Hola a todos:

Me gustaría plantearos unas dudas.
Estan atacando a una red local desde el ecterior, han conseguido introducirse salvando el firewall. En uno de los equipo nos venia el nombre del equipo que nos ha atacado (Ejem:Pepito_casa) un compañero ha hecho un ping a ese nombre y le devuelve su propia IP. sto por qué puede ser? ¿Habría alguna forma de rastrear el equipo que ha realizado el ataque?

Además se han intentado hacer varios logones a algunos servidores pero el usuario y dominmio no aparece, ¿esto por qué puede ser y cómo podríamos seguir la pista? Podría ser alguien interno a la red local que de alguna manera haya dejado un punto de acceso para poder atacar desde casa?

Espero que se os ocurra alguna idea, un saludo, gracias por vuestro esfuerzo y tiempo y a cuidarse

Si ha tenido acceso a la red local ha podido montar algo para saltarse el cortafuegos, ¿es una red muy grande? Yo empezaria utilizando el LANguard, por ejemplo, en toda la red, a ver si encuentras alguna maquina con un puerto que tu no has configurado, abierto.

El 50% de ataques informáticos que reciben las empresas son producidos por los propios usuarios de la empresa.

Lo primero que debes hacer es analizar todos los equipos de la red con el Retina por ejemplo, en busca de posibles backdoors, rootkits, virus. Realiza todas las actualizaciones de seguirdad, tanto de los sistemas operativos como de las aplicaciones y paquetes de aplicaciones que se han instalado.
Usa antivirus/antispyware para eliminar los archivos y códigos malignos.
Revisa los logs del firewall e intenta establecer la hora del ataque y ver los registros.
Actualiza el firewall y mira las reglas a ver que puertos permite y no permite, investiga cual de esos no deberia estar abierto.

Posteriormente configura la red de forma segura, e instala antivirus en todos los equipos, crea usuarios restringidos, etc, etc....

TseTse

A la pregunta de SSAD sí que es una red muy grande, tiene un parque hardware de unos 10000 equipos, hemos instalado en algunos equipos Firewalls para ver quién intentaba acceder (resultado: nombre de un equipo pero si hacias un ping al nombre era la misma IP del equipo atacado, de todas formas el nombre del equipo era PEPITO_CASA, así que el ataque parece venir desde fuera), tambien hemos usado sniffers y hemos detectado algún usuario pero como ya os he dicho el dominio y el usuario aparecian en blanco.

Antivirus tienen todos los equipos y además uno a nivel de toda la red, en cuanto al Firewall lo lleva otro departamento que espero esté haciendo lo debido.

Muchas gracias por vuestro interes y vuestras sugerencias. Un saludo y a cuidarse todos,

Yo tampoco soy un experto, joder, ni mucho menos :P

Prueba a instalar un firewall en cada equipo que crees k ha sido atacado
y como dice TseTse, ten cuidado con los empleados. Un ataque de esas caracteristicas no implicaria, por ejemplo, un troyano "standar" (sub7 y demas) puesto que keda muy lejos de un solo controlador. Me remito a lo que ha dicho TseTse, revisa los logs de los firewalls he intenta establecer un "programa" (no me sale la palabra) para determinar cada cuando se realiza o se intenta un ataque, y a que equipos (servidores, "esclavos", y demas ...). Esto es todo, leido lo d antes, no se me ocurre nada mas. Un saludo y suerte con el asunto

Muchas gracias r0x, estamos mirando con un sniffer de forma periodica y poco a poco vamos acotando. Espero que muy pronto se pueda, si bien no localizar al responsable, evitar el problema de manera que le cortemos las alas.

Un saludo y a cuidarse todos,

mu buenas noches, una pequeña recomendacion, si estas buscando a alguien de tu propia red que realiza ataques seria mas eficaz instalar un ids en vez de un sniffer, pues el sniffer esta bien para espiar a los usuarios pero un ids te interpretara mejor los posibles ataques que vea en la red, la alternativa freeware es buena son snort, pero algo complejo de usar. Ademas en el caso de numero de equipos que tengas asegurate de configurar los swithc para que todo el trafico de tu red pase por una sola boca o picha un sniffer/ids a cada swithc, pues el swithc discrimina el trafico segun se configure. En cuanto a la tactica de realizar escaneos de la red con retina o languard, en este punto yo no te lo recomiendo pues en el momento que hagas esos escaneos, pepito sabra que le estas buscando y si es inteligente se estara tranquilo un tiempo (tambien si es inteligente en atacar supongo que tendra un firewall, con lo que tus escaneos no podran mas que detectar los firewalls de tu red). De todas formas que tipos de ataque ha realizado... ya he visto usuarios intentando entrar en un servidor porque pensaban que habia musica o peliculas, el gran tesoro por el que escaneaba toda la red a diario.

y siento haber escrito tantas ves mal switch... me hago mayor

Gracias por los consejos y ayuda. Como bien deciais los ataques provenían desde dentro de la propia red. Los equipos están localizados pero todavía no se conoce si es intencionado, no, si son ellos los responsables,... Al final se ha solucionado con uno de los parches del señor Manolito Gafotas.

Kayne, ¿a qué te refieres con un IDS? No te preocupes por la ortografía, que aunque a mi me gustaría poder escribir siempre bien, no estoy sentado en la ñ minúscula.

Gracias de nuevo y un saludo,

nauj, lee esto te resolverá todas las dudas:

http://www.robertgraham.com/pubs/network-intrusion-detection.html

TseTse

Gracias Tse Tse, no sabia que me habías contestado. Se me ha estropeado la cuenta de correo. Estoy esperando que me la arreglen pero como ves no se dan mucha prisa. Un saludo,