Toon posts:

[2008R2][Forefront TMG] Spoof attack van interne systemen

Pagina: 1
Acties:

Onderwerpen

Firewall Forefront Route

donderdag 28 oktober 2010 20:18

Acties:
  • 0 Henk 'm!
  • Jan_V
  • Registratie: Maart 2002
  • Laatst online: 11:36

Jan_V

Topicstarter
Gisteren heb ik met behulp van enkele tutorials op Retrohack (http://retrohack.com/howt...efront-tmg-2010-part-one/) m'n Forefront TMG server geconfigureerd.
Deze fungeert als een firewall tussen het internet en m'n lokale netwerk.
Inmiddels heb ik er ook al een regel ingebouwd, zodat m'n lokale websites weer beschikbaar zijn en moet ik zometeen nog de vpn configureren.

Waarschijnlijk is er iets fout gegaan met de configuratie van de server of het domein.
M'n interne domein werkt met de ip-range 10.0.0.0 met subnet 255.255.255.0. De DNS/DHCP/AD/Hyper-V server draait op 10.0.0.2 en de Forefront server op 10.0.0.21.
Het externe netwerk is m'n router, 192.168.1.1 en de Forefront server op 192.168.1.5.
Ik maak dus gebruik van 2 verschillende netwerk (ranges), zodat ik niets speciaals met routes hoef te doen (denk ik).

Nu zag ik gisteren al zo nu en dan bij de Alerts een warning voorbij komen met de melding IP Spoofing.
De volledige melding is:
Description: ForeFront TMG detected a possible spoof attack from the IP address 10.0.0.17. A spoof attack occurs when an IP address that is not reachable through the network adapter on which the packet was received. If logging for dropped packets is enabled, you can view the details of this attack in the Firewall log in Forefront TMG log viewer. If the IP address belongs to a VPN client, this event may be ignored.
Het moge duidelijk zijn dat 10.0.0.17 m'n huidige client is. (ja, m'n ip-ranges zijn niet echt super, dat is waarom ik hier thuis mee bezig ben, zodat ik hier wat ervaring mee kan opdoen).
Deze melding heb ik ook gehad wanneer ik op een ander systeem werkte.

Wanneer ik even log op het betreffende IP-nummer, dan krijg ik onder andere de volgende melding
A packet was dropped because Forefront TMG determined that the source IP address is spoofed.
Result Code: 0xc0040014 FWX_E_FWE_SPOOFING_PACKET_DROPPED
Hier houdt m'n kennis dan ook op. Ik heb even gezocht en zag ergens staan dat het kan komen dat je systeem een andere route heeft gevonden naar de gateway (forefront server (10.0.0.21)) en dan niet meer via het interne netwerk op de server aankomt. Dit zou ik nogal raar vinden, omdat de gateway de forefront server is, waardoor ik dus altijd op die server uit zou moeten komen, denk ik.

Voor de zekerheid nog even m'n route tabel van de client:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28

Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0        10.0.0.21        10.0.0.17     20
         10.0.0.0    255.255.255.0         On-link         10.0.0.17    276
        10.0.0.17  255.255.255.255         On-link         10.0.0.17    276
       10.0.0.255  255.255.255.255         On-link         10.0.0.17    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
     192.168.77.0    255.255.255.0         On-link      192.168.77.1    276
     192.168.77.1  255.255.255.255         On-link      192.168.77.1    276
   192.168.77.255  255.255.255.255         On-link      192.168.77.1    276
    192.168.140.0    255.255.255.0         On-link     192.168.140.1    276
    192.168.140.1  255.255.255.255         On-link     192.168.140.1    276
  192.168.140.255  255.255.255.255         On-link     192.168.140.1    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link         10.0.0.17    276
        224.0.0.0        240.0.0.0         On-link      192.168.77.1    276
        224.0.0.0        240.0.0.0         On-link     192.168.140.1    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link         10.0.0.17    276
  255.255.255.255  255.255.255.255         On-link      192.168.77.1    276
  255.255.255.255  255.255.255.255         On-link     192.168.140.1    276
===========================================================================
Persistent Routes:
  Network Address          Netmask  Gateway Address  Metric
          0.0.0.0          0.0.0.0      192.168.1.1  Default
          0.0.0.0          0.0.0.0        10.0.0.21  Default

Hier zie ik wel een persistent route naar 192.168.1.1, maar zelf weet ik niet hoe die hier komt. Wellicht dat ik die kan proberen te verwijderen. Neemt niet weg dat op een ander systeem ik ook zo'n melding krijg waar ik vrij zeker weet dat er niet in de route tabel iets is aangepast (laptop van vriendin).
Wat de systemen wel beide gelijk hebben, is dat ze niet in het domein zijn aangemeld. M'n eigen laptop zit op het domein van m'n werk en het andere systeem is nog gewoon 'los', wat eigenlijk ook zo moet blijven. Van m'n overige virtuele servers krijg ik niet dergelijke meldingen binnen (wel in domein).

Werk ook niet met verschillende VLAN's, omdat ik dat (momenteel) nog nodeloos complex vind. Eerst moet alles maar eens goed werken en dan verder kijken.

Iemand een idee waar ik verder moet gaan kijken?

[edit]
Na het verwijderen van deze route:
0.0.0.0 0.0.0.0 192.168.1.1 Default
Kan ik de FF server weer RDP'en. Waarschijnlijk zal deze dus roet in het eten hebben gegooid. Hopelijk komt het bericht nu niet meer terug. Zo maar ff de andere systemen nakijken.

[edit2]
Nee, toch niet. Kan wel rdp'en, maar spoofing bericht komt ook terug.

Battle.net - Jandev#2601 / XBOX: VriesDeJ

vrijdag 29 oktober 2010 08:44

Acties:
  • 0 Henk 'm!
  • Crazius
  • Registratie: Oktober 2005
  • Laatst online: 14-02 17:46

Crazius

Heb je in de TMG een system route opgegeven onder Network -> Routes hier moet staan dat de server voor het 192.168.x.x netwerk bij je internet router moet zijn.

Heb je op beide interfaces een gateway opgegeven of alleen op de link die zeg maar met je thomson router is verbonden ?

vrijdag 29 oktober 2010 10:16

Acties:
  • 0 Henk 'm!
  • Jan_V
  • Registratie: Maart 2002
  • Laatst online: 11:36

Jan_V

Topicstarter
Heb je op beide interfaces een gateway opgegeven of alleen op de link die zeg maar met je thomson router is verbonden ?
Op de externe NIC heb ik wel als gateway 192.168.1.1 opgegeven (de router).
De interne NIC heeft geen gateway. Heb wel geprobeerd hier 127.0.0.1 en 10.0.0.21 op te geven, maar dat slikt hij niet, dus nu is die entry leeg.
Routes zal ik vanavond even controleren, heb namelijk niet zelf iets aangemaakt en weet niet of dit automatisch is gebeurd bij het installeren en configureren van de software.

Battle.net - Jandev#2601 / XBOX: VriesDeJ

vrijdag 29 oktober 2010 13:26

Acties:
  • 0 Henk 'm!
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Aan de 192.168.140.0 en 192.168.77.0 ranges te zien:
Heb je dit soms in/op een bak met Virtualisatiesoftware gedaan?

[ Voor 7% gewijzigd door alt-92 op 29-10-2010 13:28 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 29 oktober 2010 14:33

Acties:
  • 0 Henk 'm!
  • Jan_V
  • Registratie: Maart 2002
  • Laatst online: 11:36

Jan_V

Topicstarter
Heb inderdaad VMWare Player geinstalleerd op m'n systeem. Virtualbox had ik eerst ook, maar weer verwijderd.
Aangezien die in een hele andere range zitten verwachtte ik niet dat dit uit zou maken.

Battle.net - Jandev#2601 / XBOX: VriesDeJ

Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq