none
Poxy web y Secure NAT RRS feed

  • Pregunta

  •  

    Tengo instalado un ISA SERVER 2004 y como teniéndolo "configurado" me consiguieron hackear el servidor estoy algo paranoico porque no se que puedo hacer más ya para evitar que me toquen los ... ejem.

    Tengo abierto el puerto 80, el 21 y el 3389 sólamente. Es normal que tenga 70 conexiones de red, 60 de proxy web y 10 de Secure NAT? Voy a tener página web colgada pero todavía no está, tengo un 2003 sbs, un symantec antivirus, un adware, y on line paso regularmente el panda. Ya no se que hacer más la verdad Además tengo instalado un programa Winconnect que administra el terminal server y no entra nadie a través de Terminal. El puerto 21 no permite acceso anónimo. Actualizo cada 3 días.

    De verdad, se puede hacer algo más? Tengo un dominio, pero no lo necesito, sólo que el sbs me obliga a hacerlo. Tengo una sóla tarjeta de red y no se si me falta algo por decir.

    Es que cada vez me va más lento cuando entro al servidor y ya no se que pensar.

    Muchas gracias por adelantado de verdad.

    Enrique

    P.D. Agradecería que las respuestas sean lo más sencillas de comprender, ya que aunque "controlo" algo, no tengo tantos conocimientos como vosotros y algunas veces no se comprende o no se encuentra luego en el ISA

    miércoles, 17 de enero de 2007 9:47

Respuestas

  • Veras ISA es un firewall, todos los firewall son coladores, ya que dejan pasar el trafico a aquellos sitios que les configuramos en las reglas.

    Aunque ISA tiene la capacidad de mirar dentro del trafico de algunos protocolos para ver si lo que se esta haciendo es "bueno" o no, esto no siempre te protege de ciertos tipos de ataques.

    Tu comentas que tienes abierto el 3389 el 21 y el 80, cada uno de ellos es abierto por un servicio, dichos servicios pueden tener vulnerabilidades o fallos de conexión que son los que puede atacar un "hacker".

    Si tienes abierto el puerto 80, es que tienes una web, esto añade otro nivel mas de complejidad ya que la propia programación de la pagina puede contener fallos de seguridad que permitan a un atacante conseguir el control de tu servidor.

    Ante estas situaciones un antivirus o un antispyware son de ayuda pero muy pequeña.

    Te recomiendo que si tienes una aplicación web, la hagas supervisar por un experto en seguridad.

    Que cierres el puerto 21 y 3389 y configures una VPN en el ISA, la gente que tenga que acceder a cualquiera de estos dos servicios que establezca antes una VPN.

    Si no quieres configurar una VPN al menos cierra ambos puestos a las IPs de origen, ya que el 21 es inseguro y el 3389 pues no lo tendria publicado en internet, del winconnect no hablo por que es de risa, especialmente por que es algo que puedes hacer desde el ISA mucho mejor y actua antes y por que el propio Windows 2003 tambien te lo puede hacer usando ipsec.

    Respecto a las sesiones todo puede ser normal o no, mira los logs, puedes verlos en tiempo real: http://geeks.ms/blogs/dmatey/archive/2007/01/16/basicos-reglas-de-isa-server.aspx

    Tambien te aconsejo que evalues tu firewall desde fuera de tu red, puedes leer este articulo:

    http://geeks.ms/blogs/dmatey/archive/2007/01/16/un-firewall-es-un-accesorio-de-cocina-probando-isa-server-2006.aspx

    La seguridad de los servidores es una cosa complicada.

    Un saludo.

    *******************************************************************************************************************

    Colabora con el foro: Si la respuesta te es de utilidad marca la pregunta como respondida.

    *******************************************************************************************************************

    Daniel Matey.

    MVP

    MCSE, MCSA, MCSD, MCDBA.

    Blog: http://geeks.ms/blogs/dmatey

     

     

    • Marcado como respuesta Ismael Borche martes, 24 de mayo de 2011 19:42
    miércoles, 17 de enero de 2007 19:01

Todas las respuestas

  • No te menosprecies, que aqui nadie sabe mas que nadie.

    A ver puede ser posible que si que tengas todas esas conexiones y sean "conexiones buenas". Si te fijas te deberia de indicar de donde parten esas conexiones, es decir, la IP de origen o el cliente. ¿puede ver de donde provienen (exterior o interior)?

     

    Salu2:)

    miércoles, 17 de enero de 2007 12:29
  • Veras ISA es un firewall, todos los firewall son coladores, ya que dejan pasar el trafico a aquellos sitios que les configuramos en las reglas.

    Aunque ISA tiene la capacidad de mirar dentro del trafico de algunos protocolos para ver si lo que se esta haciendo es "bueno" o no, esto no siempre te protege de ciertos tipos de ataques.

    Tu comentas que tienes abierto el 3389 el 21 y el 80, cada uno de ellos es abierto por un servicio, dichos servicios pueden tener vulnerabilidades o fallos de conexión que son los que puede atacar un "hacker".

    Si tienes abierto el puerto 80, es que tienes una web, esto añade otro nivel mas de complejidad ya que la propia programación de la pagina puede contener fallos de seguridad que permitan a un atacante conseguir el control de tu servidor.

    Ante estas situaciones un antivirus o un antispyware son de ayuda pero muy pequeña.

    Te recomiendo que si tienes una aplicación web, la hagas supervisar por un experto en seguridad.

    Que cierres el puerto 21 y 3389 y configures una VPN en el ISA, la gente que tenga que acceder a cualquiera de estos dos servicios que establezca antes una VPN.

    Si no quieres configurar una VPN al menos cierra ambos puestos a las IPs de origen, ya que el 21 es inseguro y el 3389 pues no lo tendria publicado en internet, del winconnect no hablo por que es de risa, especialmente por que es algo que puedes hacer desde el ISA mucho mejor y actua antes y por que el propio Windows 2003 tambien te lo puede hacer usando ipsec.

    Respecto a las sesiones todo puede ser normal o no, mira los logs, puedes verlos en tiempo real: http://geeks.ms/blogs/dmatey/archive/2007/01/16/basicos-reglas-de-isa-server.aspx

    Tambien te aconsejo que evalues tu firewall desde fuera de tu red, puedes leer este articulo:

    http://geeks.ms/blogs/dmatey/archive/2007/01/16/un-firewall-es-un-accesorio-de-cocina-probando-isa-server-2006.aspx

    La seguridad de los servidores es una cosa complicada.

    Un saludo.

    *******************************************************************************************************************

    Colabora con el foro: Si la respuesta te es de utilidad marca la pregunta como respondida.

    *******************************************************************************************************************

    Daniel Matey.

    MVP

    MCSE, MCSA, MCSD, MCDBA.

    Blog: http://geeks.ms/blogs/dmatey

     

     

    • Marcado como respuesta Ismael Borche martes, 24 de mayo de 2011 19:42
    miércoles, 17 de enero de 2007 19:01