlace y esta genial.
Si queréis mejorarlo aun mas tenéis la opción de cuarentena, yo lo configuro con ésta opción porque te evitas los moscones.
Esto no se aplica en la política de DOS sino sobre el sensor.
En la CLI;
#config ips DoS
y sobre el profile que queramos, vamos a la edición del tipo de DoS y establecemos quarantine a enable:
ejemplo;
edit "udp_scan"
set status enable
set log enable
set action block
set quarantine attacker
set quarantine-log enable
set threshold 50


Saludos

Hola estoy intentando por CLI establecer algunos set pero me sale este error, soy nuevo implementando esto por consola :S

# set "quarantine attacker"
command parse error before 'quarantine attacker'
Command fail. Return code -61
# set quarantine attacker
command parse error before 'quarantine'
Command fail. Return code -61

[gabyrossi]

hola, hay que ver que versiones tenes de firmware,
ahi mismo hace un show full-configuration y te muestra que seteos tiene

saludos