pfirewall

Echa un vistazo a este extracto de un documento de la KB de Microsoft:

Solución de problemas de configuración de Windows Firewall en el Service Pack 2 de Windows XP
http://support.microsoft.com/kb/875...0121120120

(El enlace posicionará el documento automáticamente en el apartado "Interpretar el archivo de registro").

Un saludo,
Daniel Martín
Microsoft MVP Windows - Shell/User

Correo electrónico:


"Cris" wrote in message news:

¿Cómo puedo interpretar correctamente el log del cortafuegos de Windows XP
SP2 - pfirewall?

De momento consigo leerlo pero no entiendo muy bien qué le está ocurriendo
al equipo con tanto DROP TCP, CLOSE TCP, OPEN TCP etc.

Gracias

Daniel Martín [MVP Windows] wrote:

Echa un vistazo a este extracto de un documento de la KB de Microsoft:

Solución de problemas de configuración de Windows Firewall en el
Service Pack 2 de Windows XP
http://support.microsoft.com/kb/875...0121120120

(El enlace posicionará el documento automáticamente en el apartado
"Interpretar el archivo de registro").

Sí, exacto. Ampliando un poco la búsqueda, he podido leer en la versión
inglesa, no sé con seguridad si en la española aparece tan detallado:

http://www.microsoft.com/technet/pr...a4d68.mspx

No sé si entiendo todo pero dice anotar todos los DROP que se repitan en la
dstip (si su terminación es distinta de 255) y anotar también las srcip que
correspodan a esos sucesos porque esos paquetes pueden ser sospechos.

Yo he hecho esto con mi log y me encuentro que hay una dirección IP, sólo
una y siempre la misma, que se ajusta a esto.

¿Qué hago ahora? ¿Debo procuparme? ¿Estoy siendo atacada?

Agradecería sus sugerencias.

Acabo de comprobar que se trata de un conocido... :-(


Le agradezco la ayuda...

No tienes por qué preocuparte. La línea "DROP" significa que Firewall de Windows ha bloqueado la conexión desde el exterior. Ten en cuenta que incluso hay muchas máquinas en Internet que analizan rangos completos de IPs con el fin de aprovecharse de alguna vulnerabilidad y algún usuario sin cortafuegos en su equipo. Por ejemplo, el virus Blaster/Sasser funciona así; en este caso Firewall de Windows registra una entrada "DROP" en su registro y simplemente evita la intrusión del virus.

Un saludo,
Daniel Martín
Microsoft MVP Windows - Shell/User

Correo electrónico:


"Cris" wrote in message news:

Acabo de comprobar que se trata de un conocido... :-(


Le agradezco la ayuda...

Daniel Martín [MVP Windows] wrote:

No tienes por qué preocuparte. La línea "DROP" significa que Firewall
de Windows ha bloqueado la conexión desde el exterior. Ten en cuenta
que incluso hay muchas máquinas en Internet que analizan rangos
completos de IPs con el fin de aprovecharse de alguna vulnerabilidad
y algún usuario sin cortafuegos en su equipo. Por ejemplo, el virus
Blaster/Sasser funciona así; en este caso Firewall de Windows
registra una entrada "DROP" en su registro y simplemente evita la
intrusión del virus.

De acuerdo, relacionaré desde ahora "drop" con "caída, fallo, no salió
bien", un aviso de intento de intrusión sin más problemas para mí.

Muy agradecida por la puntualización. :-)

PD: ¿El Blaster? Nooooo... Hace ¿dos años? que lo sufrí. Otra vez no... ;-)
Recuerdo que aprendí bastante en aquella ocasión. :-(