Jump to content
EPES

¿De donde procede dicho ataques?

Recommended Posts

Hola a todos.

 

Tengo 2 cuestiones para tratar y paso a explicar:

 

1º- Tengo el servidor Kaspersky security center 9.0.2828 y en toda mi red Kaspersky Endpoint 8.1.0.831, pues bien tras revisar los eventos de estas máquinas sale el siguiente ataque de red.

 

viernes, 08 de junio de 2012 10:54:31 Ataque de red detectado

Tipo de evento: Ataque de red detectado Aplicación\Nombre: Aplicación desconocida Componente: Prevención de intrusiones Resultado\Descripción: Bloqueado Resultado\Nombre: Scan.Generic.TCP Objeto: TCP desde al puerto local 1038 Objeto\Tipo: Paquete de red Objeto\Nombre: TCP desde al puerto local 1038

 

Como veréis no aparece la IP del destino ni de origen así que me es un poco complicado localizar su procedencia.

 

 

2º- El otro problema que tengo es el siguiente:

 

( Sí lo preferéis lo pongo mejor en otro post para separarlo )

 

En el servidor tanto en el IE como en el propio KSC está configurado un proxy para la salida a internet,este se utiliza nada más para windowsupdate, actualizacion de Adobe, etc etc. este proxy no necesita autenticación de usuario.

 

En los puestos fijos que tienen Endpoint navegan desde otro proxy en el cual sí necesita autenticación pero no está configurado para actualizar por windowsupdate, adobe, etc, es decir, solo para navegar.

 

Indicar que desde el servidor cuando le doy a "Tareas del Servidor de Administración"-->" Descargar actualizaciones del repositorio" este se descarga correctamente.

 

Tambien indicar que las políticas y las tareas primarias fueron borradas ya que lo tenemos personalizados por grupo,en estos grupos está creado una tarea para que se actualice únicamente desde el servidor, y esta lo hace correctamente en las máquinas.

 

El problema está en que por alguna razón los puestos fijos se intentan conectar al servidor de Kaspersky para tambien actualizarse dando muchísimos eventos de fallo de conexión ver imágen.

 

http://i.imgur.com/iz8nL.jpg

 

Aparte estoy reportando avisos que cuando se actualiza se queda el ordenador congelado por completo durante unos cuantos minutos.

 

 

P.D. no he puesto ningún reporte hasta que ustedes me lo indiquéis sí véis necesario.

 

Muchas gracias.

 

 

Share this post


Link to post

 

Acabo de tener que desinstalarlo en dos ordenadores por que el archivo "AVP.exe" consume el 100% de los recursos durante 5 min y mata el procesos de windows como explorer.exe, mucha lentitud al abrir cualquier documentos...:(

 

 

 

 

Edited by EPES

Share this post


Link to post
:bt:

Parte de la solución la encuentra dando clic AQUÍ

:bs:

 

 

Las normas me las conozco, las soluciones no :rolleyes:

Share this post


Link to post

Hola,

 

Se necesita mucha mas información, te recomiendo que crees un ticket de soporte en helpdesk de Kaspersky.

 

Envía los logs de eventos completos, logs de actualización, gsi, avz log, capturas de pantalla con la configuración del KSC, etc..

 

Adicionalmente te recomiendo que instales la última versión del KSC v9 CF2. Comprueba que tengas instalado en todos los equipos la última versión del agente, y la última versión del KES CF1.

 

Saludos

Share this post


Link to post
Hola,

 

Se necesita mucha mas información, te recomiendo que crees un ticket de soporte en helpdesk de Kaspersky.

 

Envía los logs de eventos completos, logs de actualización, gsi, avz log, capturas de pantalla con la configuración del KSC, etc..

 

Adicionalmente te recomiendo que instales la última versión del KSC v9 CF2. Comprueba que tengas instalado en todos los equipos la última versión del agente, y la última versión del KES CF1.

 

Saludos

 

 

Hola.

 

Ahora mismo estoy instalando el nuevo KSC V9 CF2 , cuando esté instalaré en las máquinas el nuevo agente , en el cual los equipos estan con KES CF1 recien instalado días atrás.

 

Muchas gracias

Share this post


Link to post

Hola,

 

De nada.

 

Comprueba que todos los equipos tengan el último agente de red.

 

Saludos

Edited by Caos

Share this post


Link to post

Ya estoy esperando a que me contestes.

 

Como últimas cuestiones que tengo y no consigo ver el motivo.

 

1º )En las máquinas con XP tengo activado el control web, cuando lo está no deja conectarse a Google Talk , he intentado ver que excepciones o configuración hay que poner pero no doy con la tecla, entiendo que Kaspersky lo debería de reconocer como confiable. ¿Como poder solventarlo?

 

2º) En el KSC está como software confiable el UltraVNC, este funciona correctamente cuando te conectas pero no cuando intentas abrir el kaspersky endpoint, este no te lo muestra por pantalla, da igual sí lo haces por UltraVNC o por alguna aplicación para controlar dos ordenadores mediante la compartición de teclado/ratón ¿Hay alguna forma de deshabilitar el Sandbox de Kaspersky ?

 

 

Gracias.

Share this post


Link to post

Como te comente, crea un ticket de soporte en el helpdesk de Kaspersky, y envía toda la información que te he comentado.

 

1.- Da mas información. Envíame capturas de pantalla de como lo tienes configurado. Crea una regla permitiendo el google talk por encima de la estándar.

Revisa:

post-59156-1339573470_thumb.jpg

 

2.- Te recomiendo revises: http://support.kaspersky.com/faq/?qid=208285580

 

Saludos

Edited by Caos

Share this post


Link to post
Como te comente, crea un ticket de soporte en el helpdesk de Kaspersky, y envía toda la información que te he comentado.

 

1.- Da mas información. Envíame capturas de pantalla de como lo tienes configurado. Crea una regla permitiendo el google talk por encima de la estándar.

Revisa:

post-59156-1339573470_thumb.jpg

 

2.- Te recomiendo revises: http://support.kaspersky.com/faq/?qid=208285580

 

Saludos

 

 

Una pregunta ¿Desde el soporte de Kaspersky siempre tardan tanto? Llevo ya todo este tiempo esperando y ahora para colmo me dicen que tengo que abrir una nueva incidencia sobre los ataques que estoy recibiendo ... O.o

:dash1:

 

 

Por lo que veo solo se han centrado en el problema de Gtalk cuando les he reiterado que ese problema no es lo crítico.. pero aún así ni una cosa ni otra lo han solucionado o dada alguna respuesta... :blink:

Share this post


Link to post

Hola,

 

Depende de si se ha realizado bien el proceso, si se ha proporcionado toda la información solicitada, y de otros factores. Cuenta que como te explique el caso va al soporte de tu mayorista, y se escala a Kaspersky sino pueden resolverlo, etc...

 

Para trabajar de forma ordenada y eficiente, siempre se pide abrir un caso para cada problema. No es bueno para nada tratar distintos problemas en un mismo caso.

Les has proporcionado toda la información solicitada?

 

Saludos

Edited by Caos

Share this post


Link to post
Hola,

 

Depende de si se ha realizado bien el proceso, si se ha proporcionado toda la información solicitada, y de otros factores. Cuenta que como te explique el caso va al soporte de tu mayorista, y se escala a Kaspersky sino pueden resolverlo, etc...

 

Para trabajar de forma ordenada y eficiente, siempre se pide abrir un caso para cada problema. No es bueno para nada tratar distintos problemas en un mismo caso.

Les has proporcionado toda la información solicitada?

 

Saludos

 

 

Hola.

 

Le facilité toda la información que me pidió , de hecho hice hincapié que el tema de Gtalk no era nada crítico que lo importante era los avisos de ataques. Al principio lo escalaron a mi comercial, de esto hace ya algunas semanas, el comercial lo escaló nuevamente a Kaspersky, este me pidio la config de K Endpoint, de esto hace ya 2 semanas y a fecha de hoy nada de nada.. excepto este último correo que me dicen que abra una nueva incidencia con el problema de los ataques.. O.o

 

Les he escrito antes indicando que no es necesario abrir un nuevo caso sobre los ataques ya que este caso es para los ataques...

 

Un saludo.

Share this post


Link to post

Hola,

 

No es que lo escalen a tu comercial, sino que el ticket que creas va a tu mayorista, según el caso se encarga el soporte técnico de tu mayorista o lo escalan a Kaspersky, tal y como te comente.

 

Al mezclar varios temas en el ticket, te han respondido a uno de ellos, te recomiendo que crees un nuevo ticket indicando solo el caso de los ataques, adjuntales de nuevo toda la información e indicales que te urge.

 

Saludos

Share this post


Link to post

Para el ataque de red: comentas que viste los eventos de estas máquinas osea en Selecciones de equipo y eventos/ Eventos????

¿Exactamente donde obtuviste estos resultados?

 

 

Has probado crear una nueva plantilla para los informes de ataques de red?

Share this post


Link to post
Para el ataque de red: comentas que viste los eventos de estas máquinas osea en Selecciones de equipo y eventos/ Eventos????

¿Exactamente donde obtuviste estos resultados?

Has probado crear una nueva plantilla para los informes de ataques de red?

 

 

Hola

 

Los eventos los veo seleccionando cualquier ordenador y con el botón derecho en "eventos". La nueva plantilla está creada llamado "Informe de ataques de red" os pongo los resultados:

 

http://i.imgur.com/cqd5B.jpg

 

 

Aparte de esto y sin solucionarme el problema desde el soporte de Kaspersky me han cerrado mi caso indicandome que para los ataques tengo que abrir otra incidencia, pero el problema de Gtalk no me lo han solucionado y lo han cerrado.. O.o en fin..

Share this post


Link to post

Este tipo de ataques no suelen ser ataques, sino programas mal diseñados (tipo emule, o similares o incluso programas legales que buscan impresoras, etc) o tarjetas de red defectuosas.

Son escaneos de puertos, tanto el scan. generic, como el synflood, que es un tipo de escaneo de puertos, que no espera a recibir el ACK del equipo atacado.

Suelen ser de equipos internos de la red, por lo que revísalos a ver si tienen este tipo de programas.

Si atacan equipos dentro de la red, es porque son internos. Una ip externa no puede atacar equipos de una red interna. Otra cosa sería recibir esos ataques en el router o la puerta de enlace.

 

Share this post


Link to post
Este tipo de ataques no suelen ser ataques, sino programas mal diseñados (tipo emule, o similares o incluso programas legales que buscan impresoras, etc) o tarjetas de red defectuosas.

Son escaneos de puertos, tanto el scan. generic, como el synflood, que es un tipo de escaneo de puertos, que no espera a recibir el ACK del equipo atacado.

Suelen ser de equipos internos de la red, por lo que revísalos a ver si tienen este tipo de programas.

Si atacan equipos dentro de la red, es porque son internos. Una ip externa no puede atacar equipos de una red interna. Otra cosa sería recibir esos ataques en el router o la puerta de enlace.

 

Hola.

 

Estuvimos analizando los paquetes y según parece y como bien comentas son llamadas a las máquinas de sincronización, comprobación que la máquina está Online, etc , por lo que hemos visto entre otras pueden proceder de servidor de Microsoft de servidores de ficheros, de correos, etc

 

¿Hay alguna forma de filtrarlo en el servidor de Kaspersky para que no lo detecte como ataques? Es que los eventos son enormes..

Share this post


Link to post

Hola,

 

Me confirman que el caso de gtalk no se ha cerrado, el caso continua abierto, que te han dado una seria de posibles soluciones respecto al problema de GTalk, y que no has dado feedback de los resultados.

 

Y como te comente, me indican que tienes que abrir un ticket para que te puedan ayudar con el tema de los supuestos ataques.

 

Saludos

Edited by Caos

Share this post


Link to post
Hola,

 

Me confirman que el caso de gtalk no se ha cerrado, el caso continua abierto, que te han dado una seria de posibles soluciones respecto al problema de GTalk, y que no has dado feedback de los resultados.

 

Y como te comente, me indican que tienes que abrir un ticket para que te puedan ayudar con el tema de los supuestos ataques.

 

Saludos

 

 

Hola.

 

Te comento:

 

El día: Fecha: 25.06.2012 09:45:44 , recibo un correo indicando que agregue a la zona de exclusión dicho Gtalk y sí no funciona que le envie la CONFG de Kaspersky Endpoint.

El día: Fecha: 25.06.2012 10:21:32, les contesto y le digo que no funciona y les envié la confg.

El día: Fecha: 29.06.2012 14:48:39 Me contestan indicando que abra otra incidencia sobre los ataques.

El día: Fecha: 02.07.2012 09:13:23 Les indico que dicha incidencia es referente sobre todo a las IP y no a Gtalk.

El día: Fecha: 03.07.2012 14:01:35 Me dicen: Se procede a cerrar esta incidencia a la espera de la nueva.

:dash1:

El día: Fecha: 04.07.2012 09:09:39 Indico:

Entiendo que para el problemas de los ataques tenga que abrir otra incidencia, pero el problema de Gtalk no está solucionado ni dado ningún tipo de respuesta para solucionarlo.

 

El día: Fecha: 05.07.2012 10:04:01 Me dicen: Confirmar que la incidencia sigue abierta para seguir tratando el problema.

 

 

Así que como verás el día 25.06 les envío la configuración y apartir de ahí ya no recibo ninguna respuesta para intentar solventar el problema.

 

Estoy casi por cerrar dicha incidencia ya que no es nada crítico, el problema lo tengo con las IP que ya abrí un nuevo caso, que según he visto puede ser "ataques" legítimos de windows lo único que me falta por saber como proceder a filtrar dichos ataques aunque entiendo que sería un riesgo filtrarlos por sí en algún momento fuesen ataques reales.

 

Digo lo de filtrarlo ya que los eventos son enormes..:S

 

Muchas gracias por tú ayuda :bravo:

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.