web-dev-qa-db-ja.com

sonicwall TZシリーズFWの侵入検知/スプーフィング対策の問題を回避する方法

2つのインターネットサービスプロバイダーが接続されたsonicwall tzシリーズFWがあります。

プロバイダーの1つは、/ 24のサブネットを持つIPがあり、ゲートウェイが.1であるという点で、イーサネットスイッチのように機能するワイヤレスサービスを提供しています。同じサブネット(たとえば195.222.99.0)上の他のすべてのクライアントは同じ.1ゲートウェイを持っています-これは重要です。

一部のクライアントも同じサブネット上にあります。

私たちの設定:

  • X0:Lan
  • X1:89.90.91.92
  • X2:195.222.99.252/24(GW 195.222.99.1)

X1とX2はnotに接続されていますが、両方ともパブリックインターネットに接続されています。

クライアント構成:

  • X1:195.222.99.123/24(GW 195.222.99.1)

何が失敗し、何が機能するか:

  • トラフィック195.222.99.123(クライアント)<-> 89.90.91.92(X1):なりすましアラート
  • トラフィック195.222.99.123(クライアント)<-> 195.222.99.252(X1):OK-なりすましアラートなし

195.222.99.0の範囲のIPを持つクライアントがいくつかあり、すべてが同じアラートを引き起こします。

これは私がFWで見る警告です:

Alert   Intrusion Prevention    IP spoof dropped 195.222.99.252, 21475, X1  89.90.91.92, 80, X1 MAC address: 00:12:ef:41:75:88

すべてのポートのFWでスプーフィング対策がオフになっている(ネットワーク-> mac-ip-アンチスプーフィング->各インターフェースの構成)

クライアントからX1のポートにtelnetすることでアラートを起動できます。

論理に異議を唱えることはできません-これはis疑わしいトラフィックです。 X1は、X2sサブネットに対応するソースIPでトラフィックを受信して​​います。

195.222.99.0のsrcサブネットを持つパケットがX1に合法的に表示される可能性があることをFWに伝える方法は誰でも知っていますか?

何がうまくいかないのかはわかっていますが、同じことを以前に見たことがありますが、ハイエンドFWでは、いくつかの追加ルールを使用してこれを回避できます。ここでこれを行う方法がわかりません。そして、なぜこのサービスプロバイダーを使用しているのかと尋ねる前に、ルーター間で3ミリ秒(エラーではない3ミリ秒)の遅延が発生します。

4
Ian Murphy

Sonicwallにログインした後、URLに「diag.html」を追加して診断インターフェースに移動します(https://192.168.5.1でルーターにアクセスしている場合は、https://192.168.5.1/diag.htmlに移動します)

物事を壊す可能性があるという警告が表示されたら、左側のメニューの[内部設定]をクリックして続行します。約3分の1のところに、IPスプーフィング検出を無効にするチェックボックスが表示されます。

screenshot

チェックボックスをオフにして、違いがあるかどうかを確認します。

4
Jim G.

両方の接続(X1とX2)が同じブロードキャストドメインに接続されていますか(たとえば、両方が同じスイッチに接続されていますか?なりすましメッセージが発生する可能性があります)。各接続を独自のブロードキャストドメインに保持します。

そうでない場合、X2のトラフィックはどのようにしてX1インターフェースに到達しますか?

0
Jim G.