Ataques externos

Para temas relacionados con la detección y prevención de intrusos y accesos no autorizados a la red.
Responder
eechague
Mensajes: 7
Registrado: 13 Feb 2014, 17:59

Ataques externos

Mensaje por eechague »

Buenos días,

MI consulta esta referida a una serie de ataques que son reportado en el Forticloud. Los ataques son siempre a un IP publica, la cual tiene una re-dirección del puerto 80 al web server. Tengo habilitado un IPS y aplicado en las políticas de enrutamiento. Sin embargo se siguen reportando ataques de tipo PHP.CGI.argument.injections y zmeu.vulnerability.scanner.

Que sugerencia o consideración podría tomar para solucionar este inconveniente.

Muchas gracias.
iescudero
Mensajes: 89
Registrado: 26 Sep 2012, 12:03

Re: Ataques externos

Mensaje por iescudero »

Buenas, los ataques son siempre del mismo origen? sabes de donde puede ser?

Podes bloquear el ataque con IPS:

1)Creamos el sensor IPS, que lo que va a hacer con esto es bloquear la IP del atacante por 30 minutos si coincide la firma del php injection.
config ips sensor
edit "Bloquea"
set comment "Bloquea ataques por PHP.CGI.Argument.Injection"
config entries
edit 1
set action block
set quarantine attacker
set quarantine-expiry 30
set rule 31752
next
end
next
end

2) aplicas el IPS en la politica donde estas publicando al server

Es la unica que se me ocurre, podes bloquearlo por mas tiempo o si es siempre de la misma IP podes crear un deny por encima de la regla en donde publicas el server.

Saludos!
Avatar de Usuario
aykargil
Mensajes: 8
Registrado: 04 Dic 2013, 11:02
Ubicación: Caracas - Venezuela
Contactar:

Re: Ataques externos

Mensaje por aykargil »

Buenas, saludos.

Complementando mas allá del lado del fortigate, como muy bien explico el compañero @iescudero en su respuesta.

Te recomiendo, actualizar o parchar tu web server, ya que son script comunes de fallas de seguridad que tienen los Web Server.

Que Web Server estas corriendo IIS con soporte php ? Apache ? Cual ?

En el caso de Apache te recomiendo instalar mod_security y mod_evasive.

Otra buena praxis es cambiar los puertos estandar o puertos conocidos para minimizar los ataques.

Saludos y espero que sea útil.
AGG

Sysadmin - NSE7 - CCNA
eechague
Mensajes: 7
Registrado: 13 Feb 2014, 17:59

Re: Ataques externos

Mensaje por eechague »

Buenos días,

Gracias por las sugerencias, implementaré la configuración del IPS y veré la posibilidad de aplicar los parches de seguridad en el Server Apache.

Seguimos en contacto,

Saludos.
Responder