Cómo proteger la pila TCP/IP frente a ataques por denegación de servicio en Windows Server 2003

Seleccione idioma Seleccione idioma
Id. de artículo: 324270 - Ver los productos a los que se aplica este artículo
Este artículo se publicó anteriormente con el número E324270
Expandir todo | Contraer todo

En esta página

Resumen

Los ataques por denegación de servicio (DoS) son ataques de red que pretenden conseguir que un equipo o un determinado servicio de un equipo no esté disponible para los usuarios de la red. Puede ser difícil protegerse frente a los ataques por denegación de servicio. Puede utilizar uno de los métodos siguientes, o ambos, para ayudar a protegerse de estos ataques:
  • Mantenga el equipo actualizado con las revisiones de seguridad más recientes. Las revisiones de seguridad se encuentran en el siguiente sitio Web de Microsoft:
    http://www.microsoft.com/security
  • Proteja la pila del protocolo TCP/IP en los equipos con Windows Server 2003. La configuración predeterminada de la pila TCP/IP está ajustada para tratar el tráfico normal de la intranet. Si conecta un equipo directamente a Internet, Microsoft recomienda proteger la pila TCP/IP frente a ataques por denegación de servicio.

Valores del Registro de TCP/IP que protegen la pila TCP/IP

Advertencia
Pueden producirse graves problemas si modifica incorrectamente el Registro mediante el Editor del Registro o con cualquier otro método. Estos problemas pueden requerir que reinstale el sistema operativo. Microsoft no puede garantizar la solución de esos problemas. Modifique el Registro bajo su responsabilidad.
En la lista siguiente se explican los valores del Registro relacionados con TCP/IP que puede configurar para proteger la pila TCP/IP en los equipos que están conectados directamente a Internet. Todos estos valores deben crearse en la siguiente clave del Registro, a menos que se indique lo contrario:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
NOTA
Todos los valores son hexadecimales, a menos que se indique lo contrario.
  • Nombre de valor: SynAttackProtect
    Clave: Tcpip\Parameters
    Tipo del valor: REG_DWORD
    Intervalo válido: 0,1
    Valor predeterminado: 0

    Este valor del Registro hace que el Protocolo de control de transporte (TCP) ajuste la retransmisión de SYN-ACKS. Cuando configura este valor, las respuestas de conexión superan el tiempo de espera antes durante un ataque SYN (un tipo de ataque por denegación de servicio).

    Con este valor del Registro se pueden utilizar los parámetros siguientes:
    • 0 (valor predeterminado): Sin protección frente a ataques SYN
    • 1: Configure SynAttackProtect como 1 para obtener una mejor protección frente a ataques SYN. Este parámetro hace que TCP ajuste la retransmisión de SYN-ACKS. Cuando configura SynAttackProtect en 1, las respuestas de conexión superan el tiempo de espera antes si el sistema detecta que hay un ataque SYN en curso. Windows utiliza los valores siguientes para determinar si hay un ataque en curso:
      • TcpMaxPortsExhausted
      • TCPMaxHalfOpen
      • TCPMaxHalfOpenRetried

    Nota
    En Windows Server 2003 Service Pack 1, el valor predeterminado de la entrada SynAttackProtect del Registro es 1.
  • Nombre de valor: EnableDeadGWDetect
    Clave: Tcpip\Parameters
    Tipo del valor: REG_DWORD
    Intervalo válido: 0, 1 (falso, verdadero)
    Valor predeterminado: 1 (verdadero)

    En la lista siguiente se explican los parámetros que puede utilizar con este valor del Registro:
    • 1: Cuando configura EnableDeadGWDetect como 1, TCP puede realizar una detección de puertas de enlace inactivas. Cuando la detección de puertas de enlace inactivas está habilitada, TCP puede pedir al Protocolo Internet (IP) que cambie a una puerta de enlace de reserva si hay varias conexiones que tienen dificultades. Las puertas de enlace de reserva se definen en la sección Avanzada del cuadro de diálogo Configuración TCP/IP en la herramienta Red del Panel de control.
    • 0: Microsoft recomienda configurar el valor EnableDeadGWDetect como 0. Si no configura este valor como 0, un ataque podría forzar al servidor a cambiar de puerta de enlace y usar una puerta de enlace no deseada.
  • Nombre de valor: EnablePMTUDiscovery
    Clave: Tcpip\Parameters
    Tipo del valor: REG_DWORD
    Intervalo válido: 0, 1 (falso, verdadero)
    Valor predeterminado: 1 (verdadero)

    En la lista siguiente se explican los parámetros que puede utilizar con este valor del Registro:
    • 1: Cuando configura EnablePMTUDiscovery como 1, TCP intenta descubrir la unidad de transmisión máxima (MTU) o el mayor tamaño de paquete en la ruta a un host remoto. Al descubrir la ruta de acceso MTU y limitar los segmentos TCP a este tamaño, TCP puede eliminar la fragmentación en los enrutadores situados a lo largo de la ruta que conecta redes con MTU diferentes. La fragmentación afecta negativamente al rendimiento de TCP.
    • 0: Microsoft recomienda configurar el valor EnablePMTUDiscovery como 0. Si lo hace, se utilizará una MTU de 576 bytes para todas las conexiones que no sean hosts en la subred local. Si no configura este valor como 0, un atacante podría forzar que el valor MTU fuera muy pequeño y sobrecargar la pila.

      Importante
      La configuración de EnablePMTUDiscovery como 0 afecta negativamente al rendimiento de TCP/IP. Aunque Microsoft recomienda esta configuración, no debe utilizarse a menos que sea totalmente consciente de esta pérdida de rendimiento.
  • Nombre de valor: KeepAliveTime
    Clave: Tcpip\Parameters
    Tipo del valor: REG_DWORD (tiempo en milisegundos)
    Intervalo válido: 1-0xFFFFFFFF
    Valor predeterminado: 7.200.000 (dos horas)

    Este valor controla la frecuencia con la que TCP intenta comprobar si una conexión inactiva sigue intacta enviando un paquete de mantenimiento de conexiones activas. Si el equipo remoto sigue siendo accesible, confirmará el paquete de mantenimiento de conexiones activas. Los paquetes de mantenimiento de conexiones no se envían de manera predeterminada. Puede utilizar un programa para configurar este valor en una conexión. La configuración recomendada para este valor es 300.000 (5 minutos).
  • Nombre de valor: NoNameReleaseOnDemand
    Clave: Netbt\Parameters
    Tipo del valor: REG_DWORD
    Intervalo válido: 0, 1 (falso, verdadero)
    Valor predeterminado: 0 (falso)

    Este valor determina si el equipo libera su nombre NetBIOS cuando recibe una solicitud de liberación de nombre. Se agregó este valor para permitir a los administradores proteger el equipo frente a ataques malintencionados de liberación de nombre. Microsoft recomienda configurar el valor NoNameReleaseOnDemand como 1.

Solución de problemas

Los cambios en los valores del Registro relacionados con TCP/IP pueden afectar a los programas y los servicios que se ejecutan en el equipo con Windows Server 2003. Microsoft recomienda probar estos valores en estaciones de trabajo y servidores que no estén en un entorno de producción para confirmar que son compatibles con su entorno empresarial.

Propiedades

Id. de artículo: 324270 - Última revisión: miércoles, 5 de enero de 2011 - Versión: 2.0
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
Palabras clave: 
kbhowtomaster KB324270

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com