Ver Mensaje Individual
  #1 (permalink)  
Antiguo 13/01/2003, 12:07
Avatar de Alfon
Alfon
Colaborador
 
Fecha de Ingreso: octubre-2000
Mensajes: 1.976
Antigüedad: 24 años, 2 meses
Puntos: 14
Asegurando Windows 2K desde el registro.

A parte de las consabidas recomendaciones generales de protección de un PC o red basadas en las instalación de software cortafuegos, antivirus, políticas de seguridad, sensores detección de intrusos, etc, desde Windows, en este
caso Windows 2000/NT (no lo probé en XP pero supongo que funciona igual) podemos aumentar nuestra seguridad contra ataques provenientes del exterior con sólo modificar o crear ciertas claves del registro. Estas claves nos proveerá de una seguridad añadida contra secuestros de sesión (hijacking), ataques DoS y privacidad. Algunas cosillas que comento aquí igual pueden servir para las FAQs.

Las claves deberán ser modificadas o creadas en:


\HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\Tcpip
\Parameters


Comenzamos esta serie con siete claves. Más adelante iremos viendo más así como algunos trucos para
asegurar nuestro sistema windo.


Código:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect
Tipo de Valor: REG_DWORD
Valor recomendado: 2 ( también 1 )
Explicación de esta clave

La protección de Synattack involucra la reducción de la cantidad de retransmisiones para el SYN-ACKS, que reducirá el tiempo en el que los recursos deben permanecer asignados. La asignación de los recursos de la entrada de memoria caché de la ruta es retardada hasta que se logra la conexión. Si synattackprotect = 2, entonces la indicación de la conexión a AFD es retardada hasta que se completa la conexión en las tres vías. También note que las acciones tomadas por el mecanismo de protección sólo ocurre si los parámetros de TcpMaxHalfOpen y TcpMaxHalfOpenRetried se exceden.

Esta clave depende de otras dos:

Código:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpen
Tipo de Valor: REG_DWORD-Number
Valor recomendado: 100 (para versión professional y server) 500 (advanced server)

Explicación de esta clave

Este parámetro controla el número de conexiones en el estado SYN-RCVD permitido antes de que la protección de SYN-ATTACK comience a operar. Si SynAttackProtect se configura en 1, asegúrese que este valor es menor al valor de AFD en la lista de trabajos pendientes en el puerto que desea proteger (vea "Parámetros de Trabajos pendientes" para mayor información). Vea el parámetro de SynAttackProtect para conocer más detalles. 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpenRetried
Tipo de Valor: REG_DWORD-Number
Valor recomendado: 80 (para versión professional y server) 400 (advanced server)
Explicación de esta clave

Este parámetro controla el número de conexiones en el estado de SYN-RCVD para el que ha habido al menos una retransmisión del SYN enviado, antes que comience a operar la protección contra ataque de SYN-ATTACK. Vea el parámetro de SynAttackProtect para conocer más detalles.

Seguimos...

Código:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\tcpmaxconnectresponseretransmissions
Tipo de Valor: REG_DWORD
Valor recomendado: 2


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\tcpmaxdataretransmissions
Tipo de Valor: REG_DWORD
Valor recomendado: 3


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\enablepmtudiscovery
Tipo de Valor: REG_DWORD
Valor recomendado: 0
Explicación de esta clave

Cuando este parámetros se configura a 1 (verdadero), TCO intenta descubrir la máxima unidad de transmisión (MTU o tamaño mayor del paquete) en la ruta a un host remoto. Al descubrir el Path MTU y limitar los segmentos del TCP a este tamaño, TCP puede eliminar la fragmentació n

Seguimos con otras...

La clave siguiente establece si la computadora libera su nombre de NetBIOS cuando recibe una solicitud de
liberación de nombre de la red. Este valor lo encontraremos o crearemos en:

\HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\Netbt
\Parameters


Código:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netbt\Parameters\NoNameReleaseOnDemand
Tipo de Valor: REG_DWORD-Boolean
Valor recomendado: 1
Como dije antes, en la próxima podemos comentar otras configuraciones de registro. Ahora se me ocurre,
incluso a sido motivo de consulta en este foro, comentar como deshabilitar Netbios desde el registro o
como podemos desactivar una sesión nula "NULL SESSION" o inicio de Sesion Anonimo para evitar que muchos
programitas que andan sueltos por la red puedan enumerar recursos de nuestro sistema.

Desactivar Netbios:

Aparte del "Deshabilitar NetBios sobre TCP/IP." en nuestra conexión de red
tenemos en la rama:

\HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\Netbios

Código:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netbios\Start
Tipo de Valor: REG_DWORD
Valor: 4
y en la rama:

\HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\Netbt

Código:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netbt\Start
Tipo de Valor: REG_DWORD
Valor: 4
Antes de hacer esto hay que pensar en las repercusiones que tendrá en nuestra red interna ya que
estos valores son recomendados en los dispositivos de red perimetrales.


Evitar sesión nula.

Código:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\RestrictAnonymous
Tipo de Valor: REG_DWORD
Valor recomendado: 2
Hay otras maneras que ya iremos viendo.
__________________
Un saludo,

Alfon
http://seguridadyredes.nireblog.com

Última edición por Alfon; 12/02/2003 a las 12:02