[OT] Proteger red de ataques DOS

Que tipo de router tienes?

saludos


"Fernando Álvarez" wrote in message
news:

Hola!!

Tengo una red de 17 ordenadores. El router no para de bloquear accesos a
los puertos 135, 139, y 445 desde internet hacia mi red.

Hablando con un técnico del router dice que debo tener spyware o troyano
en mi red que provoca tanto tráfico.

Voy a colocar un sniffer entre mi red y el router, para ver si hay
peticiones raras. Mi duda es si es posible hacerlo con un ordenador con
Windows XP.

Mi red actual es:

modem > router -> switch -> 17 ordenadores
(192.168.0.254) (192.168.0.1-17)


Y quiero poner:

modem --> router -->
(192.168.0.254)

(192.168.0.18-19)

-> switch > 17 ordenadores
(192.168.0.1-17)

¿es posible esta solucion?

Muchas gracias.

El router no te va a redireccionar por lo que no sería efectivo el sniffer.

De todas maneras, no se que "tecnico" te ha informado: se reciben en la
actualidad de 40 a 60 ataquen (o intentos) por minuto a los puertos NetBios.

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights.
You assume all risk for your use.



"Fernando Álvarez" wrote in message
news:

Hola!!

Tengo una red de 17 ordenadores. El router no para de bloquear accesos a
los puertos 135, 139, y 445 desde internet hacia mi red.

Hablando con un técnico del router dice que debo tener spyware o troyano
en mi red que provoca tanto tráfico.

Voy a colocar un sniffer entre mi red y el router, para ver si hay
peticiones raras. Mi duda es si es posible hacerlo con un ordenador con
Windows XP.

Mi red actual es:

modem > router -> switch -> 17 ordenadores
(192.168.0.254) (192.168.0.1-17)


Y quiero poner:

modem --> router -->
(192.168.0.254)

(192.168.0.18-19)

-> switch > 17 ordenadores
(192.168.0.1-17)

¿es posible esta solucion?

Muchas gracias.

El Router es SMCBR14UP con firmware 1.00. No hay actualiziación de
firmware. El técnico es el soporte técnico oficial de SMC y he estado
escribiendo por correo con el técnico Guido Leoncini .

No entiendo bien que el router no te va a redireccionar por lo que no
sería efectivo el sniffer. ¿eso quiere decir que no habría entonces
internet en la red?

Un ejemplo del log de mi router es el siguiente:

Tue Jun 21 20:36:37 2005 Blocked access attempt from 84.122.214.61:3444
to TCP port 139
Tue Jun 21 20:36:42 2005 Blocked access attempt from 84.163.226.87:4373
to TCP port 445
Tue Jun 21 20:36:43 2005 Blocked access attempt from
84.122.196.146:4444 to TCP port 1433
Tue Jun 21 20:36:46 2005 Blocked access attempt from 84.163.226.87:4373
to TCP port 445
Tue Jun 21 20:36:52 2005 Blocked access attempt from 84.163.226.87:4373
to TCP port 445
Tue Jun 21 20:36:54 2005 Blocked access attempt from 84.122.52.44:4209
to TCP port 135
Tue Jun 21 20:36:57 2005 Blocked access attempt from 84.122.52.44:4209
to TCP port 135
Tue Jun 21 20:37:22 2005 Blocked access attempt from
84.122.200.143:3329 to TCP port 135
Tue Jun 21 20:37:25 2005 Blocked access attempt from
84.122.200.143:3329 to TCP port 135
Tue Jun 21 20:37:27 2005 Blocked access attempt from
84.122.236.197:4781 to TCP port 139
Tue Jun 21 20:37:27 2005 Blocked access attempt from
84.122.236.197:4782 to TCP port 139
Tue Jun 21 20:37:33 2005 Blocked access attempt from
84.122.135.247:2390 to TCP port 135

Muchas gracias por ayudarme. A ver como puedo solucionar este problema
con el router.

Fernando Álvarez wrote:

Hola!!

Tengo una red de 17 ordenadores. El router no para de bloquear accesos a
los puertos 135, 139, y 445 desde internet hacia mi red.

Hablando con un técnico del router dice que debo tener spyware o troyano
en mi red que provoca tanto tráfico.

Voy a colocar un sniffer entre mi red y el router, para ver si hay
peticiones raras. Mi duda es si es posible hacerlo con un ordenador con
Windows XP.

Mi red actual es:

modem > router -> switch -> 17 ordenadores
(192.168.0.254) (192.168.0.1-17)


Y quiero poner:

modem --> router -->
(192.168.0.254)

(192.168.0.18-19)

-> switch > 17 ordenadores
(192.168.0.1-17)

¿es posible esta solucion?

Muchas gracias.

Es muy normal eso.Insisto: el numeor de "ataques" en España es cecano al
1 por segundo.

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights.
You assume all risk for your use.



"Fernando Álvarez" wrote in message
news:

El Router es SMCBR14UP con firmware 1.00. No hay actualiziación de
firmware. El técnico es el soporte técnico oficial de SMC y he estado
escribiendo por correo con el técnico Guido Leoncini .

No entiendo bien que el router no te va a redireccionar por lo que no
sería efectivo el sniffer. ¿eso quiere decir que no habría entonces
internet en la red?

Un ejemplo del log de mi router es el siguiente:

Tue Jun 21 20:36:37 2005 Blocked access attempt from 84.122.214.61:3444
to TCP port 139
Tue Jun 21 20:36:42 2005 Blocked access attempt from 84.163.226.87:4373
to TCP port 445
Tue Jun 21 20:36:43 2005 Blocked access attempt from 84.122.196.146:4444
to TCP port 1433
Tue Jun 21 20:36:46 2005 Blocked access attempt from 84.163.226.87:4373
to TCP port 445
Tue Jun 21 20:36:52 2005 Blocked access attempt from 84.163.226.87:4373
to TCP port 445
Tue Jun 21 20:36:54 2005 Blocked access attempt from 84.122.52.44:4209 to
TCP port 135
Tue Jun 21 20:36:57 2005 Blocked access attempt from 84.122.52.44:4209 to
TCP port 135
Tue Jun 21 20:37:22 2005 Blocked access attempt from 84.122.200.143:3329
to TCP port 135
Tue Jun 21 20:37:25 2005 Blocked access attempt from 84.122.200.143:3329
to TCP port 135
Tue Jun 21 20:37:27 2005 Blocked access attempt from 84.122.236.197:4781
to TCP port 139
Tue Jun 21 20:37:27 2005 Blocked access attempt from 84.122.236.197:4782
to TCP port 139
Tue Jun 21 20:37:33 2005 Blocked access attempt from 84.122.135.247:2390
to TCP port 135

Muchas gracias por ayudarme. A ver como puedo solucionar este problema con
el router.

Fernando Álvarez wrote:

Hola!!

Tengo una red de 17 ordenadores. El router no para de bloquear accesos a
los puertos 135, 139, y 445 desde internet hacia mi red.

Hablando con un técnico del router dice que debo tener spyware o troyano
en mi red que provoca tanto tráfico.

Voy a colocar un sniffer entre mi red y el router, para ver si hay
peticiones raras. Mi duda es si es posible hacerlo con un ordenador con
Windows XP.

Mi red actual es:

modem > router -> switch -> 17 ordenadores
(192.168.0.254) (192.168.0.1-17)


Y quiero poner:

modem --> router -->
(192.168.0.254)

(192.168.0.18-19)

-> switch > 17 ordenadores
(192.168.0.1-17)

¿es posible esta solucion?

Muchas gracias.

Pero ese trafico es contra la interface externa del router (Internet) y ese
trafico no pasa a la red interrna a no ser que tengas configurado el default
NAT a un deteminada maquina de la red interna (lo cual no es nada
recomendable).
El sniffer lo tendrias que colocar escuchando peticiones en la interface
externa del router (Internet), pero, la informacion que tendrias no te va a
ser de gran ayuda. Hay herramientas mas utilies como puede ser un IDS, Snort
por ejemplo, pero la verdad es que para el tamaño de esa red me parece
excesivo. Un IDS es un sistema que requiere costante monitorizacion y
ajuste, es sencilo de instalar pero no asi de afinar, requiere de muchas
horas. Ademas, como te ha comentado Jose Manuel, ese tipo de trafico es muy
habitual y poco puedes hacer por evitarlo.

Un saludo.
Ivan
MS MVP ISA Server

"Fernando Álvarez" escribió en el mensaje
news:

El Router es SMCBR14UP con firmware 1.00. No hay actualiziación de
firmware. El técnico es el soporte técnico oficial de SMC y he estado
escribiendo por correo con el técnico Guido Leoncini .

No entiendo bien que el router no te va a redireccionar por lo que no
sería efectivo el sniffer. ¿eso quiere decir que no habría entonces
internet en la red?

Un ejemplo del log de mi router es el siguiente:

Tue Jun 21 20:36:37 2005 Blocked access attempt from 84.122.214.61:3444
to TCP port 139
Tue Jun 21 20:36:42 2005 Blocked access attempt from 84.163.226.87:4373
to TCP port 445
Tue Jun 21 20:36:43 2005 Blocked access attempt from 84.122.196.146:4444
to TCP port 1433
Tue Jun 21 20:36:46 2005 Blocked access attempt from 84.163.226.87:4373
to TCP port 445
Tue Jun 21 20:36:52 2005 Blocked access attempt from 84.163.226.87:4373
to TCP port 445
Tue Jun 21 20:36:54 2005 Blocked access attempt from 84.122.52.44:4209 to
TCP port 135
Tue Jun 21 20:36:57 2005 Blocked access attempt from 84.122.52.44:4209 to
TCP port 135
Tue Jun 21 20:37:22 2005 Blocked access attempt from 84.122.200.143:3329
to TCP port 135
Tue Jun 21 20:37:25 2005 Blocked access attempt from 84.122.200.143:3329
to TCP port 135
Tue Jun 21 20:37:27 2005 Blocked access attempt from 84.122.236.197:4781
to TCP port 139
Tue Jun 21 20:37:27 2005 Blocked access attempt from 84.122.236.197:4782
to TCP port 139
Tue Jun 21 20:37:33 2005 Blocked access attempt from 84.122.135.247:2390
to TCP port 135

Muchas gracias por ayudarme. A ver como puedo solucionar este problema con
el router.

Fernando Álvarez wrote:

Hola!!

Tengo una red de 17 ordenadores. El router no para de bloquear accesos a
los puertos 135, 139, y 445 desde internet hacia mi red.

Hablando con un técnico del router dice que debo tener spyware o troyano
en mi red que provoca tanto tráfico.

Voy a colocar un sniffer entre mi red y el router, para ver si hay
peticiones raras. Mi duda es si es posible hacerlo con un ordenador con
Windows XP.

Mi red actual es:

modem > router -> switch -> 17 ordenadores
(192.168.0.254) (192.168.0.1-17)


Y quiero poner:

modem --> router -->
(192.168.0.254)

(192.168.0.18-19)

-> switch > 17 ordenadores
(192.168.0.1-17)

¿es posible esta solucion?

Muchas gracias.