Problema extraño con el firewall bloqueando paquetes NATed

Navega tus respuestas
1

Desde mi SIEM estoy viendo que un ASA de Cisco (no somos los propietarios) está bloqueando los paquetes destinados a la red interna (post NAT), esto es lo que estoy viendo (las direcciones IP son falsas debido a la seguridad)

170.100.1.1 Host externo (A)

Cortafuegos

192.168.1.1 Host interno (A) | | 192.168.1.2 Host interno (B) | | 192.168.1.3 Host interno (C)

Ejemplo del informe SIEM / denegación del cortafuegos

"Deny udp src outside: 170.100.1.1/3478 dst inside: (cualquiera de los hosts internos) / 5219 por el grupo de acceso" outside_access_in ""

Estamos en un pequeño aprieto debido a que no somos dueños del FW, ni podemos ver los registros, así que no puedo ver la regla específica ni puedo ver los paquetes específicos

¿Cómo puede la fuente externa conocer la dirección privada de los hosts internos si aún no ha estado en contacto con los hosts, es decir, por qué el Firewall bloquearía los paquetes al azar?

Los puertos son completamente aleatorios, todos ellos principales y ninguno dentro de los rangos de puertos asignados.

¡Necesito ayuda por favor!

    
pregunta Mehcs85 17.01.2013 - 16:58
fuente

1 respuesta

2

El firewall no está negando los paquetes al azar, y es muy poco probable que se estén eliminando debido a un error. Con toda probabilidad, los paquetes se están eliminando porque eso es lo que dice la política para que haga el firewall. El puerto 3478 es STUN, un protocolo utilizado por UDP para NAT transversal. Hay algunas posibilidades:

  • El tráfico es auténtico y las reglas del firewall bloquean incorrectamente la devolución de tráfico. En este caso, el administrador de FW necesitaría arreglar las reglas que bloquean el tráfico
  • El tráfico es auténtico y está bloqueado por buenas razones, en cuyo caso no tiene que hacer nada
  • El tráfico es un ataque. Podría ser una parte externa que intente acceder a su red interna mediante el uso de paquetes STUN creados. En este caso, el firewall funciona perfectamente al bloquearlo y el SIEM funciona a la perfección notificándole el ataque, en cuyo caso sea feliz: por eso compra un SIEM

Cuál de estos depende de si alguno de sus sistemas ha intentado conectarse a un host externo A mediante STUN. Sucede que usted, o alguien con quien trabaja, tiene acceso a los hosts internos A, B y C. Pídales que verifiquen si esos sistemas intentan conectarse al host externo A. También es probable que su organización pague por un subcontratado para administrar sus firewalls, y si es así llámelos y discuta las entradas con ellos.

    
respondido por el GdD 17.01.2013 - 18:27
fuente

Lea otras preguntas en las etiquetas

Padding oracle - Versión vulnerable de ASP.NET ¿Cómo se transfieren las fuentes privadas entre dos portales diferentes?