Asegurando Win2k




Vamos a modificar algunos datos del registro... HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services - Proteccion contra SYN Attacks Hoy en dia es fundamental aumentar nuestra proteccion contra este tipo de ataques ya que se realizan constantemente. Se denominan de esta manera a los ataques que envian un paquete syn y no completan la conexion, de esta manera segun como tengamos configurado el sistema, nuestro host aguardara un determinado tiempo para recibir el ACK correspondiente del host atacante y de esa manera completar el three way hand shake. Se puden lograr DoS asi tambien como scans a puertos sin ser detectados, etc. Value name: SynAttackProtect Key: Tcpip\Parameters Value Type: REG_DWORD Valores Validos: 0,1,2 Default: 0 Recomendado: 2 Basicamente al modificar este valor, variamos la velocidad con la que respondemos un "time-out" cuando recibimos un ataque SYN. Veamos los valores validos: - 0 (default value): Proteccion por default. - 1: Cuando Windows detecta un ataque SYN se envia un time-out a la maquina atacante mas rapido de lo normal. - 2: Set SynAttackProtect Es el recomendado por Microsoft (y por mi ;) ), ya que es el que mejor proteccion nos brinda. NOTA: No podremos utilizar mas en ningun socket, Scalable windows ni Parametros TCP que esten configurados en cada adaptador (Initial RTT y window size). Esto basicamente es debido a que cuando la proteccion este habilitada a este nivel, la "route cache entry" (entrada de rutas almacenadas en cahe) no es requerida antes de que el SYN-ACK sea enviado y a este nivel de conexion las opciones de Winsock no estas habilitadas. Windows utiliza los siguientes valores para detectar un ataque SYN: + TcpMaxPortsExhausted + TCPMaxHalfOpen + TCPMaxHalfOpenRetried El termino "Half" se lo utiliza en este caso para "conexiones realizadas por la mitad", es decir que no se establece la conexion. Es un metodo bastante comun hoy en dia no solo para escanear un host sino tambien para atacarlo. - Detectar Dead Gateway Value name: EnableDeadGWDetect Key: Tcpip\Parameters Value Type: REG_DWORD Valores Validos: 0, 1 (False, True) Default: 1 (True) Recomendado: 0 (False) - 1: Cuando EnableDeadGWDetect esta seteado en 1, TCP tiene la capacidad de, al no recibir respuesta luego de alcanzar el valor indicado en TcpMaxDataRetransmissions, cambiar la Route Cache Entry (RCE) para utilizar, con la direccion ip que no recibimos respuesta, el siguiente gateway que previamente hayamos indicado. Este gateway previamente indicado se denomina Backup Gateway (Gateway de respaldo) y es definido en la seccion Advanced en la configuracion del protocolo TCP/IP en las propiedades de Red. Cuando el 25% de las conexiones estan utilizando el "nuevo" gateway, se establece como el nuestro gateway por default. Este ciclo puede repertirse muchas veces. - 0: Lo que en un principio parace tan util (cambiar gateways automaticamente ante un problema) es para mi un riesgo de seguridad. De forma bastante simple se puede enga~ar nuestro host para que tenga "problemas de conexion" y de esa manera forzarnos a cambiar de gateways, logrando asi quizas hacernos cambiar involuntariamente de gateway. (quizas al que el atacante desea) - MTU Path Value name: EnablePMTUDiscovery Key: Tcpip\Parameters Value Type: REG_DWORD Valid Range: 0, 1 (False, True) Default: 1 (True) Recomendado: 0 (False) - 1: Cuando EnablePMTUDiscovery esta habilitado, TCP comprueba cual es la Unidad Maxima de Trasferencia (MTU) por el path entre nosotros y el host con el que establecemos la conexion. Elminiando asi la fragmentacion realizada por routers entre nosotros y el host destino. - 0: Si bien en primera medida parece bastante util esta opcion es muy peligrosa, ya que un atacante podria de manera MUY SIMPLE hacernos "creer" que posee un MTU muuuy bajo y de esa manera forzar el stack (pila). Al deshabilitarlo se utiliza por default un MTU de 576 bytes para todas las conexiones remotas. - Keep-Alive Value name: KeepAliveTime Key: Tcpip\Parameters Value Type: REG_DWORD-Time en milisegundos Valid Range: 1-0xFFFFFFFF Default: 7,200,000 (2 horas) Recomendado: 300,000 (5 minutos) Este valor indica cada cuanto tiempo TCP verifica que una conexion "idle" aun permanezca asi, para verificarlo envia un paquete denominado "keep-alive", el host remoto contestara este paquete. De esa manera se "mantiene viva" la conexion. Por default no se envian este tipo de paquetes, sino que se configura en ciertos programas. Por ejemplo PSI (el mensajero Jabber) nos permite utilizar esta opcion. Para ser un poco mas especificos unn paquete TCP keep-alive es simplemente un ACK con el sequence number seteado a uno menos que el actual. El host que recibe esto, responde con un ACK con el actual sequence number. Fuente: http://support.microsoft.com/ Extraido de: http://www.hackemate.com.ar/KarMax/KarMax-boletin-06.txt

Otras artículos de interés:

Navega usando la consola en Debian - Ubuntu - Xanadu
No es que sea lo mejor y más atractivo navegar por nuestros sitios web acostumbrados en modo texto, pero pordía ser divertido e interesante ver de otra forma la web. Links es un navegador web en modo gráfico y en modo de texto, parecido...
Monografía de Datos
Indice 1. El Concepto de Datos 2. El Concepto de Información 3. Diferencia entre Datos e información 4. El Concepto de Procesamiento de Datos 5. Concepto de Procesamiento Distribuido y Centralizado 6. Estructura de Datos utilizados en el pro...
Conceptos básicos sobre señales Wireless
En el presente documento se pretende ofrecer una visión de los conceptos básicos relacionados con la señal wireless, tales como la claridad, enfoque, transmisión, etc de la señal. 1-Factores que in...
Razor-Qt el escritorio minimalista
Hace unos días gracias a una nota publicada por Willy Klew en visualbeta.es, conocí a Razor-Qt, pequeño pero poderoso escritorio para GNU/Linux. Según indican trae como nuevo: un editor de políticas de se...
Twitter la herramienta que te conecta con el mundo.
Actualmente se habla mucho de Twitter, pero ¿Que es Twitter? Consultando a Wikipedia para el término: " Es un servicio gratuito de microblogging que permite a sus u...
Amenazas e intimidaciones, en el chat
En el chat, muchos internautas reciben amenazas o intimidaciones de los otros usuarios. Frecuentemente, el internauta amenazado tiene pocos conocimientos técnicos y no sabe valorar exactamente si esas intimidaciones son solo un gesto de fanfarroner...
NTP (Network Time Protocol) en Ubuntu / LinuxMint
NTP («Network Time Protocol»), se usa para mantener los relojes de los computadores en la hora correcta sincronizándolos mediante internet o una red local, o mediante un receptor que interprete GPS, DCF-77, NIST o se&nt...
Administración de sistemas linux (Nivel Básico - Parte I - Introducción)
La administración de sistemas linux es un amplio mundo donde cada día se aprende acciones para robustecer los servicios que se ejecutan en un servidor. Debemos tener en cuenta la(s) licencia(s) que traiga(n) el/los programa(...
fwsnort (reglas de Snort en reglas iptables)
fwsnort convierte reglas de Snort en reglas iptables y genera un script shell que ejecuta los comandos de iptables resultantes. Este conjunto de reglas permite que el tráfico de red que coincide con las firmas de Snort (ataques y otras ...
Para navegar en Internet hay que ser paranoico.
Cada vez que inciamos un browser (navegador) llamese IExplore, Mozilla, Opera, etc, así como cuando usamos algún cliente peer to peer (P2P) estamos abriendo nuestro equipo a una infinidad de posibilidades de que sea objeto de intrusión por parte ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • asegurando
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • win
  • windows
  • xanadu
  • xfce
  • xombra