ip spoofing

10/11/2004 - 17:49 por daviz | Informe spam
Hola,
tengo el siguiente problema:
Desde equipos de mi red interna necesito llegar a determinadas ip´s de
internet para replicarse datos, monitorizar etc.
Ál meter entre nuestro actual firewall (no microsoft) un isa2004 y redirigir
esa comunicacion por el isa.
Me encuentro que me corta la comunicacion el firewall frontera diciendo que
hay ip spoofing.
La peticion interna llega al isa, el isa le deja pasar y cuando llega al
otro firewall lo corta por ip spoofing
Entiendo que esto es motivado porque la peticion que recibe el isa del
servidor interno es reenviada al otro firewall con la ip del isa2004 y de ahí
el problema.

La relacion entre el isa2004 y la dmz en la cual esta enganchada una pata
del firewall frontera es RUTA porque entiendo que al hacer nat en el firewall
frontera para salir
no tendrían porque coger la direccion del isa las peticiones internas

Tengo una regla en el isa que permite de los servidores internos a los
servidores de internet todos los protocolos

¿alguien a entendido algo? Sniff
Gracias

Preguntas similare

Leer las respuestas

#1 Ivan [MS MVP]
10/11/2004 - 19:09 | Informe spam
Con un pequeño esquema seria mas facil de interpretarlo imagino que tienes algo asi:
Internet--Firewall--ISA Firewall--red interna

No se que otro tipo de firewall utilizas, pero mucho me temo que es problema de la configuracion de ese firewall y no del ISA.
Al igual que en el ISA se definen los rangos de la red interna, imagino que en ese firewall tendras que hacer algo similar e incluir las rutas necesarias para alcanzar las subredes detras del ISA. Si ese otro firewall no tienen rutas para alcanzar la red interna, es logico que lo vea como IP spoofing, no puede alcanzar las peticiones de esas IPs y las considera no validas

Un saludo.
Ivan
MS MVP ISA Server


"daviz" escribió en el mensaje news:
Hola,
tengo el siguiente problema:
Desde equipos de mi red interna necesito llegar a determinadas ip´s de
internet para replicarse datos, monitorizar etc.
Ál meter entre nuestro actual firewall (no microsoft) un isa2004 y redirigir
esa comunicacion por el isa.
Me encuentro que me corta la comunicacion el firewall frontera diciendo que
hay ip spoofing.
La peticion interna llega al isa, el isa le deja pasar y cuando llega al
otro firewall lo corta por ip spoofing
Entiendo que esto es motivado porque la peticion que recibe el isa del
servidor interno es reenviada al otro firewall con la ip del isa2004 y de ahí
el problema.

La relacion entre el isa2004 y la dmz en la cual esta enganchada una pata
del firewall frontera es RUTA porque entiendo que al hacer nat en el firewall
frontera para salir
no tendrían porque coger la direccion del isa las peticiones internas

Tengo una regla en el isa que permite de los servidores internos a los
servidores de internet todos los protocolos

¿alguien a entendido algo? Sniff
Gracias


Respuesta Responder a este mensaje
#2 daviz
11/11/2004 - 20:04 | Informe spam
Hola de nuevo,
Efectivamente (perdon por no poner esquema) eso es lo que tenemos entre esos
2 firewall está una dmz.
El tema está en que desde el frontera funciona todo perfectamente. De echo
el isa lo estamos probando para ver si tenemos doble proteccion...
El tema esta que si desde nuestros servers internos salen directamente por
nuestro firewall frontera (como hacen hasta ahora) hasta unos servidores que
estan en internet para comunicarse por ciertos puertos todo ok, pero al
intentar forzar esas comunicaciones obligando a que pasen por el isa da el
problema del ip spoofing en el frontera y creo que esta motivado porque el
isa cambia las cabecera de ip origen poniendo la suya, lo cual no entiendo
porque mi relacion entre el isa y el frontera/internet es "ruta" y el que
haría Nat sería el frontera

Bufff que problemon ...


"Ivan [MS MVP]" wrote:

Con un pequeño esquema seria mas facil de interpretarlo imagino que tienes algo asi:
Internet--Firewall--ISA Firewall--red interna

No se que otro tipo de firewall utilizas, pero mucho me temo que es problema de la configuracion de ese firewall y no del ISA.
Al igual que en el ISA se definen los rangos de la red interna, imagino que en ese firewall tendras que hacer algo similar e incluir las rutas necesarias para alcanzar las subredes detras del ISA. Si ese otro firewall no tienen rutas para alcanzar la red interna, es logico que lo vea como IP spoofing, no puede alcanzar las peticiones de esas IPs y las considera no validas

Un saludo.
Ivan
MS MVP ISA Server


"daviz" escribió en el mensaje news:
> Hola,
> tengo el siguiente problema:
> Desde equipos de mi red interna necesito llegar a determinadas ip´s de
> internet para replicarse datos, monitorizar etc.
> Ál meter entre nuestro actual firewall (no microsoft) un isa2004 y redirigir
> esa comunicacion por el isa.
> Me encuentro que me corta la comunicacion el firewall frontera diciendo que
> hay ip spoofing.
> La peticion interna llega al isa, el isa le deja pasar y cuando llega al
> otro firewall lo corta por ip spoofing
> Entiendo que esto es motivado porque la peticion que recibe el isa del
> servidor interno es reenviada al otro firewall con la ip del isa2004 y de ahí
> el problema.
>
> La relacion entre el isa2004 y la dmz en la cual esta enganchada una pata
> del firewall frontera es RUTA porque entiendo que al hacer nat en el firewall
> frontera para salir
> no tendrían porque coger la direccion del isa las peticiones internas
>
> Tengo una regla en el isa que permite de los servidores internos a los
> servidores de internet todos los protocolos
>
> ¿alguien a entendido algo? Sniff
> Gracias
>
>

Respuesta Responder a este mensaje
#3 Ivan [MS MVP]
15/11/2004 - 09:28 | Informe spam
Si la relacion entre red interna-red externa es de NAT, pues logicamente
todas las peticiones tienen como IP origen la IP externa del ISA.
Crea dos redes en el ISA, una para los clientes internos que contactan con
los servidores de internet y otra para los servidores de internet. Define
esta relacion como de routing.

Un saludo.
Ivan
MS MVP ISA Server


"daviz" escribió en el mensaje
news:
Hola de nuevo,
Efectivamente (perdon por no poner esquema) eso es lo que tenemos entre
esos
2 firewall está una dmz.
El tema está en que desde el frontera funciona todo perfectamente. De echo
el isa lo estamos probando para ver si tenemos doble proteccion...
El tema esta que si desde nuestros servers internos salen directamente por
nuestro firewall frontera (como hacen hasta ahora) hasta unos servidores
que
estan en internet para comunicarse por ciertos puertos todo ok, pero al
intentar forzar esas comunicaciones obligando a que pasen por el isa da el
problema del ip spoofing en el frontera y creo que esta motivado porque el
isa cambia las cabecera de ip origen poniendo la suya, lo cual no entiendo
porque mi relacion entre el isa y el frontera/internet es "ruta" y el que
haría Nat sería el frontera

Bufff que problemon ...


"Ivan [MS MVP]" wrote:

Con un pequeño esquema seria mas facil de interpretarlo imagino que
tienes algo asi:
Internet--Firewall--ISA Firewall--red interna

No se que otro tipo de firewall utilizas, pero mucho me temo que es
problema de la configuracion de ese firewall y no del ISA.
Al igual que en el ISA se definen los rangos de la red interna, imagino
que en ese firewall tendras que hacer algo similar e incluir las rutas
necesarias para alcanzar las subredes detras del ISA. Si ese otro
firewall no tienen rutas para alcanzar la red interna, es logico que lo
vea como IP spoofing, no puede alcanzar las peticiones de esas IPs y las
considera no validas

Un saludo.
Ivan
MS MVP ISA Server


"daviz" escribió en el mensaje
news:
> Hola,
> tengo el siguiente problema:
> Desde equipos de mi red interna necesito llegar a determinadas ip´s de
> internet para replicarse datos, monitorizar etc.
> Ál meter entre nuestro actual firewall (no microsoft) un isa2004 y
> redirigir
> esa comunicacion por el isa.
> Me encuentro que me corta la comunicacion el firewall frontera diciendo
> que
> hay ip spoofing.
> La peticion interna llega al isa, el isa le deja pasar y cuando llega
> al
> otro firewall lo corta por ip spoofing
> Entiendo que esto es motivado porque la peticion que recibe el isa del
> servidor interno es reenviada al otro firewall con la ip del isa2004 y
> de ahí
> el problema.
>
> La relacion entre el isa2004 y la dmz en la cual esta enganchada una
> pata
> del firewall frontera es RUTA porque entiendo que al hacer nat en el
> firewall
> frontera para salir
> no tendrían porque coger la direccion del isa las peticiones internas
>
> Tengo una regla en el isa que permite de los servidores internos a los
> servidores de internet todos los protocolos
>
> ¿alguien a entendido algo? Sniff
> Gracias
>
>

email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida