/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
IP spoofing...
Fra : guess@ofir.dk


Dato : 24-01-02 11:23

Hej!
Jeg har en ISA-server stående og den melder jævnligt om spoof attacks, port
scans osv. Jeg har oprettet regler, der spærrer for al trafik der kommer fra
de adresser, der har udført port scans, men hvordan kan jeg vide om de havde
succes og hvad de evt. har brugt informationerne til?

Hvad med spoofing - når serveren melder at der har været et spoof attack -
har den så blokeret for det eller hvad?

På forhånd tak! - Firewall newbie!



 
 
Daniel Blankensteine~ (24-01-2002)
Kommentar
Fra : Daniel Blankensteine~


Dato : 24-01-02 13:16

<guess@ofir.dk> wrote in message
news:3c4fe0d3$0$62856$edfadb0f@dspool01.news.tele.dk...
> Jeg har en ISA-server stående og den melder jævnligt om spoof attacks,
port
> scans osv. Jeg har oprettet regler, der spærrer for al trafik der kommer
fra
> de adresser, der har udført port scans, men hvordan kan jeg vide om de
havde
> succes og hvad de evt. har brugt informationerne til?

Hvis de har port-scannet dig, så finder de selvfølgelig ud af hvilket porte
du har åbne, men hvis jeg var dig vil jeg ikke se dette som en trussel.
At port-scanne giver alligevel ikke folk info, som de ikke også kunne have
fået ved at gøre det manuelt.

> Hvad med spoofing - når serveren melder at der har været et spoof attack -
> har den så blokeret for det eller hvad?

Det kommer an på hvilken firewall du har og hvordan du har sat den op, men
mit gæt vil være: ja.



guess@ofir.dk (24-01-2002)
Kommentar
Fra : guess@ofir.dk


Dato : 24-01-02 14:14

> Det kommer an på hvilken firewall du har og hvordan du har sat den op, men
> mit gæt vil være: ja.


Som jeg skrev, er det en ISA-server... Den er sat op med Intrusion
Detection, men udover det, er der ikke gjort noget specielt - andet end
åbnet for de nødvendige porte!



Daniel Blankensteine~ (24-01-2002)
Kommentar
Fra : Daniel Blankensteine~


Dato : 24-01-02 14:23

<guess@ofir.dk> wrote in message
news:3c5008d0$0$95344$edfadb0f@dspool01.news.tele.dk...
> Som jeg skrev, er det en ISA-server... Den er sat op med Intrusion
> Detection, men udover det, er der ikke gjort noget specielt - andet end
> åbnet for de nødvendige porte!

Ja, det fortæller jo ikke så meget om opsætningen, men eftersom den advarer
dig om "angrebet", så går jeg ud fra at den også har stoppet det.

mvh
db



Christian E. Lysel (24-01-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 24-01-02 18:51

guess@ofir.dk wrote:

> Som jeg skrev, er det en ISA-server... Den er sat op med Intrusion
> Detection, men udover det, er der ikke gjort noget specielt - andet end


Mener du de 6 signaturer den kan genkende?

Det kan man da ikke kalde IDS.


Christian E. Lysel (24-01-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 24-01-02 18:50

guess@ofir.dk wrote:

> Hej!
> Jeg har en ISA-server stående og den melder jævnligt om spoof attacks, port
> scans osv. Jeg har oprettet regler, der spærrer for al trafik der kommer fra


Er du sikker på ovenstående omkring spoof attacks? Er det ikke blot
ISA-serveren, der melder forkert? Evt. kan du vedlægge de logs du har
omkring spoofing.

> de adresser, der har udført port scans, men hvordan kan jeg vide om de havde
> succes og hvad de evt. har brugt informationerne til?


Som jeg husker ISA serveren, så dens spoof protection, hardcoded ind i
produktet.

En firewalls log bør fortælle om de havde succes, eller er den ubruglig,
desuden bør den yde en god beskyttelse imod ovenstående.


> Hvad med spoofing - når serveren melder at der har været et spoof attack -
> har den så blokeret for det eller hvad?


Afhængig af opsætningen.


Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408929
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste