Asegurando Win2k




Vamos a modificar algunos datos del registro... HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services - Proteccion contra SYN Attacks Hoy en dia es fundamental aumentar nuestra proteccion contra este tipo de ataques ya que se realizan constantemente. Se denominan de esta manera a los ataques que envian un paquete syn y no completan la conexion, de esta manera segun como tengamos configurado el sistema, nuestro host aguardara un determinado tiempo para recibir el ACK correspondiente del host atacante y de esa manera completar el three way hand shake. Se puden lograr DoS asi tambien como scans a puertos sin ser detectados, etc. Value name: SynAttackProtect Key: Tcpip\Parameters Value Type: REG_DWORD Valores Validos: 0,1,2 Default: 0 Recomendado: 2 Basicamente al modificar este valor, variamos la velocidad con la que respondemos un "time-out" cuando recibimos un ataque SYN. Veamos los valores validos: - 0 (default value): Proteccion por default. - 1: Cuando Windows detecta un ataque SYN se envia un time-out a la maquina atacante mas rapido de lo normal. - 2: Set SynAttackProtect Es el recomendado por Microsoft (y por mi ;) ), ya que es el que mejor proteccion nos brinda. NOTA: No podremos utilizar mas en ningun socket, Scalable windows ni Parametros TCP que esten configurados en cada adaptador (Initial RTT y window size). Esto basicamente es debido a que cuando la proteccion este habilitada a este nivel, la "route cache entry" (entrada de rutas almacenadas en cahe) no es requerida antes de que el SYN-ACK sea enviado y a este nivel de conexion las opciones de Winsock no estas habilitadas. Windows utiliza los siguientes valores para detectar un ataque SYN: + TcpMaxPortsExhausted + TCPMaxHalfOpen + TCPMaxHalfOpenRetried El termino "Half" se lo utiliza en este caso para "conexiones realizadas por la mitad", es decir que no se establece la conexion. Es un metodo bastante comun hoy en dia no solo para escanear un host sino tambien para atacarlo. - Detectar Dead Gateway Value name: EnableDeadGWDetect Key: Tcpip\Parameters Value Type: REG_DWORD Valores Validos: 0, 1 (False, True) Default: 1 (True) Recomendado: 0 (False) - 1: Cuando EnableDeadGWDetect esta seteado en 1, TCP tiene la capacidad de, al no recibir respuesta luego de alcanzar el valor indicado en TcpMaxDataRetransmissions, cambiar la Route Cache Entry (RCE) para utilizar, con la direccion ip que no recibimos respuesta, el siguiente gateway que previamente hayamos indicado. Este gateway previamente indicado se denomina Backup Gateway (Gateway de respaldo) y es definido en la seccion Advanced en la configuracion del protocolo TCP/IP en las propiedades de Red. Cuando el 25% de las conexiones estan utilizando el "nuevo" gateway, se establece como el nuestro gateway por default. Este ciclo puede repertirse muchas veces. - 0: Lo que en un principio parace tan util (cambiar gateways automaticamente ante un problema) es para mi un riesgo de seguridad. De forma bastante simple se puede enga~ar nuestro host para que tenga "problemas de conexion" y de esa manera forzarnos a cambiar de gateways, logrando asi quizas hacernos cambiar involuntariamente de gateway. (quizas al que el atacante desea) - MTU Path Value name: EnablePMTUDiscovery Key: Tcpip\Parameters Value Type: REG_DWORD Valid Range: 0, 1 (False, True) Default: 1 (True) Recomendado: 0 (False) - 1: Cuando EnablePMTUDiscovery esta habilitado, TCP comprueba cual es la Unidad Maxima de Trasferencia (MTU) por el path entre nosotros y el host con el que establecemos la conexion. Elminiando asi la fragmentacion realizada por routers entre nosotros y el host destino. - 0: Si bien en primera medida parece bastante util esta opcion es muy peligrosa, ya que un atacante podria de manera MUY SIMPLE hacernos "creer" que posee un MTU muuuy bajo y de esa manera forzar el stack (pila). Al deshabilitarlo se utiliza por default un MTU de 576 bytes para todas las conexiones remotas. - Keep-Alive Value name: KeepAliveTime Key: Tcpip\Parameters Value Type: REG_DWORD-Time en milisegundos Valid Range: 1-0xFFFFFFFF Default: 7,200,000 (2 horas) Recomendado: 300,000 (5 minutos) Este valor indica cada cuanto tiempo TCP verifica que una conexion "idle" aun permanezca asi, para verificarlo envia un paquete denominado "keep-alive", el host remoto contestara este paquete. De esa manera se "mantiene viva" la conexion. Por default no se envian este tipo de paquetes, sino que se configura en ciertos programas. Por ejemplo PSI (el mensajero Jabber) nos permite utilizar esta opcion. Para ser un poco mas especificos unn paquete TCP keep-alive es simplemente un ACK con el sequence number seteado a uno menos que el actual. El host que recibe esto, responde con un ACK con el actual sequence number. Fuente: http://support.microsoft.com/ Extraido de: http://www.hackemate.com.ar/KarMax/KarMax-boletin-06.txt

Otras artículos de interés:

HardInfo, Perfil del sistema / herramienta de referencia (Ubuntu / LinuxMint)
HardInfo es una aplicación libre y de código gratuito con la que podemos consultar la información relativa a nuestro equipo y a los dispositivos conectados a él, obteniendo toda clase de información del hardware....
Twitter la herramienta que te conecta con el mundo.
Actualmente se habla mucho de Twitter, pero ¿Que es Twitter? Consultando a Wikipedia para el término: " Es un servicio gratuito de microblogging que permite a sus u...
Reparar Locales en Ubuntu | Mint
Usualmente cuando instalamos Ubuntu y/o Mint y elegimos Venezuela, nos coloca como locale: es_VE.UTF-8 y es_VE:es y cuando instalamos algunos programas nos indica un error de locales. Para reparar realizamos lo siguiente: Abrimos c...
Instalar QuiteRSS en Ubuntu - LinuxMint y derivados
QuiteRSS es un excelente lector de RSS / XML bastante rápido y ligero, muy fácil de usar y configurar. Está escrito en Qt y C++ y es código abierto. Esta disponible para diferentes sistemas operativos. Para Instalar QuiteRSS...
Reparar configuración Escritorio XFCE Debian - Xanadu - Ubuntu
Muchas veces agregamos, quitamos, instalamos, o movemos cosas de la configuración original de nuestro escritorio y nos damos cuenta que no lo queríamos así. Por lo que es mejor dejar el escritorio XFCE tal como estaba al momento de la instalaci...
ARP Una herramienta bastante desconocida
Comando ARP Muestra y modifica las tablas de conversión de direcciones IP en direcciones físicas que usa el protocolo de resolución de direcciones. El protocolo arp (address resolution protocol) es el encargado de “traducir” las direccio...
Sub-process /usr/bin/dpkg returned an error code (1) Ubuntu | Linux Mint
A veces intentamos eliminar un archivo y ocurre este error: Sub-process /usr/bin/dpkg returned an error code (1) El cual ocurre debido a una mala instalación/desinstalacion, por cualquier motivo Para reparar abrimos consola (termi...
Estructura de Directorios y sistemas de archivos en GNU Linux
En GNU/Linux todo es un fichero (archivo). Los directorios (carpetas) son archivos, los archivos son archivos, y los dispositivos son archivos. En algunas ocasiones a los dispositivos se les llama nodos, pero igualmente siguen siendo archivos....
¿Como hago preguntas inteligentes en un foro hacker?
En el mundo de los hackers, el tipo de respuestas que obtengas a tus preguntas técnicas depende tanto de la manera en que formules tus preguntas como de la dificultad de desarrollar la respuesta. En esta guía se enseñará cómo preguntar de manera...
PROYECTO DE LEY DE DELITOS INFORMATICOS DE VENEZUELA
Ley Especial Contra los Delitos Informáticos Título I Disposiciones Generales Artículo 1 Objeto de la ley. La presente ley tiene por objeto la protección integral de los sistemas que utilicen tecnolog...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • asegurando
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • win
  • windows
  • xanadu
  • xfce
  • xombra