Ver Mensaje Individual
  #3 (permalink)  
Antiguo 08/08/2011, 05:44
loureed4
 
Fecha de Ingreso: marzo-2004
Ubicación: Sevilla, España
Mensajes: 131
Antigüedad: 20 años, 8 meses
Puntos: 1
Respuesta: Snort Vs Nmap o hacer mis puertos no escaneables

Gracias Moeb por responder, no sé cuantas veces te lo agradeceré !

1. La pregunta de los servicios ha sido un poco tonta porque leyendo tu respuesta he caido en que cuando yo desahibilito "compartir archivos e impresoras" en mi tarjeta de red veo como desde un netstat no aparece el puerto 445 listening , también lo he probado quitando netbios y veo que ya no está 139 ni 137 TCP. De todas maneras tu respuesta es muy aclaratoria.

2.Road Warriors, la primera vez que lo escucho, googlearé, no sé lo que es. Me queda tanto...

3.Lo que comentas de acceder por VPN es cierto, sólo abrir 1723 si vas por PPTP (llegué a configurar L2TP/IPsec para VPN y me costó mucho la verdad, hasta que di con un documento muy bueno tras mucha búsqueda) . Creo que L2TP es más seguro al llevar asociado un certificado, no sé cuan "inseguro" es PPTP, lo he entrecomillado porque dicen que las VPN son muy seguras, aún siendo PPTP.

De todas maneras, si tienes un servidor web publicado, no se puede hacer una VPN para todo el mundo, o un Exchange publicado y por tanto con puerto 25 para que reciba de otros MTA o un servidor SFTP para que reciba por puerto 4279 (nunca he montado un SFTP, si un FTPS Pasivo). Me refiero que las VPN para los empleados móviles estupendo, para para un servidor web anónimo...

4.Comentas que Snort es un sensor, pero he leido en algún sitio que también puede actuar, no sólo notificar o alertar para que el Sysadmin haga algo. Investigaré a este respecto pero Snort me está costando mucho configurarlo.

5. Lo de flooding desde internet estoy leyendo que el atacante debe tener mayor capacidad de procesamiento para poder hacer un DoS sobre la víctima (por lo que leo parece que todos van encaminados a hacer un DoS sobre un pc , ya sea de la LAN o de internet: ICMP Flooding, Smurf, UDP Flooding, Syn Flooding...) y también leo las contramedidas para evitarlos, que por cierto no parecen difíciles de implementar. ¿Flooding= DoS? . Como comento, es la conclusión que he sacado al leer como operan los que he mencionado.

6.Yo tengo como firewall ISA y estoy implementando IPtables, digo esto porque leo que paran estos ataques para que no pasen a la otra red, a la DMZ, la protegida. Pero IPTables no me deja hacer DNAT, Prerouting (estoy en ello). Leo que es muy conveniente tener firewall personales en los equipos de la empresa, pero eso no lo tengo implementado yo, en las workstations tengo Symantec Antivirus, no tengo el firewall de ISA Server 2006.

7.En cuanto a lo de tener actualizado los softwares, totalmente de acuerdo como leo en muchos sitios, pero el exploit que salga, o el Zero Day....me refiero que ha un tiempo entre que se publica o alguien encuentra una vulnerabilidad hasta que el fabricante lo resuelve, siendo 45 días el plazo que el CERT le da, tras lo cual lo hace público el fallo según lo que leo.

8. SQL-Injection y Parse, dos conceptos más a investigar, uff.

Muchas gracias por tanta información Moeb. IMPOSIBLE HACER "INVISIBLES" MIS PUERTOS PUES PARA NMAP . Eso es muy bueno saberlo.

Gracias !!
__________________
Luis Olías
Sevilla,España
Spain