Aguien puede ayudarme por favor!!!
Aguien puede ayudarme por favor!!!
Les comento que hace unos meses comence a trabajar en una empresa que tenia problemas con su anteriro administrador, yo se utilizar el fortinet en la creacion de politicas y routeo sin embargo los antecesores amenazaron con entrar a la red y destruir la informacion de servidor, en cuenstiones de seguridad no soy muy habil y actualmente detecte algunos ataques a mi red, alguien me puede ayudar para tener al 100 % la seguridad en mi red o almenos decirme a que hace referencia el mensaje de ataque que detecto el sensor ips es a-ipdf: HTTP.URI.Overflow. Mi empresa cuenta con un fortinet 50b, mi red no tiene mucha ciencia solo cuento con un servidor en donde se aloja todo la informacion, no tiene instalado ningun controlador de dominio, recientemente le active el controlador para soporte ftp y web.
Espero alguien pueda apoyarme.
Agradezco de antemano.
Saludos.
Espero alguien pueda apoyarme.
Agradezco de antemano.
Saludos.
Re: Aguien puede ayudarme por favor!!!
Hola, asi como contas mucho no podremos ayudarte.
<estas abriendo servicios a internet? cuales? tenes configurado el ips, como?
saludos
<estas abriendo servicios a internet? cuales? tenes configurado el ips, como?
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Aguien puede ayudarme por favor!!!
De afuera hacia adentro no tengo abierto ningun puerto, ni siquiera los de monitoreo(https, ping, telnet), no tengo publicado ningun servidor web, ftp o algun servicio por algun puerto. Todo esta cerrado, sin embargo me han estado llegando estos mensajes en el ips, utilice una configuracion por default de "ips protect against client-side vulnerabilities". La verdad es que la persona que les comento anteriormente es un especialista en seguridad informatica, doctorados y de mas y temo que pueda entrar a la red y robar la informacion.
en el mensaje me indica que es de nivel critico y el trafico es de una maquina de mi red hacia la una ip publica, es posible que me esten atacando desde dentro???
Muchas gracias por el interes, tengo aproximadamente 6 meses manejando tecnologia fortinet y no tengo mucha experiencia.
en el mensaje me indica que es de nivel critico y el trafico es de una maquina de mi red hacia la una ip publica, es posible que me esten atacando desde dentro???
Muchas gracias por el interes, tengo aproximadamente 6 meses manejando tecnologia fortinet y no tengo mucha experiencia.
Re: Aguien puede ayudarme por favor!!!
olvide decirte la version de fw de mi fortinet es: v4.0,build0192,091222 (MR1 Patch 2)
Saludos.
Saludos.
Re: Aguien puede ayudarme por favor!!!
Hola, si usas el ips por defaulr seguramente tenes muchos falsos positivos.
Primero pensaria, para que usas ips en politicas salientes? tenes windows con las ultimas actualizaciones? estas bloqueando algo?
Yo lo dejaria de usar, y para bloquear alguna applicacion usaria application control.
Si tuvieras algun servicio abierto , si pondria ips. Y revisaria que quisiera chequear en politicas salientes.
saludos
Primero pensaria, para que usas ips en politicas salientes? tenes windows con las ultimas actualizaciones? estas bloqueando algo?
Yo lo dejaria de usar, y para bloquear alguna applicacion usaria application control.
Si tuvieras algun servicio abierto , si pondria ips. Y revisaria que quisiera chequear en politicas salientes.
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Aguien puede ayudarme por favor!!!
Ok, a ver si te entendi, lo que me sugieres es que me despreocupe por las entradas a mi red desde internet (desactivar el ips) y active el aplication control para bloquear puertos y aplicaciones desde el interior de la red?. El problema aqui es que no se que aplicaciones bloquear, hay una gran lista o deberia bloquear todo?. Solo una pregunta mas, es posible entrar a una red que tiene un fortinet 50b sin nada publicado al exterior (todos los puertos cerrados) ?
Gracias
Gracias
Re: Aguien puede ayudarme por favor!!!
hola, como estas?
el que tiene que saber que bloquear sos vos. Por eso el ips en default esta revsiando todo lo que pasa poor ahi, con algunas blouqeos y otros solo alertas de ataques que pueden ser falsos positivos o no.
saludos
el que tiene que saber que bloquear sos vos. Por eso el ips en default esta revsiando todo lo que pasa poor ahi, con algunas blouqeos y otros solo alertas de ataques que pueden ser falsos positivos o no.
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Aguien puede ayudarme por favor!!!
hola Gaby,
gusto en saludarte,
y como uno determina si son falsos positivos? o no ?
quedo atenta a tu pronta respuesta.
gusto en saludarte,
y como uno determina si son falsos positivos? o no ?
quedo atenta a tu pronta respuesta.
Ing.Yelismar
Re: Aguien puede ayudarme por favor!!!
hola, depende de como armaste el sensor de ips , si hay firmas que no son correctas para el s.o o app. que tengas detras
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Aguien puede ayudarme por favor!!!
hola fíjate que trafico ejemplo el wanacryptor es el puerto 445 smb y genera trafico y mucho queriendo salir de adentro hacia afuera , esto sucede porque los windows no están actualizados , y cuales son los destinos y el origen banea todos los destinos y la pc de origen