Resultados 1 al 11 de 11

Ataque de un desconocido

  1. #1 Ataque de un desconocido 
    Iniciado
    Fecha de ingreso
    Feb 2004
    Ubicación
    ESPAÑA
    Mensajes
    48
    Descargas
    0
    Uploads
    0
    Hola a todos:

    Me gustaría plantearos unas dudas.
    Estan atacando a una red local desde el ecterior, han conseguido introducirse salvando el firewall. En uno de los equipo nos venia el nombre del equipo que nos ha atacado (Ejem:Pepito_casa) un compañero ha hecho un ping a ese nombre y le devuelve su propia IP. sto por qué puede ser? ¿Habría alguna forma de rastrear el equipo que ha realizado el ataque?

    Además se han intentado hacer varios logones a algunos servidores pero el usuario y dominmio no aparece, ¿esto por qué puede ser y cómo podríamos seguir la pista? Podría ser alguien interno a la red local que de alguna manera haya dejado un punto de acceso para poder atacar desde casa?

    Espero que se os ocurra alguna idea, un saludo, gracias por vuestro esfuerzo y tiempo y a cuidarse
    0===[]::::::Nau:::::>
    Citar  
     

  2. #2  
    Medio
    Fecha de ingreso
    Dec 2001
    Ubicación
    zgz
    Mensajes
    116
    Descargas
    1
    Uploads
    0
    Si ha tenido acceso a la red local ha podido montar algo para saltarse el cortafuegos, ¿es una red muy grande? Yo empezaria utilizando el LANguard, por ejemplo, en toda la red, a ver si encuentras alguna maquina con un puerto que tu no has configurado, abierto.
    Un saludo
    Citar  
     

  3. #3  
    Emeritus HH-team Avatar de TseTse
    Fecha de ingreso
    Apr 2002
    Ubicación
    Metaverso
    Mensajes
    3.284
    Descargas
    1
    Uploads
    0
    El 50% de ataques informáticos que reciben las empresas son producidos por los propios usuarios de la empresa.

    Lo primero que debes hacer es analizar todos los equipos de la red con el Retina por ejemplo, en busca de posibles backdoors, rootkits, virus. Realiza todas las actualizaciones de seguirdad, tanto de los sistemas operativos como de las aplicaciones y paquetes de aplicaciones que se han instalado.
    Usa antivirus/antispyware para eliminar los archivos y códigos malignos.
    Revisa los logs del firewall e intenta establecer la hora del ataque y ver los registros.
    Actualiza el firewall y mira las reglas a ver que puertos permite y no permite, investiga cual de esos no deberia estar abierto.

    Posteriormente configura la red de forma segura, e instala antivirus en todos los equipos, crea usuarios restringidos, etc, etc....

    TseTse
    ͎T͎͎s͎͎e͎͎T͎͎s͎͎e͎
    Citar  
     

  4. #4  
    Iniciado
    Fecha de ingreso
    Feb 2004
    Ubicación
    ESPAÑA
    Mensajes
    48
    Descargas
    0
    Uploads
    0
    A la pregunta de SSAD sí que es una red muy grande, tiene un parque hardware de unos 10000 equipos, hemos instalado en algunos equipos Firewalls para ver quién intentaba acceder (resultado: nombre de un equipo pero si hacias un ping al nombre era la misma IP del equipo atacado, de todas formas el nombre del equipo era PEPITO_CASA, así que el ataque parece venir desde fuera), tambien hemos usado sniffers y hemos detectado algún usuario pero como ya os he dicho el dominio y el usuario aparecian en blanco.

    Antivirus tienen todos los equipos y además uno a nivel de toda la red, en cuanto al Firewall lo lleva otro departamento que espero esté haciendo lo debido.

    Muchas gracias por vuestro interes y vuestras sugerencias. Un saludo y a cuidarse todos,
    Citar  
     

  5. #5  
    Iniciado
    Fecha de ingreso
    Dec 2003
    Ubicación
    11011001
    Mensajes
    3
    Descargas
    0
    Uploads
    0
    Yo tampoco soy un experto, joder, ni mucho menos :P

    Prueba a instalar un firewall en cada equipo que crees k ha sido atacado
    y como dice TseTse, ten cuidado con los empleados. Un ataque de esas caracteristicas no implicaria, por ejemplo, un troyano "standar" (sub7 y demas) puesto que keda muy lejos de un solo controlador. Me remito a lo que ha dicho TseTse, revisa los logs de los firewalls he intenta establecer un "programa" (no me sale la palabra) para determinar cada cuando se realiza o se intenta un ataque, y a que equipos (servidores, "esclavos", y demas ...). Esto es todo, leido lo d antes, no se me ocurre nada mas. Un saludo y suerte con el asunto
    Citar  
     

  6. #6  
    Iniciado
    Fecha de ingreso
    Feb 2004
    Ubicación
    ESPAÑA
    Mensajes
    48
    Descargas
    0
    Uploads
    0
    Muchas gracias r0x, estamos mirando con un sniffer de forma periodica y poco a poco vamos acotando. Espero que muy pronto se pueda, si bien no localizar al responsable, evitar el problema de manera que le cortemos las alas.

    Un saludo y a cuidarse todos,
    0===[]::::::Nau:::::>
    Citar  
     

  7. #7 ids en vez de sniffer 
    Medio
    Fecha de ingreso
    Nov 2001
    Ubicación
    Madrid
    Mensajes
    98
    Descargas
    0
    Uploads
    0
    mu buenas noches, una pequeña recomendacion, si estas buscando a alguien de tu propia red que realiza ataques seria mas eficaz instalar un ids en vez de un sniffer, pues el sniffer esta bien para espiar a los usuarios pero un ids te interpretara mejor los posibles ataques que vea en la red, la alternativa freeware es buena son snort, pero algo complejo de usar. Ademas en el caso de numero de equipos que tengas asegurate de configurar los swithc para que todo el trafico de tu red pase por una sola boca o picha un sniffer/ids a cada swithc, pues el swithc discrimina el trafico segun se configure. En cuanto a la tactica de realizar escaneos de la red con retina o languard, en este punto yo no te lo recomiendo pues en el momento que hagas esos escaneos, pepito sabra que le estas buscando y si es inteligente se estara tranquilo un tiempo (tambien si es inteligente en atacar supongo que tendra un firewall, con lo que tus escaneos no podran mas que detectar los firewalls de tu red). De todas formas que tipos de ataque ha realizado... ya he visto usuarios intentando entrar en un servidor porque pensaban que habia musica o peliculas, el gran tesoro por el que escaneaba toda la red a diario.
    Citar  
     

  8. #8  
    Medio
    Fecha de ingreso
    Nov 2001
    Ubicación
    Madrid
    Mensajes
    98
    Descargas
    0
    Uploads
    0
    y siento haber escrito tantas ves mal switch... me hago mayor
    Citar  
     

  9. #9  
    Iniciado
    Fecha de ingreso
    Feb 2004
    Ubicación
    ESPAÑA
    Mensajes
    48
    Descargas
    0
    Uploads
    0
    Gracias por los consejos y ayuda. Como bien deciais los ataques provenían desde dentro de la propia red. Los equipos están localizados pero todavía no se conoce si es intencionado, no, si son ellos los responsables,... Al final se ha solucionado con uno de los parches del señor Manolito Gafotas.

    Kayne, ¿a qué te refieres con un IDS? No te preocupes por la ortografía, que aunque a mi me gustaría poder escribir siempre bien, no estoy sentado en la ñ minúscula.

    Gracias de nuevo y un saludo,
    0===[]::::::Nau:::::>
    Citar  
     

  10. #10  
    Emeritus HH-team Avatar de TseTse
    Fecha de ingreso
    Apr 2002
    Ubicación
    Metaverso
    Mensajes
    3.284
    Descargas
    1
    Uploads
    0
    nauj, lee esto te resolverá todas las dudas:

    http://www.robertgraham.com/pubs/network-intrusion-detection.html

    TseTse
    ͎T͎͎s͎͎e͎͎T͎͎s͎͎e͎
    Citar  
     

  11. #11 Correo mal 
    Iniciado
    Fecha de ingreso
    Feb 2004
    Ubicación
    ESPAÑA
    Mensajes
    48
    Descargas
    0
    Uploads
    0
    Gracias Tse Tse, no sabia que me habías contestado. Se me ha estropeado la cuenta de correo. Estoy esperando que me la arreglen pero como ves no se dan mucha prisa. Un saludo,
    0===[]::::::Nau:::::>
    Citar  
     

Temas similares

  1. Virus desconocido
    Por rat en el foro GENERAL
    Respuestas: 13
    Último mensaje: 28-10-2006, 15:52
  2. Deko Desconocido
    Por alfsat en el foro DIGITAL+
    Respuestas: 3
    Último mensaje: 28-05-2006, 15:04
  3. El Kie: Ese Gran Desconocido
    Por diarrea en el foro OFF-TOPIC
    Respuestas: 1
    Último mensaje: 03-05-2004, 11:12
  4. Problema desconocido con mi cacharrillo.
    Por SARCUS en el foro HARDWARE
    Respuestas: 15
    Último mensaje: 10-01-2004, 19:22
  5. Ayuda, programa desconocido
    Por Kaotik en el foro INGENIERIA INVERSA
    Respuestas: 1
    Último mensaje: 29-09-2002, 15:40

Marcadores

Marcadores