El cliente SSL VPN no puede acceder a la información interna

74 0 0 0

Descripción del problema

El cliente VPN SSL no puede obtener acceder interno, el cliente se bloquea por USG como atacante.

transparent.gif Información de alarma

Nov 27 2017 16:55:57+08:00 WGN_FW1%ATK/4/FIREWALLATCK(l)[0]:AttackType="IP spoof attack", slot="y",cpu="0", receive interface="GE1/0/x ", proto="UDP", src="172.x.x.53:54065 ", dst="y.y.y.y:53 ", begin time="2017-11-27 02:55", end time="2017-11-27 02:55", total packets="10", max speed="0", User="", Action="discard".

transparent.gif Proceso de manejo

1. Comprobé la configuración, usted configuró la dirección IP del cliente SSLVPN como 172.x.x.x.51-172.x.x.x.100, y el segmento IP de la LAN es 172.x.x.0/24. Actualmente el tráfico SSLVPN proviene de G1/0/x (untrust), el segmento LAN ip está en G1/0/y(trust). Cuando configure "firewall defend ip-spoofing enable", el firewall comprobará la ruta de origen y definirá el tráfico SSLVPN como ip-spoofing, y luego eliminará los paquetes.
#
firewall defend ip-spoofing enable
#
service
  network-extension netpool 172.x.x.51 172.x.x.100 255.255.255.0
#
interface GigabitEthernet1/0/y
  ip address 172.x.x.251 255.255.255.0
#
firewall zone trust
 add interface GigabitEthernet1/0/y
#
firewall zone untrust
 add interface GigabitEthernet1/0/x
#
2. Comprobé los logs, el tráfico de los clientes VPN SSL se detecta mediante ip-spoofing y se bloquea como atacante.
  Nov 27 2017 16:55:57+08:00 WGN_FW1%ATK/4/FIREWALLATCK(l)[0]:AttackType="IP spoof attack", slot="y",cpu="0", receive interface="GE1/0/x ", proto="UDP", src="172.x.x.53:54065 ", dst="y.y.y.y:53 ", begin time="2017-11-27 02:55", end time="2017-11-27 02:55", total packets="10", max speed="0", User="", Action="discard".

transparent.gif Causa raíz

Configuré "firewall defender ip-spoofing enable", pero la dirección ip de los clientes SSLVPN es la misma que la del segmento ip de la LAN.

transparent.gif Solución

A continuación se presentan dos escenarios.
Escenario 1, ejecute la orden "undo firewall defend ip-spoofing enable".
Escenario 2, configure otro segmento ip diferente para el cliente SSLVPN, y configure la ruta desde el cliente interno al cliente SSLVPN.


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje