En el ámbito de la ciberseguridad, es vital comprender cómo se producen los ataques y qué información se puede recolectar para mitigar el riesgo. Este artículo aborda la recopilación de información sobre ID de ataques y sus firmas en dispositivos FortiGate. Aprenderemos sobre los pasos básicos para diagnosticar ataques y las soluciones recomendadas para mejorar la configuración de seguridad.
Índice
Descripción del problema
Cuando se produce un ataque cibernético, es esencial contar con datos precisos sobre los desencadenantes y parámetros asociados al ID del ataque y su firma. Esto permite a los administradores de red responder de manera efectiva y ajustar la configuración de seguridad según sea necesario.
Alcance
Este artículo es aplicable a versiones de FortiGate v6.x y v7.x.
Diagnóstico paso a paso
Para recopilar información relacionada con ataques, el uso de registros adecuados es clave. Aquí se describen algunas estrategias para realizar un diagnóstico efectivo:
- Si se utiliza FortiAnalyzer, se pueden examinar los registros de ataques, clasificados por períodos de tiempo y tipos de ataques.
- Es posible crear manejadores de eventos personalizados. En los registros de eventos, se pueden ver los detalles de cada subtipo de FortiGate.
Ejemplo: Uso de FortiAnalyzer para recopilar registros de ataques DDoS.
Solución recomendada
Una serie de enfoques pueden ayudar a mejorar la recopilación de datos durante un ataque:
- Se puede enviar un formulario a FortiGuard utilizando el siguiente enlace:
- Se puede configurar una defensa basada en firmas en FortiGate, que proporcionará más datos en el momento de un ataque y su firma:
- Los avisos de PSIRT se pueden encontrar aquí:
- Consulte el siguiente artículo que explica cómo encontrar la descripción de la firma en el registro de ataque:
- El siguiente artículo muestra cómo identificar el contexto de coincidencia de la firma IPS:
- La Enciclopedia FortiGuard puede ser una buena fuente de información, por ejemplo: Prevención de Intrusiones Sybase.EAServer.Remote.Buffer.Overflow
- Se puede recopilar más información detallada sobre el desencadenante de la firma de tráfico. Para recopilar esta información, habilite el registro de paquetes y el registro de contexto de ataque en la firma utilizando los siguientes comandos CLI:
Cómo encontrar la descripción de la firma en el registro de ataque
Sugerencia de solución de problemas: Identificar el contexto de coincidencia de la firma IPS
Comandos CLI utilizados
Ejemplo:
config ips sensor
edit {nombre del sensor} <— El sensor IPS que se está utilizando.
config entries
edit {ID entero no utilizado} <— Use ‘?’ aquí para encontrar cuáles están en uso.
set rule 11860 <— ID de regla para ‘Sybase.EAServer.Remote.Buffer.Overflow’.
set log-attack-context enable
set log-packet enable
end
end
Una vez habilitados estos registros, cuando la firma se active nuevamente, se generará un archivo de captura de paquetes (.pcap) que podrá descargarse junto con el registro normal.
El registro de paquetes se puede descargar en la misma página Registro & Informe -> Prevención de Intrusiones. Seleccione la alerta para la firma IPS ‘Sybase.EAServer.Remote.Buffer.Overflow’ y en el panel derecho, bajo detalles del registro, debería haber una pestaña ‘Datos Archivados’. Seleccione el botón ‘Archivo Archivado’ para descargar el archivo PCAP.
Buenas prácticas y recomendaciones
Asegúrese de que se habiliten las siguientes configuraciones para recopilar Datos Archivados:
config log disk setting
set status [enable|disable] <– Habilitar.
set ips-archive [enable|disable] <– Habilitar.
Notas adicionales
Recuerde que la recolección de logs y la correcta configuración de las herramientas de prevención de intrusiones son esenciales para una ciberseguridad efectiva. Mantenga actualizadas sus configuraciones y revise periódicamente los registros para garantizar una defensa sólida contra amenazas emergentes.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!