Mensaje de Spoof Atack en ISA server

Sobre lo que es un spoof atack tienes en google toneladas y toneladas de
informacion. Basicamente, y como dice el mensaje de error, es una trama que
tienen una direccion IP origen que no es alcanzable por el interface en el
que se ha recibido. Imagina que alguien desde internet realzia una conexion
sobre algun puerto del ISA y modifica la direccion IP origen por una
direccion como 192.168.1.1. Esta direccion, es una direccion no valida en
internet, no es enrutable y por lo tanto, el ISA lo detecta como un spoof
atack.
En tu caso, al tratarse de una IP publica, todo indica que esa trama se ha
recibido en el interface interno,pero, para determinar esto, lo mejor es
utilizar un sniffer y capturar trafico en ambos interfaces del ISA. Empieza
por el interno y filtra la captura para que unicamente capture aquellas
tramas que tienen como direccion IP origen la IP anterior. Si ves alguna
trama, ahora tienes que ver la direccion MAC para intentar determinar la
maquina que ha originado la trama, con esta informacion y los protocolos de
nivel superior, tienes que investigar el motivo por el que se envia esta
trama.
Tambien puedes configurar los logs del Packet filters para que muestre los
campos Header y Payload. Aqui

Un saludo.
Ivan
MS MVP ISA Server


"Luis Falch Rojas" escribió en el mensaje
news:

Hola a todos..

De un tiempo atras vengo recibiendo el siguiente mensaje en el visor de
sucesos del Servidor donde funciona el ISA Server:
Event ID: 15108 (Warning)
" ISA Server detected a spoof attack from Internet Protocol (IP) address
210.193.26.164. A spoof attack occurs when an IP address that is not
reachable via the interface on which the packet was received. If logging
for
dropped packets is set, you can view details in the packet filter log."

He encontrado algunos artículos de Soporte en el sitiode Microsoft, pero
ninguno es bien claro al respecto...
alguien pudiese por favor explicarme debido a que sucede esto, o que es lo
que pasa? por que suceden estas cosas, y si hay solución??? y si no es
mucho
pedir, cual sería o donde puedo leer algo mas al respecto... ;)

de antemano agradezco cualquier sugerencia

saludos
Luis Falch R.

Hola Ivan, ¿podría darse el caso si las IP (externa/interna) son por DHCP (router ip dinámica o interna por el servicio DHCP, en este caso sería el propio router si fuese una ADSL en modo monopuesto sin IP fija) y detecte los cambios de IP en las cabeceras de los paquetes como intento de spoof?
Aún así, si se activa el query de logging en el ISA 2004 ¿podría verse que regla falla o indica tal ataque?

Espero serte de ayuda
Juansa

[MS MVP - Windows Server Networking]

-
"La vida es fascinante: sólo hay que mirarla a través de las gafas correctas".
Alejandro Dumas (1803-1870); escritor francés
"Aprender sin pensar es inútil. Pensar sin aprender, peligroso".
Confucio (551-479 a. C.); filósofo chino.
"Un error no se convierte en verdad por el hecho de que todo el mundo crea en él".
Mahatma Gandhi (1869-1948); político y pensador indio.
"Ivan [MS MVP]" escribió en el mensaje news:%

Sobre lo que es un spoof atack tienes en google toneladas y toneladas de
informacion. Basicamente, y como dice el mensaje de error, es una trama que
tienen una direccion IP origen que no es alcanzable por el interface en el
que se ha recibido. Imagina que alguien desde internet realzia una conexion
sobre algun puerto del ISA y modifica la direccion IP origen por una
direccion como 192.168.1.1. Esta direccion, es una direccion no valida en
internet, no es enrutable y por lo tanto, el ISA lo detecta como un spoof
atack.
En tu caso, al tratarse de una IP publica, todo indica que esa trama se ha
recibido en el interface interno,pero, para determinar esto, lo mejor es
utilizar un sniffer y capturar trafico en ambos interfaces del ISA. Empieza
por el interno y filtra la captura para que unicamente capture aquellas
tramas que tienen como direccion IP origen la IP anterior. Si ves alguna
trama, ahora tienes que ver la direccion MAC para intentar determinar la
maquina que ha originado la trama, con esta informacion y los protocolos de
nivel superior, tienes que investigar el motivo por el que se envia esta
trama.
Tambien puedes configurar los logs del Packet filters para que muestre los
campos Header y Payload. Aqui

Un saludo.
Ivan
MS MVP ISA Server


"Luis Falch Rojas" escribió en el mensaje
news:

Hola a todos..

De un tiempo atras vengo recibiendo el siguiente mensaje en el visor de
sucesos del Servidor donde funciona el ISA Server:
Event ID: 15108 (Warning)
" ISA Server detected a spoof attack from Internet Protocol (IP) address
210.193.26.164. A spoof attack occurs when an IP address that is not
reachable via the interface on which the packet was received. If logging
for
dropped packets is set, you can view details in the packet filter log."

He encontrado algunos artículos de Soporte en el sitiode Microsoft, pero
ninguno es bien claro al respecto...
alguien pudiese por favor explicarme debido a que sucede esto, o que es lo
que pasa? por que suceden estas cosas, y si hay solución??? y si no es
mucho
pedir, cual sería o donde puedo leer algo mas al respecto... ;)

de antemano agradezco cualquier sugerencia

saludos
Luis Falch R.

Buenas Juansa,
Si, es posible, si en el ISA no esta instalado el SP2 o un hotfix:
http://support.microsoft.com/defaul...?kbid26116

En ISA 2004 no deberia suceder, pero si, los logs en tiempo real son una maravilla y te permitirian ver la regla que deniega la peticion.

Un saludo.
Ivan
MS MVP ISA Server


"Juansa [MS MVP] ?¶" escribió en el mensaje news:
Hola Ivan, ¿podría darse el caso si las IP (externa/interna) son por DHCP (router ip dinámica o interna por el servicio DHCP, en este caso sería el propio router si fuese una ADSL en modo monopuesto sin IP fija) y detecte los cambios de IP en las cabeceras de los paquetes como intento de spoof?
Aún así, si se activa el query de logging en el ISA 2004 ¿podría verse que regla falla o indica tal ataque?

Espero serte de ayuda
Juansa

[MS MVP - Windows Server Networking]

-
"La vida es fascinante: sólo hay que mirarla a través de las gafas correctas".
Alejandro Dumas (1803-1870); escritor francés
"Aprender sin pensar es inútil. Pensar sin aprender, peligroso".
Confucio (551-479 a. C.); filósofo chino.
"Un error no se convierte en verdad por el hecho de que todo el mundo crea en él".
Mahatma Gandhi (1869-1948); político y pensador indio.
"Ivan [MS MVP]" escribió en el mensaje news:%

Sobre lo que es un spoof atack tienes en google toneladas y toneladas de
informacion. Basicamente, y como dice el mensaje de error, es una trama que
tienen una direccion IP origen que no es alcanzable por el interface en el
que se ha recibido. Imagina que alguien desde internet realzia una conexion
sobre algun puerto del ISA y modifica la direccion IP origen por una
direccion como 192.168.1.1. Esta direccion, es una direccion no valida en
internet, no es enrutable y por lo tanto, el ISA lo detecta como un spoof
atack.
En tu caso, al tratarse de una IP publica, todo indica que esa trama se ha
recibido en el interface interno,pero, para determinar esto, lo mejor es
utilizar un sniffer y capturar trafico en ambos interfaces del ISA. Empieza
por el interno y filtra la captura para que unicamente capture aquellas
tramas que tienen como direccion IP origen la IP anterior. Si ves alguna
trama, ahora tienes que ver la direccion MAC para intentar determinar la
maquina que ha originado la trama, con esta informacion y los protocolos de
nivel superior, tienes que investigar el motivo por el que se envia esta
trama.
Tambien puedes configurar los logs del Packet filters para que muestre los
campos Header y Payload. Aqui

Un saludo.
Ivan
MS MVP ISA Server


"Luis Falch Rojas" escribió en el mensaje
news:

Hola a todos..

De un tiempo atras vengo recibiendo el siguiente mensaje en el visor de
sucesos del Servidor donde funciona el ISA Server:
Event ID: 15108 (Warning)
" ISA Server detected a spoof attack from Internet Protocol (IP) address
210.193.26.164. A spoof attack occurs when an IP address that is not
reachable via the interface on which the packet was received. If logging
for
dropped packets is set, you can view details in the packet filter log."

He encontrado algunos artículos de Soporte en el sitiode Microsoft, pero
ninguno es bien claro al respecto...
alguien pudiese por favor explicarme debido a que sucede esto, o que es lo
que pasa? por que suceden estas cosas, y si hay solución??? y si no es
mucho
pedir, cual sería o donde puedo leer algo mas al respecto... ;)

de antemano agradezco cualquier sugerencia

saludos
Luis Falch R.

Gracias ...
Voy a buscar un poco mas, y haré lo que recomiendas
saludos

Luis F.

"Ivan [MS MVP]" wrote in message
news:%

Sobre lo que es un spoof atack tienes en google toneladas y toneladas de
informacion. Basicamente, y como dice el mensaje de error, es una trama

que

tienen una direccion IP origen que no es alcanzable por el interface en el
que se ha recibido. Imagina que alguien desde internet realzia una

conexion

sobre algun puerto del ISA y modifica la direccion IP origen por una
direccion como 192.168.1.1. Esta direccion, es una direccion no valida en
internet, no es enrutable y por lo tanto, el ISA lo detecta como un spoof
atack.
En tu caso, al tratarse de una IP publica, todo indica que esa trama se ha
recibido en el interface interno,pero, para determinar esto, lo mejor es
utilizar un sniffer y capturar trafico en ambos interfaces del ISA.

Empieza

por el interno y filtra la captura para que unicamente capture aquellas
tramas que tienen como direccion IP origen la IP anterior. Si ves alguna
trama, ahora tienes que ver la direccion MAC para intentar determinar la
maquina que ha originado la trama, con esta informacion y los protocolos

de

nivel superior, tienes que investigar el motivo por el que se envia esta
trama.
Tambien puedes configurar los logs del Packet filters para que muestre los
campos Header y Payload. Aqui

Un saludo.
Ivan
MS MVP ISA Server


"Luis Falch Rojas" escribió en el mensaje
news:
> Hola a todos..
>
> De un tiempo atras vengo recibiendo el siguiente mensaje en el visor de
> sucesos del Servidor donde funciona el ISA Server:
> Event ID: 15108 (Warning)
> " ISA Server detected a spoof attack from Internet Protocol (IP) address
> 210.193.26.164. A spoof attack occurs when an IP address that is not
> reachable via the interface on which the packet was received. If logging
> for
> dropped packets is set, you can view details in the packet filter log."
>
> He encontrado algunos artículos de Soporte en el sitiode Microsoft, pero
> ninguno es bien claro al respecto...
> alguien pudiese por favor explicarme debido a que sucede esto, o que es

lo

> que pasa? por que suceden estas cosas, y si hay solución??? y si no es
> mucho
> pedir, cual sería o donde puedo leer algo mas al respecto... ;)
>
> de antemano agradezco cualquier sugerencia
>
> saludos
> Luis Falch R.
>
>