Netasq U70 en mode transparent
bizhon
-
bizhon -
bizhon -
Bonjour,
Je suis entrain de d'insérer actuellement un firewall Netasq entre un Switch et un ASA qui fait office de firewall + Routeur. Vous allez me demander pourquoi rajouter un autre firewall? Le netasq va me servir de Filtre URL + gestion des horaires + QOS ...
j'ai parametrer mon Netasq U70 en mode transparent avec pour IP : 172.16.6.250
Voici le schéma réseau
----ASA---------------NETASQ------------------SWITCH--
172.16.6.252 172.16.6.250 172.16.6.254
Des que je branche mon netasq : J'ai sans àrret des alertes avec blocage du genre : IP address spoofing (type=1)
, Unanalyzed IP protocol (ospf) , IP address spoofing on bridge
Ce qui signifie que rien ne passe à travers le firewall
Je precise que tout est en any any pass
Avez-vous une idée du problème???
Merci d'avance
Je suis entrain de d'insérer actuellement un firewall Netasq entre un Switch et un ASA qui fait office de firewall + Routeur. Vous allez me demander pourquoi rajouter un autre firewall? Le netasq va me servir de Filtre URL + gestion des horaires + QOS ...
j'ai parametrer mon Netasq U70 en mode transparent avec pour IP : 172.16.6.250
Voici le schéma réseau
----ASA---------------NETASQ------------------SWITCH--
172.16.6.252 172.16.6.250 172.16.6.254
Des que je branche mon netasq : J'ai sans àrret des alertes avec blocage du genre : IP address spoofing (type=1)
, Unanalyzed IP protocol (ospf) , IP address spoofing on bridge
Ce qui signifie que rien ne passe à travers le firewall
Je precise que tout est en any any pass
Avez-vous une idée du problème???
Merci d'avance
A voir également:
- Netasq U70 en mode transparent
- Mode avion - Guide
- Mode sécurisé samsung - Guide
- God mode - Guide
- Mode d'emploi - Guide
- Mode suivi des modifications - Guide
17 réponses
Il me sert aussi à faire du filtrage simple.
J'ai essayé en by pass --> any any et toujours pareil...
J'ai meme fais un reset du netasq
Y'a t'il besoin de configurer quelque chose en NAT meme en bridge???
EDIT : j'ai redemarré le U70, je n'ai plus d'alerte de type Unanalyzed IP protocol (ospf) mais il reste IP address spoofing on bridge ... Je fais tout passer et ça marche ... Mais bon J'ai pleins d'alerte :/ ... Bref c'est quand meme tres bizarre ce genre d'alerte
J'ai essayé en by pass --> any any et toujours pareil...
J'ai meme fais un reset du netasq
Y'a t'il besoin de configurer quelque chose en NAT meme en bridge???
EDIT : j'ai redemarré le U70, je n'ai plus d'alerte de type Unanalyzed IP protocol (ospf) mais il reste IP address spoofing on bridge ... Je fais tout passer et ça marche ... Mais bon J'ai pleins d'alerte :/ ... Bref c'est quand meme tres bizarre ce genre d'alerte
humhum... je sais pas si sur les U70 ça change mais, normalement avec le bypass tu passes outre l'asq et les règles de filtrage, tu ne devrais donc plus recevoir d'alertes venant de l'interne :o
As-tu un exemple d'alerte à nous fournir?
Pour ce qui est du nat, non justement puisqu'il est en transparent ;s
As-tu un exemple d'alerte à nous fournir?
Pour ce qui est du nat, non justement puisqu'il est en transparent ;s
Voici un screen :
http://www10.zippyshare.com/v/89572322/file.html
Merci de ton aide en tout cas
Oué bizarre le coup des alertes meme en bypass...
J'ai oublié de rajouter qu'il y a 2 ASA en failover (des qu'il ya un soucis sur l'1 , l'autre prend le relais ...)
http://www10.zippyshare.com/v/89572322/file.html
Merci de ton aide en tout cas
Oué bizarre le coup des alertes meme en bypass...
J'ai oublié de rajouter qu'il y a 2 ASA en failover (des qu'il ya un soucis sur l'1 , l'autre prend le relais ...)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
J'ai coupé pendant un laps de tps , le lien entre le switch et le 2ème ASA (interface IN) et toujours la meme chose ....
Avec parfois des alertes du genre : ICMP redirect ...
:/ Je ne vois vraiment pas ou est le problème dans ma configuration ...
Y'a t'il moyen de desactiver l'ASQ tout simplement (ayant un ASA juste apres)?
Avec parfois des alertes du genre : ICMP redirect ...
:/ Je ne vois vraiment pas ou est le problème dans ma configuration ...
Y'a t'il moyen de desactiver l'ASQ tout simplement (ayant un ASA juste apres)?
je suppose que tu as fait un bridge sur l'interface in/out.
Toutes tes alertes viennent de l'interface dmz1, donc ton traffic doit sortir depuis l'interne (c'est déjà ca :) ).
J'ai l'impression que tes erreurs viennent de la dmz vers l'interne ?
Regarde tes règles de map sur les ASA (pas de map bidirectionnel des fois?). Ça pourrai expliquer pourquoi le netasq voit de l'ip spoofing partout :)
Toutes tes alertes viennent de l'interface dmz1, donc ton traffic doit sortir depuis l'interne (c'est déjà ca :) ).
J'ai l'impression que tes erreurs viennent de la dmz vers l'interne ?
Regarde tes règles de map sur les ASA (pas de map bidirectionnel des fois?). Ça pourrai expliquer pourquoi le netasq voit de l'ip spoofing partout :)
Enfait je t'explique,
La port dmz1(port n°2) c'est mon traffic interne (qui relie le switch)
Le port out (port n°0) c'est mon traffic externe (qui va vers l'ASA)
J'ai essayé le port n°1 (IN) pour le traffic interne et ça revient à la meme chose (que j'utilise le port n°1 , 2 ou 3 c'est la meme chose si j'ai bien compris en bridge)
Par contre je vais regarder au niveau du map bidirectionnel ;)
Merci beaucoup en tout cas ;)
Tu m'aides bien :)
La port dmz1(port n°2) c'est mon traffic interne (qui relie le switch)
Le port out (port n°0) c'est mon traffic externe (qui va vers l'ASA)
J'ai essayé le port n°1 (IN) pour le traffic interne et ça revient à la meme chose (que j'utilise le port n°1 , 2 ou 3 c'est la meme chose si j'ai bien compris en bridge)
Par contre je vais regarder au niveau du map bidirectionnel ;)
Merci beaucoup en tout cas ;)
Tu m'aides bien :)
VOila ce que j'ai trouvé sur le net :
NETASQ protection against IP spoofing:
The IP spoofing is often done during the first connection to the NETASQ UTM. When you
attempt to connect to the first interface of your appliance, which is generally the unprotected
interface ("Out"), the link cannot be established since the first connection must be done on a
protected interface ("In"). At this moment, the UTM registers your IP address in its hosts table.
This table shows, particularly, the interface on which your host has been detected.
Next, you try to unplug the power cable and try to reconnect on the "In" interface. The UTM
considers that the same IP address is being used at the same time on "In" and "Out", and
consequently raises the alarm "IP Address Spoofing". In this case, the easiest solution consists of
modifying your host's IP address. It is also possible to manually purge this hosts table. To do so,
you just need to key in the command:
Example:
A host configured in 10.1.2.3 cannot be linked to an interface configured in 172.16.1.254. If you
perform such an action, the alarm "IP Address Spoofing" will be raised, unless the incoming
interface is External.
Mon problème est exactement le même
Des demain matin , je teste en passant par le PORT IN avec un redémarrage + bien ajouté toutes les IPs dans la partie Objet
NETASQ protection against IP spoofing:
The IP spoofing is often done during the first connection to the NETASQ UTM. When you
attempt to connect to the first interface of your appliance, which is generally the unprotected
interface ("Out"), the link cannot be established since the first connection must be done on a
protected interface ("In"). At this moment, the UTM registers your IP address in its hosts table.
This table shows, particularly, the interface on which your host has been detected.
Next, you try to unplug the power cable and try to reconnect on the "In" interface. The UTM
considers that the same IP address is being used at the same time on "In" and "Out", and
consequently raises the alarm "IP Address Spoofing". In this case, the easiest solution consists of
modifying your host's IP address. It is also possible to manually purge this hosts table. To do so,
you just need to key in the command:
Example:
A host configured in 10.1.2.3 cannot be linked to an interface configured in 172.16.1.254. If you
perform such an action, the alarm "IP Address Spoofing" will be raised, unless the incoming
interface is External.
Mon problème est exactement le même
Des demain matin , je teste en passant par le PORT IN avec un redémarrage + bien ajouté toutes les IPs dans la partie Objet
Bon apreès etre passé sur le port IN et rajouter dans objet les réseaux secure , je n'ai plus de soucis d'IP spoof !!
Par contre j'ai un probleme avec l'ICMP redirect , meme en l'autorisant (dans l'onglet protocole ICMP) , il me bloque toujours sur une IP qui se trouve sur la DMZ de mon ASA ....
J'ai rajouté dans objet cette IP (192.168.16.1) et rien n'y fait il me fait un REDIRECT ICMP ...
Deplus je ne peux pas me connecter sur mon netasq à partir d'un autre sous-reseau , n'y pinger ... Je n'ai pas trouver l'endroit dans le manager ou rajouter un sous reseau pour configurer le netasq
Par contre j'ai un probleme avec l'ICMP redirect , meme en l'autorisant (dans l'onglet protocole ICMP) , il me bloque toujours sur une IP qui se trouve sur la DMZ de mon ASA ....
J'ai rajouté dans objet cette IP (192.168.16.1) et rien n'y fait il me fait un REDIRECT ICMP ...
Deplus je ne peux pas me connecter sur mon netasq à partir d'un autre sous-reseau , n'y pinger ... Je n'ai pas trouver l'endroit dans le manager ou rajouter un sous reseau pour configurer le netasq
Bon bah enfait j'ai toujours mon problème de spoof ... J'avais juste ignorer et coché "Passer" dans le protocole IP ....
j'ai pas trop le temps la, je regarderai dans la soirée plus en détail (avec un jolie schéma) ;s dsl
Ok cool !! Jvais ptete faire autrement en me mettant juste devant l'acces point (le reseau que je dois controler) !!
C'est tout de meme bete de ne pas pouvoir controler tout le réseau :/ pour un problème d'ASQ !
C'est tout de meme bete de ne pas pouvoir controler tout le réseau :/ pour un problème d'ASQ !
Bon j'ai installé le netasq juste derriere mon point d'accès et avant mon Switch.
Je suis sur le réseau 172.16.10.0/24 .
Petit soucis, je souhaite me connecter à partir de mon réseau 172.17.1.0 à mon netasq via l'interface OUT.
J'arrive bien a pinger sur le réseau 172.16.10.0/24 mais pas sur mon netasq en 172.16.10.251 mais aucun ping alors que tout est autorisé dans la politique de filtrage ...
Vraiment bien protégé ce netasq U70
Je suis sur le réseau 172.16.10.0/24 .
Petit soucis, je souhaite me connecter à partir de mon réseau 172.17.1.0 à mon netasq via l'interface OUT.
J'arrive bien a pinger sur le réseau 172.16.10.0/24 mais pas sur mon netasq en 172.16.10.251 mais aucun ping alors que tout est autorisé dans la politique de filtrage ...
Vraiment bien protégé ce netasq U70
Je reviens à la charge .....
Je viens de mettre à jour le NETASQ , tout fonctionne sauf le filtrage URL ...
Je m'explique des que j'active le proxy http avec les regles de filtrages URL adequates , ça me bloque bien ma page qui se situe dans ma black list seulement je ne peux pas accéder aux autres sites. J'ai comme message d'erreur "host unreachable" ....
Je galère depuis plusieurs semaines sur le netasq ! Je comprends pas pkoi cela ne marche pas ... I NEED HELP
Je viens de mettre à jour le NETASQ , tout fonctionne sauf le filtrage URL ...
Je m'explique des que j'active le proxy http avec les regles de filtrages URL adequates , ça me bloque bien ma page qui se situe dans ma black list seulement je ne peux pas accéder aux autres sites. J'ai comme message d'erreur "host unreachable" ....
Je galère depuis plusieurs semaines sur le netasq ! Je comprends pas pkoi cela ne marche pas ... I NEED HELP
Bonjour à tous,
Je déterre le sujet mais j'ai exactement le problème de Bizhon, des que j'active le proxy sur mon U70, le proxy annonce " le site que vous souhaiter voir ne réponds pas". Dans mon Event reporter j'ai comme message "host unreachable".
Pour l'instant je me contente de désactiver celui ci, donc pas de filtrage URL :-(
Je déterre le sujet mais j'ai exactement le problème de Bizhon, des que j'active le proxy sur mon U70, le proxy annonce " le site que vous souhaiter voir ne réponds pas". Dans mon Event reporter j'ai comme message "host unreachable".
Pour l'instant je me contente de désactiver celui ci, donc pas de filtrage URL :-(
Je pense que c'est un problème de firmware... Je ne travaille plus sur ce type de boitier (netasq) je travaille essentiellement sur Fortinet et je sais qu'il y a souvent des problemes directement liés au constructeur d'ou la mise en place de Patch pour corriger les bugs.
Pour moi, la solution est de mettre à jour ton firewall avec la derniere version stable
Pour moi, la solution est de mettre à jour ton firewall avec la derniere version stable
