Jump to content

Anti-spoofing

kiko

Von kiko
in Cisco Forum — Allgemein

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

kiko

kiko   11

Geschrieben
  • Autor
Geschrieben

Hi Wurstbläser (cooler Nicname)

 

FW Check Point NG AI

auf meine FW sind

1 interface fürs Internet

1 interface fürs interne Netzwerk

1 Interface für die DMZ

1 Interface für ein 192.x.x.x Netz

1 Interface für ein 10.x.x.x Netz

 

Nur das fürs Internet ist als external configuriert.

Laut Dokumentation reicht es wenn ich auf dieses Interface "Perform Anti-Spoofing based on interface topology" aktiviere.

 

Wenn ich das mache. Hat das erstmal Auswirkungen auf mein internes Netzwerk? Muss ich gleichzeitig auch die "intern" Interfaces für Anti-Spoofing konfigurieren oder kann ich das später tun?

 

Muss man zusätzlich irgendwelche Rules mit berücksichtigen oder ist die Anti-Spoofing konfiguration unabhängig von Rules?

 

Ich hoffe du kannst mir da Antworten.

Link zu diesem Kommentar
s21it21 Community Regular

s21it21   10

Geschrieben
Geschrieben

hallo,

 

also mit checkpoint kenne ich mich aus. :)

 

was antispoofing grundsätzlich tut, weisst du, oder?

 

du kannst antispoofing für jedes interface extra einrichten, du musst nicht alles komplett einrichten. wichtig ist, dass du bei den internen interfaces wirklich alle netze, die du hast bzw. die aufscheinen können, angibts. fehlt da ein netzt, wird der traffic blockiert und im log siehst du das dann eben als anti-spoofing alarm.

 

ACHTUNG: Du kannst dich so wunderbar aus der firewall aussperren.

 

ACHTUNG2: Bei bestimmten NAT-Konfigurationen erscheinen am internen interface ebenfalls die externen, genatteten ip-adressen. diese müssen dann in die antispoofing konfig miteingebaut werden, sonst passt das nat nicht.

 

von den rules her musst du nix beachten. wichtig ist eben nur, dass nicht falsche ip-netze/adressen auf den falschen interfaces "aufscheinen"....

 

lg

martin

Link zu diesem Kommentar
kiko

kiko   11

Geschrieben
  • Autor
Geschrieben

Hi Martin (Retter der Nation ;) )

 

ich habe mir das so vorgestellt:

 

externes Interface:

da ist schon eingestellt "External (leads out to the internet)

Was noch dazu kommen würde ist "Perform Anti-Spoofing based on interface topology". Hier kann man sowieso nichts weiter einstellen. Dann wäre ja für das externe Interface die Sache damit erledigt. Oder?

 

Bei den internen Interfaces:

Da müsste ich bei "IP Addresses behind this interface die Option "Specific" auswählen und dort unser interes Net angeben.

Wir haben intern einen Netzbereich a.b.c.d

 

 

Wo ich noch nicht so richtig durchblicke ist die Geschichte mit dem NATing.

Tatsächlich habe ich Konfiguriert für bestimmte Verbindungen beim Address Translating, dass die Original Source, zum externen Interface der FW translated wird. Könntest du mir hier ein bisschen helfen zu verstehen was du meinst mit "in die antispoofing konfig miteinbauen" meinst?

 

Das wäre echt SUPER :D

Link zu diesem Kommentar
s21it21 Community Regular

s21it21   10

Geschrieben
Geschrieben

hallo,

 

fürs externe interface passt das so.

 

fürs interne im prinzip auch, so lange da nicht andere netze drübergehen.

based on topology heisst ja nur, dass eben das netzt an dem die fw angeschlossen ist, erlaubt wird. hast du ein grösseres netz, wo eben andere netzte drüber geroutet werden, kann es ein problem geben. wenn dem so ist, mach besser eine gruppe. in diese gruppe gibst du alle möglichen netzte rein. dann sagst du bei anti-spoofing eben, dass diese gruppe verwendet werden soll (statt der topology).

 

beim nat musst auch aufpassen. aber das merkst du e gleich. :) im schlimmsten fall, musst du alle nat-ips (die pub-ips) auch in diese gruppe geben (das kommt darauf an, wie du das nat auf der fw konfiguriert hast. es geht ja folgendes: zu erst nat, dann routing, oder zu erst routing und dann natting)....probiere es einfach aus....

 

lg

martin

 

ps: ach ja, das betrifft nur die static-inbound nats (static-destination nat heisst das bei checkpoint, wenn ich mich nicht irre).

Link zu diesem Kommentar
s21it21 Community Regular

s21it21   10

Geschrieben
Geschrieben

hello,

 

:)

 

da hat mein browser nicht den gesamten text geladen. :)

 

sorry,

beim nat ist es so: unter bestimmten umständen kann es vorkommen, dass am internen interface die genattet-pup-ips aufscheinen. wenn das dann im antispoofing nicht berücksichtigt wird, funktioniert dies nicht. bei der checkpoint ist es ja möglich, dass die genattet pup-ip zu erst geroutet und erst dann genatten wird. wie gesagt, dabei kann eben die pub-ip am internen interface aufscheinen. aus diesem grund, muss man die pup-ip, die fürs natten gebraucht wird, auch in die antispoofing gruppe geben.

 

das betrifft aber nur solche nats, wo eben user auf einen webserver (beispiel) von euch zugreifen. nats ins internet (fürs surfen, zb.) ist das egal.

 

lg

martin

Link zu diesem Kommentar
kiko

kiko   11

Geschrieben
  • Autor
Geschrieben

Ich habe zu dem Thema in der Dokumentation folgendes gefunden:

 

NAT and Anti-Spoofing

NAT is always performed after the anti-spoofing checks, and anti-spoofing checks are

performed only on the source IP address of the packet. This means that irrespective of

NAT, spoofing protection is configured on the interfaces of the FireWall-1 Gateway in

the same way. Unlike in previous versions of FireWall-1, there no special issues

regarding anti-spoofing configuration and NAT.

 

Das würde nach meinem Verständnis bedeuten dass Anti-Spoofing hier keine Auswirkungen auf meine NAT Konfigurationen haben würde. Oder bin ich hier total daneben?? :suspect:

Link zu diesem Kommentar
kiko

kiko   11

Geschrieben
  • Autor
Geschrieben

Ok ich denke ich habe endlich kapiert was du meinst. Und wenn ich mir meine Konfiguration anschaue denke ich, dass ich in einem Fall das Problem haben werde und zwar habe ich folgendes Szenario:

 

Ich habe User die sich von daheim über ISDN bei uns einwählen. Der Router hat ein eigenes Netzwerkbereich 192.x.x.x. Ein Interface der FW ist auch da angeschlossen und hat eine 192 Adresse.

Wenn sich die User anmelden dann bekommen Sie auch eine Adresse vom 192 Bereich. Wenn die aber in unserem Netzwerk zugreifen wollen, dann findet eine Address Translation statt:

 

Die 192. Source Adresse wird auf das interne Interface der FW umgewandelt. Ich denke hier müsste ich ein paar Sachen ausprobieren oder hast du diesbezüglich mal Erfahrungen gemacht?

 

Auf jeden Fall hast du mir seht geholfen und möchte mich jetzt schon bedanken.

 

Echt cool man :cool:

Link zu diesem Kommentar
s21it21 Community Regular

s21it21   10

Geschrieben
Geschrieben

hello,

 

grundsätzlich hast du recht.

man kann diese gesamte nat-antispoofing-verhalten auf der checkpoint aber auch komplett umdrehen. und dann greifen meine ausführungen. bzw. macht es einen unterschied ob du von fw-1 4.1 auf ng upgegraded hast, oder ob es eine neuinstallation war.

 

wie gesagt, probiere es aus (es wird wahrscheinlich alles so passen, wie es bei dir eingestellt ist), und wenn es probleme gibt, gibt die nat-ips in die antispoofing-gruppe.

 

lg

martin

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...