none
Como configurar mis servidor para pervenir ataques DOS de TCP

    Question

  • Cordial Saludo

    He venido teniendo un inconvenientes con varios servidores, en el cual se bloquean todos los puertos tcp(no se autentica con cuenta del dominio, los puertos de sql no responde y no tiene acceso por red ni acceso a internet, realizando una captura de la tarjeta de red del servidor no se ven conexiones tcp de ninguna especie con otros equipo, solo conexiones de remote desktop realizadas por mi en momento de revisar el servidor) y solo se soluciona reiniciando la maquina, el bloqueo se da de manera aleatoria en unas maquina especificas, he realizado monitoreo de memoria y procesamiento y actualizacion de las tarjetas de red sin tener ningun resultado, por lo que pienso que soy victima de un ataque de negación de servicios, por lo que solicito su colaboración, para ver si alguien me colabora con algun procedimiento que me pueda servir para configurar mis servidores y prevenir los ataques

    Agradeciendo la ayuda prestada.

    Pedro J. Torres 
    Wednesday, September 16, 2009 5:15 PM

Answers

  • Te recomiendo que implementes el ISA SERVER o si tienes SWITCHES CISCO crees bien las VLAN para Permitir el acceso a solo equipos de tu red interna que se conecten a tus servidores.

    Saludos.
    Monday, November 09, 2009 3:06 AM

All replies

  • Te recomiendo que implementes el ISA SERVER o si tienes SWITCHES CISCO crees bien las VLAN para Permitir el acceso a solo equipos de tu red interna que se conecten a tus servidores.

    Saludos.
    Monday, November 09, 2009 3:06 AM
  • Saludos Pedro,

    Para que manejes servidores imagino que tienes un nivel de conocimientos aceptable, pero no está demás indicarte lo siguiente para tu análisis:

    1.- Usar Software Legal
    2.- El Software Legal que uses debe tener aún soporte del proveedor
    3.- Aplicar las actualizaciones del software a la fecha para asegurarte de fallos (bugs)
    4.- Usar un buen antivirus que proteja tu equipo (preferible los que esten TOP en el mercado como mejores del benchmark)
    5.- Analisar tu equipos con el antivirus actualizado a la fecha (puedes hacerlo localmente o conectando tu disco en paralelo en otro server/PC)
    6.- activar el firewall de tu windows (Si tienes el W 2008 activa el log del firewall para tu análisis)
    7.- Cambiar las contraseñas de acceso al/los servicio(s)
    8.- Analizar el eventvwr (ficha seguridad) de microsoft para evaluar si tienes equipos que desean autenticarse al Server (posibilidad de equipos infectados)
          (normalmente los bots de ataque tienen reincidencia de acceso al server como bajo 35 try logons en 10 segundos)
    9.- reforzar tu firewall perimetral y red lan con ACLs como lo indica el compañero

    Para que tengas un DOS TCP solo puede ocurrir por cuatro situaciones:

    1.- Tienes equipos infectados en tu red (PCs) que se están aprovechando de la vulnerabilidad de tu servidor por falta de actualizaciones de protección, que de ser así deberías tener tráfico de red y podrías analizarlo con un sniffer
    2.- Que tengas infectado tu equipo y tu antivirus al no poder desinfectarlo aisle el servicio y te deje sin operar, lo cual explicaría por que no se ve ataque por medio del tráfico de la red
    3.- No tienes implementada una buena política de seguridad en tus FW y LAN que prevengan accesos indeseados
    4.- Algún usuario, ex-usuario, Administrador, ex-Admistrador conoce tus claves de acceso y da debaja servicios del sistema operativo dejando inútil el server, para lo cual es recomendable cambiar las claves cada cierto tiempo

    Por lo pronto puedes comenzar con eso y luego vemos si necesitas realizar algo adicional

    Thursday, March 11, 2010 2:37 PM
  • Hombre para ir por la via rapida y si hay presupuesto lo que ha dicho Lesther Reyes Espinoza el ISA server que hoy en dia se llama Forefront TMG de da mucho juego a la hora de prevenir ataques y tambien de evitar que los usuarios se metan o usen webs que no deben, yo te lo recomiendo.
    Thursday, March 18, 2010 5:50 PM
  • Eso mas que todo me huele a que te estubieron Snifeando la red y te saturaron todo el trafico de tu red interna, porque yo una vez use CAIN y ABEL para hacer pruuebas con el ISA y automaticamente se bloquearon todos los puertos de comunicacion en la red,

    Saludos.


    Visita mi Web: www.videosinformaticos.com
    Thursday, March 18, 2010 11:35 PM
  • hola  para empezar  debes conseguir un corta fuegos adicional al que tienes  , cambiar el pasword como debes utilizar letras minúsculas , mayúsculas,

    números,caracteres especiales, con que fin para que sea difícil o casi imposible   que alguien penetre ...Rfy123@?Ry , y para ocultar tu ip necesitas un 

    proxy que hay muchos gratuitos , el ataque que te están asciendo es atraves tcp/ip te scanean y se dan de alta como administrador, revisan tus puertos de conexion 80,32,etc ... realizando surf port...

    Tuesday, April 13, 2010 3:17 AM