caso Windows 2000/NT (no lo probé en XP pero supongo que funciona igual) podemos aumentar nuestra seguridad contra ataques provenientes del exterior con sólo modificar o crear ciertas claves del registro. Estas claves nos proveerá de una seguridad añadida contra secuestros de sesión (hijacking), ataques DoS y privacidad. Algunas cosillas que comento aquí igual pueden servir para las FAQs.
Las claves deberán ser modificadas o creadas en:
\HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\Tcpip
\Parameters
Comenzamos esta serie con siete claves. Más adelante iremos viendo más así como algunos trucos para
asegurar nuestro sistema windo.
Código:
Explicación de esta claveHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect Tipo de Valor: REG_DWORD Valor recomendado: 2 ( también 1 )
La protección de Synattack involucra la reducción de la cantidad de retransmisiones para el SYN-ACKS, que reducirá el tiempo en el que los recursos deben permanecer asignados. La asignación de los recursos de la entrada de memoria caché de la ruta es retardada hasta que se logra la conexión. Si synattackprotect = 2, entonces la indicación de la conexión a AFD es retardada hasta que se completa la conexión en las tres vías. También note que las acciones tomadas por el mecanismo de protección sólo ocurre si los parámetros de TcpMaxHalfOpen y TcpMaxHalfOpenRetried se exceden.
Esta clave depende de otras dos:
Código:
Explicación de esta claveHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpen Tipo de Valor: REG_DWORD-Number Valor recomendado: 100 (para versión professional y server) 500 (advanced server) Explicación de esta clave Este parámetro controla el número de conexiones en el estado SYN-RCVD permitido antes de que la protección de SYN-ATTACK comience a operar. Si SynAttackProtect se configura en 1, asegúrese que este valor es menor al valor de AFD en la lista de trabajos pendientes en el puerto que desea proteger (vea "Parámetros de Trabajos pendientes" para mayor información). Vea el parámetro de SynAttackProtect para conocer más detalles. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpenRetried Tipo de Valor: REG_DWORD-Number Valor recomendado: 80 (para versión professional y server) 400 (advanced server)
Este parámetro controla el número de conexiones en el estado de SYN-RCVD para el que ha habido al menos una retransmisión del SYN enviado, antes que comience a operar la protección contra ataque de SYN-ATTACK. Vea el parámetro de SynAttackProtect para conocer más detalles.
Seguimos...
Código:
Explicación de esta claveHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\tcpmaxconnectresponseretransmissions Tipo de Valor: REG_DWORD Valor recomendado: 2 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\tcpmaxdataretransmissions Tipo de Valor: REG_DWORD Valor recomendado: 3 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\enablepmtudiscovery Tipo de Valor: REG_DWORD Valor recomendado: 0
Cuando este parámetros se configura a 1 (verdadero), TCO intenta descubrir la máxima unidad de transmisión (MTU o tamaño mayor del paquete) en la ruta a un host remoto. Al descubrir el Path MTU y limitar los segmentos del TCP a este tamaño, TCP puede eliminar la fragmentació n
Seguimos con otras...
La clave siguiente establece si la computadora libera su nombre de NetBIOS cuando recibe una solicitud de
liberación de nombre de la red. Este valor lo encontraremos o crearemos en:
\HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\Netbt
\Parameters
Código:
Como dije antes, en la próxima podemos comentar otras configuraciones de registro. Ahora se me ocurre,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netbt\Parameters\NoNameReleaseOnDemand Tipo de Valor: REG_DWORD-Boolean Valor recomendado: 1
incluso a sido motivo de consulta en este foro, comentar como deshabilitar Netbios desde el registro o
como podemos desactivar una sesión nula "NULL SESSION" o inicio de Sesion Anonimo para evitar que muchos
programitas que andan sueltos por la red puedan enumerar recursos de nuestro sistema.
Desactivar Netbios:
Aparte del "Deshabilitar NetBios sobre TCP/IP." en nuestra conexión de red
tenemos en la rama:
\HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\Netbios
Código:
y en la rama:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netbios\Start Tipo de Valor: REG_DWORD Valor: 4
\HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\Netbt
Código:
Antes de hacer esto hay que pensar en las repercusiones que tendrá en nuestra red interna ya queHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netbt\Start Tipo de Valor: REG_DWORD Valor: 4
estos valores son recomendados en los dispositivos de red perimetrales.
Evitar sesión nula.
Código:
Hay otras maneras que ya iremos viendo. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\RestrictAnonymous Tipo de Valor: REG_DWORD Valor recomendado: 2