Forums Neueste Beiträge
 

IP-Spoofing erkannt...muss ich IP-Adresse entriegeln?

02/09/2007 - 19:19 von Werner Geller | Report spam
Hallo zusammen,

mein ISA (2006/Standard-Edition) erkennt auf einer bestimmten IP-Adresse
"IP-Spoofing" (wird in der Protokolldatei angezeigt). Prinzipiell bin ich
froh, dass mein ISA das erkannt hat. Er verhàlt sich auch, wie ich es
erwarte: Er verwirft den kompletten Datenverkehr von dieser IP... So weit so
gut...

Wenn ich nun einen Client, der sich im gleichen Subnetz wie der ISA
befindet, mit dieser gespooften IP konfiguriere erkennt der ISA immer noch
IP-Spoofing. Wenn ich IP-Spoofing richtig verstanden habe wird IP-Spoofing
bei "Man-in-the-Middle"-Angriffen verwendet oder wenn man über einen anderen
(und somit gespooften) PC einen IP-Filter austricksen möchte um so zu einem
Zielrechner zu gelangen.

Da ich die gespoofte IP (wie oben beschrieben) auf einer anderen Hardware -
die quasi lokal am ISA hàngt - konfiguriert habe, dürfte doch der ISA kein
IP-Spoofing erkennen... Oder?

Daher habe ich folgende "ISA-Frage": Gibt es im ISA einen Mechanismus, der
dafür sorgt das die IP gesperrt ist? Wenn "JA" => Wo kann man diesen
Mechanismus quittieren? Oder sind ausschliesslich die "Alarm-Aktionen" für
ein entsprechendes Verhalten des ISAs zustàndig?

Anmerkung: Es stehen keine Alarme an (ist IP-Spoofing kein Alarm?) =>
Deshalb kann ich mir auch nicht vorstellen, dass eine "Alarm-Aktion" für das
Sperren der gespooften IP verantwortlich wàre. Alle anderen Clients im
Subnetz des gespooften Rechners wird keine IP-Spoofing erkannt.

Gruss
Werner
 

Lesen sie die antworten

#1 Jens Baier
02/09/2007 - 19:31 | Warnen spam
Hi,

mein ISA (2006/Standard-Edition) erkennt auf einer bestimmten IP-Adresse
"IP-Spoofing" (wird in der Protokolldatei angezeigt). Prinzipiell bin ich
froh, dass mein ISA das erkannt hat. Er verhàlt sich auch, wie ich es
erwarte: Er verwirft den kompletten Datenverkehr von dieser IP... So weit
so gut...



IP Spoofing ist auch nicht so schlimm. Schafft heute jeder Router / Firewall
zu blocken. W3elche Adressen werden denn als gespoofed erkannt? LAN
Adressen?

Wenn ich nun einen Client, der sich im gleichen Subnetz wie der ISA
befindet, mit dieser gespooften IP konfiguriere erkennt der ISA immer noch
IP-Spoofing. Wenn ich IP-Spoofing richtig verstanden habe wird IP-Spoofing
bei "Man-in-the-Middle"-Angriffen verwendet oder wenn man über einen
anderen (und somit gespooften) PC einen IP-Filter austricksen möchte um so
zu einem Zielrechner zu gelangen.



ACK:
http://de.wikipedia.org/wiki/IP-Spoofing


Da ich die gespoofte IP (wie oben beschrieben) auf einer anderen
Hardware - die quasi lokal am ISA hàngt - konfiguriert habe, dürfte doch
der ISA kein IP-Spoofing erkennen... Oder?



wenn die Adresse aus einer ISA bekannten Netzwerkkonfiguration kommt, dann
nicht, korrekt!

Daher habe ich folgende "ISA-Frage": Gibt es im ISA einen Mechanismus, der
dafür sorgt das die IP gesperrt ist? Wenn "JA" => Wo kann man diesen
Mechanismus quittieren? Oder sind ausschliesslich die "Alarm-Aktionen" für
ein entsprechendes Verhalten des ISAs zustàndig?



es gibt einen Mechanismus. Dieses Verhalten wird von der Firewallengine
FWENG.SYS im Kernel Modus durchgefuehrt
Du kannst es ausschalten:
http://support.microsoft.com/kb/838114

Anmerkung: Es stehen keine Alarme an (ist IP-Spoofing kein Alarm?) =>



doch! Nennt sich bei mir auch IP-Spoofing" der Alarm

Gruss Jens
www.nt-faq.de

Ähnliche fragen