10/06/2005, 18:37
|
| | | Fecha de Ingreso: septiembre-2004 Ubicación: Barcelona, España
Mensajes: 141
Antigüedad: 20 años, 3 meses Puntos: 0 | |
Bueno, yo lo primero que haría sería como no aislar ese server como bien te comentan por aquí, pero lo segundo que haría es asegurarme de qué es lo que han borrado, cuando y como porque en caso de que sea información relevante estás en tu derecho de denunciarlo aportando pruebas concluyentes, es decir, mira los logs del servidor, la actividad que se produjo esa madrugada, si es un server de Microsoft empieza por mirar el registro de eventos, el visor de sucesos, ahí te apareceran los accesos a recursos del sistema, si no tienes firewall todavía instala uno, tienes varios fabricantes de muy buena calidad como Checkpoint, Cisco, incluso el ISA Server de Microsoft, como bien te comentan por aquí debes crear tu perímetro de red con el router, limitando cualquier tráfico generado desde Internet, el tráfico solo se debe permitir desde tu red corporativa, y el unico tráfico que debe entrar en tu router es el tráfico de vuelta iniciado en tu red corporativa, si necesitas ayuda sobre como configurar esto estaremos encantados de ayudarte.
1º desconectar tu server de Internet
2º Evaluar el ataque, recopilar información, fechas, horas, accesos, usuarios, porque imagino que el acceso fué desde Inet.
3º Evaluar el sistema de seguridad, obviamente ha fallado debes crear una política totalmente nueva.
4º Instalar y configurar los dispositivos adecuados a tu red y a tus necesidades porque puedes o no tener una intranet , extranet, etc etc
5º Para que no te vuelva a pasar intenta reforzar las políticas de acceso a tu servidor, las horas disponibles para según que tráfico e intenta testear las medidas que vayas introduciendo según lo que se llama una rueda de seguridad.
Configurar - Monitorizar - Testear - Mejorar
salu2
__________________ "Conocer a los demás es sabiduría, conocerse a sí mismo es sabiduría superior" :cool: |