Comunidad FORTIGATE.es

Hola un saludo a todos: Como puedo hacer para evitar que se infecte las PC a través de MS.SMB.DCERPC.SRVSVC.PathCanonicalize.Overflow. tengo varios servidores con este problema.. existe alguna forma para hacerlo desde el fortigate.. tengo un Fortigate-500A 3.00-b0726(MR7).

De antemano agradecido.

Saludos

Deberías parchear convenientemente todos los equipos ya que ese ataque explota uno de los bugs más críticos de Windows. Además impide que los puertos 139 y 445 sean accesibles desde Internet hacia lo que tu publiques por medio del Fortigate.

Puede evitarlos en los accesos de Internet hacia tus servidores (denegando los puertos) pero si tus servidores y tus equipos están en el mismo segmento de red tendrás que actuar sobre ellos directamente.

Hola Damagris: Gracias por tu aporte, consulta: los equipos los tengo en el mismo segmento de red que los servidores. Detallame please como actuar directamente, a través del forti. trate de instarle el parche pero me manda un error.

Saludos,

Tener los servidores y los equipos de cliente en el mismo segmento de red no es recomendable y es uno de los errores más graves en los diseños de redes. Sobre todo si los equipos de los usuarios están ejecutando en modo administrador que me temo es tu caso ya que por lo que veo lo tienes extendido. Mi recomendación sería que te hicieras una DMZ (una zona desmilitarizada) en una boca del Fortigate y en otra boca dispusieras el segmento LAN de tus usuarios. Entre DMZ y LAN filtra todos los puertos y deja pasar exclusivamente lo necesario. No estarás 100% protegido pero al menos establecerás una segmentación a nivel de cortafuegos. Piensa que el primer nivel de seguridad es siempre no dejar que los usuarios ejecuten en modo administrador nada, luego sería tener correctamente parcheadas las máquinas, tener un buen antivirus, tener la red segmentada y en lo más alto un buen firewall que controle todos los segmentos.

Ahora intenta coger las ayudas de Microsoft para ir quitando el gusano ya que tiene muchas variantes y en gran parte de ellas, una de las consecuencias es no dejarte parchear correctamente ya que mete su parche "falso" y Windows Update te dirá que no lo necesitas, cuando es falso evidentemente.

El firewall ahora mismo no te va a ayudar si ya lo tienes dentro y sólo tienes un único segmento de red. Vete limpiando con paciencia y luego ya todas medidas más estructurales.

Muchas gracias por tu aporte y recomendaciones..

Le he corrido varias utilidades y aún no logro instalar el parche. Pero te confirmo cuando lo consiga.

Saludos,

De paso si me puedes ayudar necesito bloqueaar este trafico ICMP.Bad.Checksum. para q me orients.

Gracias

Antes de bloquearlo revisa la configuración de cables, conexiones y tarjetas de red de los elementos implicados. No necesariamente tiene que tratarse de un tráfico generado a propósito. Los errores de Bad Checksum son causados principalmente por problemas de conexión (cables, switchs o hubs con problemas, conexiones en autonegociación, HDx y no FDx, saturación ...)

A parte deniega todo el tráfico ICMP del exterior hacia el interior de tu red y si es posible al mismo firewall.

Muchas gracias por el Aporte