Cómo identificar posibles ataques maliciosos en los firewalls

Si te das cuenta o no, tu firewall está constantemente bajo ataque. Desde programas automatizados que buscan redes vulnerables hasta piratas informáticos experimentados que intentan penetrar en su red e instalar un troyano o rootkit, su firewall bloquea constantemente el tráfico de fuentes no autorizadas en Internet. La información sobre los ataques y los paquetes que bloquea el firewall están disponibles para usted en los archivos de registro del firewall. Inspeccione los registros para identificar los ataques para saber de dónde se originan y para determinar si algún ataque tuvo éxito en obtener acceso a su red.

Identificar el escaneo de puertos

Algunos piratas informáticos utilizan escáneres de puertos para escanear los puertos en su firewall y determinar si hay puertos abiertos. Un atacante puede escanear todos los puertos o escanear selectivamente algunos puertos donde un exploit ha tenido éxito en el pasado. Busque entradas en el registro donde su firewall bloqueó el acceso desde la misma dirección IP a múltiples puertos. Por ejemplo, puede ver entradas similares a las siguientes:

Solicitud de conexión TCP entrante bloqueada de 96.47.225.82:6000 a 64.233.160.105:9333 Solicitud de conexión TCP entrante bloqueada de 96.47.225.82:6000 a 64.233.160.105:9334 Solicitud de conexión TCP entrante bloqueada de 96.47.225.82:6000 a 64.233.160.105: 9335 Solicitud de conexión TCP entrante bloqueada de 96.47.225.82:6000 a 64.233.160.105:9336

Solicitudes de conexión de puerto único identifty

También debe preocuparse por las múltiples solicitudes de conexión en diferentes momentos y posiblemente desde diferentes direcciones IP a un solo número de puerto que no se está utilizando. Un pirata informático a menudo comprobará que el puerto que desea usar con su troyano u otro malware no esté siendo utilizado por otro servicio. Por ejemplo, puede ver entradas similares a las siguientes:

Se bloqueó la solicitud de conexión TCP entrante de 96.47.225.82:49343 a 64.233.160.105:31337 El mensaje anterior se repitió 107 veces

Identifique los paquetes salientes incorrectos y los inicios de sesión de firewall

Busque mensajes que se originen dentro de su red que bloquee el firewall en caso de que tenga un troyano que se encuentre dentro del firewall. Por ejemplo, busque entradas de registro como:

Se bloqueó el paquete TCP saliente de 192.168.1.100:51195 a 96.47.225.82:443 cuando se recibió FIN: ACK pero no hay conexión activa. El mensaje anterior se repitió 9 veces

Identifique cualquier intento de iniciar sesión en el propio firewall y cambie la configuración. Por ejemplo, puede ver una entrada de registro como:

Autenticación de configuración bloqueada por la dirección IP 96.47.225.82:6000 El mensaje anterior se repitió 5 veces

Detección de intrusión

Para ayudar a identificar los ataques que penetran con éxito en su firewall, puede instalar un sistema de detección de intrusos. De manera similar a una cámara de seguridad monitoreada, el software de detección de intrusos monitorea y analiza los patrones de tráfico a través de su red y lo alerta sobre lo que considera tráfico sospechoso. Sin embargo, el software no bloquea ningún tráfico de red. SNORT es un popular IDS de código abierto basado en red. OSSEC y Tripwire son IDS populares de código abierto basados ​​en host.