Problema strano con il firewall che blocca i pacchetti NATed

Naviga le tue risposte
1

Dal mio SIEM vedo che a (non possediamo il FW) Cisco ASA sta bloccando i pacchetti destinati alla rete interna (post NAT), ecco quello che sto vedendo (gli indirizzi IP sono falsi a causa della sicurezza)

170.100.1.1 Host esterno (A)

Firewall

192.168.1.1 Host interno (A) | | 192.168.1.2 Host interno (B) | | 192.168.1.3 Host interno (C)

Esempio di rapporto SIEM / firewall negato

"Nega udp src outside: 170.100.1.1/3478 dst inside: (any of the internal hosts) / 5219 by access-group" outside_access_in ""

Siamo un po 'sottaceti perché non possediamo il FW, né siamo in grado di vedere i log, quindi non posso vedere la regola specifica né posso vedere i pacchetti specifici

Come può la sorgente esterna conoscere l'indirizzo privato degli host interni se non è già stato in contatto con gli host, perché il firewall potrebbe bloccare in modo casuale i pacchetti?

Le porte sono completamente casuali, tutte empiriche e nessuna all'interno degli intervalli di porte assegnati.

Ho bisogno di aiuto per favore !!!

    
posta Mehcs85 17.01.2013 - 16:58
fonte

1 risposta

2

Il firewall non nega in modo casuale i pacchetti, ed è molto improbabile che vengano eliminati a causa di un bug. Con ogni probabilità i pacchetti vengono eliminati perché questo è ciò che la politica dice per il firewall. La porta 3478 è STUN, un protocollo utilizzato da UDP per NAT traversal. Ci sono alcune possibilità:

  • Il traffico è autentico e il traffico arretrato viene erroneamente bloccato dalle regole del firewall. In questo caso, l'amministratore FW dovrebbe correggere le regole che bloccano il traffico
  • Il traffico è autentico e viene bloccato per validi motivi, nel qual caso non devi fare nulla
  • Il traffico è un attacco. Potrebbe essere una parte esterna che tenta di accedere alla rete interna utilizzando pacchetti STUN creati. In questo caso il firewall funziona perfettamente bloccandolo e il SIEM funziona perfettamente notificando l'attacco, nel qual caso sii felice - ecco perché acquisti un SIEM

Quale di questi è dipende dal fatto che qualcuno dei vostri sistemi abbia tentato di connettersi all'host esterno A usando STUN. Accade così che tu o qualcuno con cui lavori abbia accesso agli host interni A, B e C. Chiedigli di verificare se tali sistemi stanno tentando di connettersi all'host esterno A. È anche probabile che la tua organizzazione paghi per un outsourcer per gestire i tuoi firewall, e in tal caso chiamarli e discutere le voci con loro.

    
risposta data 17.01.2013 - 18:27
fonte

Leggi altre domande sui tag

Google Analytics raccoglie informazioni sui contenuti della pagina Web? Esiste una legge contro una e-mail contenente sia un login che una password?