Diseñé una arquitectura de red en la nube. Coloqué primero el IPS y luego el firewall (con Nat). Quiero saber si algunos ataques fueron a redes internas que no están bloqueadas por IPS. Pero creo que estas direcciones IP internas fueron reemplazadas por la dirección IP de Firewall Nat. ¿Cómo puedo rastrear los ataques dirigidos a mi red interna ya que no tengo las direcciones IP correctas?
En mi respuesta, asumiré que cuando escribes " coloqué primero el IPS y luego el firewall (con Nat) ", en realidad quieres decir que tienes un dispositivo NAT (que podría ser un firewall) entre su IPS e Internet. Si ese no es el caso, actualice su pregunta y deje un comentario.
En tal caso, NAT no debe crear ningún problema específico porque, por lo general, vas a usar DNAT para conexiones (y datagramas) procedentes del exterior. Este tipo de NAT solo reemplazará la IP de destino, dejando la IP de origen sin tocar. Significa que obtendrá la IP del servidor real e interno que se verá afectado y la IP original (fuente) del atacante (o, al menos, la dirección de origen contenida en el encabezado IP: no le dará la verdadero atacante si el paquete ha sido spoofed )
Por ejemplo, si tiene un paquete que viene con la IP de origen 1.2.3.4:4556 (atacante) para el servidor 5.6.7.8:80 (dirección IP del servidor público), esto es lo que sucederá:
Original packet: S: 1.2.3.4:4556 D: 5.6.7.8:80
DNATed packet: S: 1.2.3.4:4556 D: 10.0.0.8:80
(Tenga en cuenta que una regla de NAT más compleja podría cambiar esto. Es posible reemplazar completamente las direcciones y puertos de origen Y de destino, pero eso solo se usa en casos muy específicos y, dado que usted es quien crea las reglas de NATing, debería saber sobre ello).
Si realmente desconfía del atacante desde la red interna, puede configurar un servidor STUN que simplemente hace que le diga a la IP del cliente que está detrás del NAT. El propósito principal del protocolo STUN es permitir que un dispositivo que se ejecuta detrás de un dispositivo NAT descubra su IP pública y qué tipo de NAT se está ejecutando en la puerta de enlace a la que está conectado. También permite que el dispositivo conectado detrás de una puerta de enlace descubra la traducción del puerto realizada por la propia puerta de enlace ( en su caso, NAT )
En cuanto tengo tu pregunta, estás dibujando algo como esto: Internet = > IPS = > Firewall (NATing here) = > su red privada.
En primer lugar, esta no es la mejor práctica para colocar un firewall después de un IPS, porque expone el IPS a internet y, por lo tanto, es el primer objetivo para las personas malintencionadas de internet. En segundo lugar, teóricamente, ¡sí! Porque en este caso, el ataque se dirigirá a la dirección IP pública y no habrá una forma específica de identificar la IP privada de un host específico conectado después de su firewall en su red privada. En cuanto a la parte de seguimiento, debe seguir la solución dada anteriormente en la primera respuesta. Espero que tengas tu respuesta!
el cortafuegos o la puerta de enlace es solo un enrutador y, como enrutador, conecta las redes. En su caso, conecta Internet (red A) con su red en la nube (red B).
Cuando coloca el IPS fuera del firewall, el IPS ahora reside en Internet y NO en su red.
Si desea que el IPS detecte amenazas dentro de su red, primero debe conectar el firewall a Internet y luego conectar el IPS al firewall. esto también solucionará su problema con NAT, ya que las direcciones IP visibles para el IPS no tienen NAT.