30/08/2002, 07:23
|
| Colaborador | | Fecha de Ingreso: octubre-2000
Mensajes: 1.976
Antigüedad: 24 años, 1 mes Puntos: 14 | |
Re: Ayuda contra craker Primero tendrás que averiguar como entró, que técnica usó, que puerto, que IP (puede estar falseada), etc, etc. Para esto supongo que tendrás un firewall. Si no lo tienes deberías de inastalar uno. Si ya lo tienes deberías de configuralo correctamente y no con las opciones por defecto, que normalmente suelen ser un coladero.
Como opción de cortafuegos yo te recomendaría el que hoy dia da mejores resultados: KERIO o Sygate... más bien el primero que en su última versión incorpora un IDS (luego veremos que es un IDS). ZoneAlarm para una red corporativa de cierta importancia no te lo recomiendo para nada.
Siguiente paso.
Si tienes tu cortafuegos bien configurado entonces es el momento de instalar un IDS. Como tienes una red serría entonces un NIDS (Network IDS) que no es otra cosa que un sistema de detección de intrusiones o ataques.
Puedes instalarlo en tu DMZ, antes o despues de tu cortafuegos. De esto dependerá los resultados aportados.
El IDS, normalmente en tiempo real, registrará y "snifará" todas la conexiones entrantes y salientes (dependiendo de como lo configures) analizando los paquetes transmitidos y sus datos buscando patrones de ataques, vulnerabilidades, virus, troyanos, etc, etc que están almacenado en una base de datos. Una vez detecte algo anómalo te enviará una alerta, podrá parar el ataque dpendiendo del tipo de NIDS que instales y guardará todo tipo de datos de tu atacante. Un buen analista, hay que tener buenos conocimientos de TCP/IP, podría averiguar casi todo del atacante incluso, en algunos casos, si usa técnicas de ocultación IP, Spoofing, etc.
No creo que tu atacante sea alguien de grandes conocimientos, así que seguro que lo localizas.
También puedes instalar un software tipo Windump/TCPDump para registrar tu tráfico desde una consola DOS y averiguar quien es filtrando por IP y protocolos.
Como sofvtware de IDS el mejor con diferencia para redes TCP/IP pequeñas y medianas es Snort. Es multiplataforma y gratuito.
Un saludo,
][Miembro de GULCA. Grupo de usuarios de Linux de Cádiz.][ |