Página 1 de 1
Aumentar seguridad (Dos sensor), impedir escaner puertos
Publicado: 03 Abr 2012, 11:58
por Trustee
Buenas compañeros, con los tiempos que corren, a uno le inquieta, cada vez más, la seguridad. En este sentido estaba ojeando las siguientes recomendaciones para nuestros fortigates, muy claras y bien explicadas
[Debes identificarte para poder ver enlaces.]
La gran mayoría ya las estoy aplicando, pero me surge una cuestión, tengo habilitado en el IPS el sensor DoS con todos los ataques que vienen por defecto habilitados y con la acción de "bloquear", aun así he realizado pruebas desde un equipo externo y con la típica aplicación de escaner de puertos logro ver los puertos que tengo abiertos en mi fortigate. ¿es normal? ¿se me está escapando algo?
Ya he probado a variar el umbral en las anomalías DoS pero el escenario no ha cambiado.
A ver si alguien puede orientarme un poco, gracias de antemano!
Re: Aumentar seguridad (Dos sensor), impedir escaner puertos
Publicado: 03 Abr 2012, 15:40
por gabyrossi
hola, escanear puertos no es un ataque de DoS .
Si el puerto esta abierto es normal que se "vea" de afuera.
saludos
Re: Aumentar seguridad (Dos sensor), impedir escaner puertos
Publicado: 03 Abr 2012, 16:06
por yatusabes
Gracias Trustee por el aporte.
Re: Aumentar seguridad (Dos sensor), impedir escaner puertos
Publicado: 03 Abr 2012, 16:32
por Trustee
yatusabes escribió:Gracias Trustee por el aporte.
No hay de que!!! para eso estamos todos por aquí!
Gracias una vez más Gabirossi!!!
Re: Aumentar seguridad (Dos sensor), impedir escaner puertos
Publicado: 03 Abr 2012, 18:58
por jlfelipe
Buenas señores, he visto el enlace y esta genial.
Si queréis mejorarlo aun mas tenéis la opción de cuarentena, yo lo configuro con ésta opción porque te evitas los moscones.
Esto no se aplica en la política de DOS sino sobre el sensor.
En la CLI;
#config ips DoS
y sobre el profile que queramos, vamos a la edición del tipo de DoS y establecemos quarantine a enable:
ejemplo;
edit "udp_scan"
set status enable
set log enable
set action block
set quarantine attacker
set quarantine-log enable
set threshold 50
Saludos
Re: Aumentar seguridad (Dos sensor), impedir escaner puertos
Publicado: 09 Abr 2012, 17:14
por lemes
hola, mi recomendacion es la siguiente:
los atacantes siempre buscan como atacar los puertos por defecto, te recomiendo cambies los puertos publicados, puedes usar del 35,000 en adelante.
saludos,
Re: Aumentar seguridad (Dos sensor), impedir escaner puertos
Publicado: 12 Abr 2012, 21:20
por yatusabes
jlfelipe escribió:Buenas señores, he visto el enlace y esta genial.
Si queréis mejorarlo aun mas tenéis la opción de cuarentena, yo lo configuro con ésta opción porque te evitas los moscones.
Esto no se aplica en la política de DOS sino sobre el sensor.
En la CLI;
#config ips DoS
y sobre el profile que queramos, vamos a la edición del tipo de DoS y establecemos quarantine a enable:
ejemplo;
edit "udp_scan"
set status enable
set log enable
set action block
set quarantine attacker
set quarantine-log enable
set threshold 50
Saludos
Hola estoy intentando por CLI establecer algunos set pero me sale este error, soy nuevo implementando esto por consola :S
# set "quarantine attacker"
command parse error before 'quarantine attacker'
Command fail. Return code -61
# set quarantine attacker
command parse error before 'quarantine'
Command fail. Return code -61
Re: Aumentar seguridad (Dos sensor), impedir escaner puertos
Publicado: 12 Abr 2012, 22:30
por gabyrossi
hola, hay que ver que versiones tenes de firmware,
ahi mismo hace un show full-configuration y te muestra que seteos tiene
saludos