Proteccion contra Brute Force attacks y port scans en Windows

[Devil]

No soy un fan de Windows, pero conozco bastante del tema y hasta hice mi MSCE hace algunos años.

Sin embargo estoy indeciso en como manejar estos temas con un Windows Server 2008. La maquina esta expuesta directa a internet sin un firewall externo por lo que es obvio que le esten pegando con fuerza ataques de Brute Force al FTP, al Terminal Server y otros servicios. Lo mismo con port scans. Mas alla del hardening de ley, como bloquearian estos ataques?

Con Linux esto lo arreglo en 2 patadas de 100 maneras diferentes y cualquier payaso que intente bruteforce termina en una regla del firewall o mejor con un null route. Sin embargo en Windows, la cosa no es tan simple. Tengo algunas ideas en mente, sin embargo me gustaria escuchar sus opiniones.

Lo que tienen que tener en cuenta es que algunos servicios como el FTP tienen que ser publicos (no se pueden bloquear) y que no se puede poner un firewall externo. Si se puede instalar cualquier aplicativo en el equipo.

Toda opinion es bienvenida.

[lmchv]

Personalmente nunca pondria un servidor Windows conectado directamente a internet, de por si hay demasiado contenido malicioso en internet que busca este tipo de servidores para atacarlos; fuera de que los vayan a poder romper te van a generar problemas de performance como me imagino esta pasando.

Una forma de proteger este tipo de servidores es modificando el stack de TCP/IP: http://msdn.microsoft.com/en-us/library/aa302363.aspx (el articulo es un poco viejo, pero TCP/IP sigue siendo TCP/IP :))

Personalmente no soy un especialista de seguridad, yo me mandaria con un firewall y este servidor en la DMZ siendo accedido de acuerdo a reglas en el firewall.

[Devil]

Yo soy especialista en seguridad y me queda mas que claro que poner un Windows asi en Internet es suicida, sin embargo no es un equipo mio ni tampoco tengo como ponerlo detras de un firewall.

De poder ponerlo detras de un firewall o al menos cambiar el sistema operativo, la situacion seria muy diferente, ademas que seria algo de mi dia a dia.

Hardening del OS es algo que ya esta contemplado, sin embargo eso cubre una parte minima de la seguridad de la caja. Igual los servicios estan recontra expuestos y me gustaria agregarle una capa de seguridad.

Por ejemplo hacer queries al Event Viewer con vbscript por failed logins y los IPs que se repiten, darles null routes o agregarlos a un ACL para filtrarlos. Instalar snort para detectar port scans y bloquearlos.

En fin, soluciones a nivel local que quizas ayuden en algo.

[Devil]

Alguien mas?

Quizas algun fan de Windows de los que defiende su seguridad?

[lmchv]

Quizas algun fan de Windows de los que defiende su seguridad?

Eso si esta verde :cheesy: , yo mismo tenia mis web servers con Solaris.

Con respecto de lo que mencionaste en tu segundo post, Windows 2008 incorpora PowerShell, a lo mejor puedes usarlo para scanear continuamente el Event Log y crear dinamicamente reglas en el firewall integrado.

[crab]

interesante el tema que se abrio aqui pero pueden poner los tips basicos de seguridad para windows server ya que aqui no todos conocemos del tema y algunos que queremos aprender .... sino fuera mucha molestia gracias.

[Frnando]

Buenas

No estoy muy al tanto pero en mi trabajo estamos viendo unos temas con Firewall que corre en Unix con un sistema llamado PFsense, no se si lo habras visto Devil y que tal te parece, empese hoy dia a estudiarlo e implementarlo por motivos de chamba.

Suerte y seguire opinando segun vaya viendo algunas cosas