Ho progettato un'architettura di rete nel cloud. Ho inserito il primo IPS e poi il firewall (con Nat). Voglio sapere se alcuni attacchi sono andati a reti interne che non sono bloccate da IPS. Ma penso che questi indirizzi IP interni siano stati sostituiti dall'indirizzo IP del Firewall. come faccio a monitorare gli attacchi che hanno come target la mia rete interna in quanto non ho gli indirizzi IP corretti?
Nella mia risposta, supporrò che, quando scrivi " Ho inserito il primo IPS e poi il firewall (con Nat) ", in realtà intendi che hai un dispositivo NAT (che potrebbe essere un firewall) tra il tuo IPS e Internet. In caso contrario, aggiorna la tua domanda e lascia un commento.
In tal caso, NAT non dovrebbe creare alcun problema specifico, in quanto, in genere, utilizzerai DNAT per connessioni (e datagrammi) provenienti dall'esterno. Questo tipo di NAT sostituirà solo l'IP di destinazione, lasciando intatto l'IP sorgente. Significa che otterrai l'IP del server reale interno che sarà interessato e l'IP originale (sorgente) dell'aggressore (o, almeno, l'indirizzo di origine contenuto nell'intestazione IP: non ti darà il vero aggressore se il pacchetto è stato spoofato )
Ad esempio, se hai un pacchetto con IP 1.2.3.4:4556 (utente malintenzionato) per il server 5.6.7.8:80 (indirizzo IP del server pubblico), ecco cosa succederà:
Original packet: S: 1.2.3.4:4556 D: 5.6.7.8:80
DNATed packet: S: 1.2.3.4:4556 D: 10.0.0.8:80
(Si noti che una regola NAT più complessa potrebbe cambiarlo. È possibile sostituire completamente gli indirizzi e le porte di origine E di destinazione, ma questo è usato solo in casi molto specifici e, dato che sei tu a creare le regole di NATing, dovresti conoscilo).
Se si è molto diffidenti nei confronti dell'attaccante dalla rete interna, è possibile configurare un server STUN che fa semplicemente in modo che indichi l'IP del client dietro il NAT. Lo scopo principale del protocollo STUN è di abilitare un dispositivo in esecuzione dietro un dispositivo NAT per scoprire il suo IP pubblico e quale tipo di NAT è in esecuzione sul gateway a cui è connesso. Consente inoltre al dispositivo connesso dietro un gateway di scoprire la traduzione della porta effettuata dal gateway stesso ( nel tuo caso il NAT )
Per quanto ho ottenuto la tua domanda, stai disegnando qualcosa del genere: Internet = > IPS = > Firewall (NATing qui) = > la tua rete privata.
In primo luogo, questa non è la migliore pratica per posizionare un firewall dopo un IPS, perché espone l'IPS a Internet e quindi lo rende il primo obiettivo per i malintenzionati da Internet. In secondo luogo, in teoria, si! Perché in questo caso, l'attacco sarà mirato all'indirizzo IP pubblico e non ci sarà un modo specifico per identificare l'IP privato di un host specifico connesso dopo il firewall nella tua rete privata. Per quanto riguarda la parte di tracciamento, dovresti seguire la soluzione di cui sopra nella prima risposta. Spero tu abbia la tua risposta!
Firewall o Gateway è solo un router e come un router, collega le reti. Nel tuo caso, connette Internet (rete A) con la tua rete nel cloud (rete B).
Quando posizioni l'IPS fuori dal firewall, l'IPS ora risiede con Internet e NON nella tua rete.
Se desideri che l'IPS rilevi le minacce all'interno della tua rete, devi prima collegare il firewall a Internet e quindi connettere l'IPS al firewall. questo risolverà anche il tuo problema con NAT poiché gli indirizzi IP visibili per IPS non sono NATed.