|
| IP spoofing... Fra : guess@ofir.dk |
Dato : 24-01-02 11:23 |
|
Hej!
Jeg har en ISA-server stående og den melder jævnligt om spoof attacks, port
scans osv. Jeg har oprettet regler, der spærrer for al trafik der kommer fra
de adresser, der har udført port scans, men hvordan kan jeg vide om de havde
succes og hvad de evt. har brugt informationerne til?
Hvad med spoofing - når serveren melder at der har været et spoof attack -
har den så blokeret for det eller hvad?
På forhånd tak! - Firewall newbie!
| |
Daniel Blankensteine~ (24-01-2002)
| Kommentar Fra : Daniel Blankensteine~ |
Dato : 24-01-02 13:16 |
|
<guess@ofir.dk> wrote in message
news:3c4fe0d3$0$62856$edfadb0f@dspool01.news.tele.dk...
> Jeg har en ISA-server stående og den melder jævnligt om spoof attacks,
port
> scans osv. Jeg har oprettet regler, der spærrer for al trafik der kommer
fra
> de adresser, der har udført port scans, men hvordan kan jeg vide om de
havde
> succes og hvad de evt. har brugt informationerne til?
Hvis de har port-scannet dig, så finder de selvfølgelig ud af hvilket porte
du har åbne, men hvis jeg var dig vil jeg ikke se dette som en trussel.
At port-scanne giver alligevel ikke folk info, som de ikke også kunne have
fået ved at gøre det manuelt.
> Hvad med spoofing - når serveren melder at der har været et spoof attack -
> har den så blokeret for det eller hvad?
Det kommer an på hvilken firewall du har og hvordan du har sat den op, men
mit gæt vil være: ja.
| |
guess@ofir.dk (24-01-2002)
| Kommentar Fra : guess@ofir.dk |
Dato : 24-01-02 14:14 |
|
> Det kommer an på hvilken firewall du har og hvordan du har sat den op, men
> mit gæt vil være: ja.
Som jeg skrev, er det en ISA-server... Den er sat op med Intrusion
Detection, men udover det, er der ikke gjort noget specielt - andet end
åbnet for de nødvendige porte!
| |
Daniel Blankensteine~ (24-01-2002)
| Kommentar Fra : Daniel Blankensteine~ |
Dato : 24-01-02 14:23 |
|
<guess@ofir.dk> wrote in message
news:3c5008d0$0$95344$edfadb0f@dspool01.news.tele.dk...
> Som jeg skrev, er det en ISA-server... Den er sat op med Intrusion
> Detection, men udover det, er der ikke gjort noget specielt - andet end
> åbnet for de nødvendige porte!
Ja, det fortæller jo ikke så meget om opsætningen, men eftersom den advarer
dig om "angrebet", så går jeg ud fra at den også har stoppet det.
mvh
db
| |
Christian E. Lysel (24-01-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 24-01-02 18:51 |
|
guess@ofir.dk wrote:
> Som jeg skrev, er det en ISA-server... Den er sat op med Intrusion
> Detection, men udover det, er der ikke gjort noget specielt - andet end
Mener du de 6 signaturer den kan genkende?
Det kan man da ikke kalde IDS.
| |
Christian E. Lysel (24-01-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 24-01-02 18:50 |
|
guess@ofir.dk wrote:
> Hej!
> Jeg har en ISA-server stående og den melder jævnligt om spoof attacks, port
> scans osv. Jeg har oprettet regler, der spærrer for al trafik der kommer fra
Er du sikker på ovenstående omkring spoof attacks? Er det ikke blot
ISA-serveren, der melder forkert? Evt. kan du vedlægge de logs du har
omkring spoofing.
> de adresser, der har udført port scans, men hvordan kan jeg vide om de havde
> succes og hvad de evt. har brugt informationerne til?
Som jeg husker ISA serveren, så dens spoof protection, hardcoded ind i
produktet.
En firewalls log bør fortælle om de havde succes, eller er den ubruglig,
desuden bør den yde en god beskyttelse imod ovenstående.
> Hvad med spoofing - når serveren melder at der har været et spoof attack -
> har den så blokeret for det eller hvad?
Afhængig af opsætningen.
| |
|
|