[Windows 2000] Come scoprire intrusi

[chycco]

Ciao a tutti
non avendo un firewall, dove e come cerchereste l'eventuale presenza di intrusi? Qualche programmino per fare qualche chek?
E in caso affermativo, come scacciare l'intruso senza firewall?

[fede_pg]

Dunque, intanto un firewall, anche quello più scarso gratuito, vedi di montarlo!!!

Per cercare eventuali intrusi, inizierei a vedere tutte le porte che sono aperte sul tuo server, fai una scansione con un qualunque port scanner, oppure usa il tcpview di Sysinternals o semplice il netstat di windows da linea di comando.

E' logico che devono esserci solamente le porte corrispondenti ai servizi installati .

Passerei poi a controllare -sempre con il task manager di win od il process explorer di Sysinternals- tutti i processi in esecuzione per cercare qualcosa di sospetto.

Passa poi al setaccio l'event log della macchina, specialmente quello di sicurezza, controllando chi e quando usa i privilegi amministrativi e per fare cosa.

Non escluderei anche il monitoraggio dell'utilizzo della banda della connessione ad internet... "consumi" anomali possono indicare delle attività sospette.

Infine controlla anche gli utenti della macchina, guarda che il guest non sia abilitato, che solo chi è autorizzato faccia parte dei gruppi amministrativi, ecc... .

Per scacciare un intruso... beh cos a priori non si può dire, bisogna vedere come è entrato. E cmq il firewall può non bastare da solo a fermare un attacco.

[chycco]

grazie fede
Il firewall è un problema perchè ho un server dedicato, quindi installarlo in remoto non è facile.
Ho trovato questo: http://www.analogx.com/contents/down...ork/pblock.htm . Dammi un parere :rollo:

[fede_pg]

Di nulla . Quello non è un firewall, ma un filtro che blocca le porte. Tutto ciò si può fare anche dalla proprietà della connessione di rete in Windows, senza bisogno di installare altro.

Se hai acquistato dello spazio su un server dedicato però, mi pare strano che non ci sia un firewall a protezione.