IDS/IPS personal - internet

soporte técnico R : internet

IDS/IPS personal

  • Buenas tardes,

    recientemente he instalado un detector de intrusiones conjuntamente con un IPS detrás del router R. El problema es que esta bloqueando una enorme cantidad de IP que realizan desde escaneo de puertos a mi IP publica, cuando se supone que su router debería de filtrar en primera instancia estas "cositas".

    ¿Saben a que puede ser debido?

    Gracias. Un saludo.

    publicado fai 7 anos por fblancos

  • Hola fblancos,

    Por lo que entendemos de tu mensaje, tienes conectado al router de R un detector de intrusos cuya IP será de rango local (estilo 192.168.x.x).

    Por defecto, un equipo con IP de la LAN privada no podría ver nada de la IP pública a menos que se configuren aperturas de puertos o se haga algún DMZ (DMZ es una apertura de puertos total, que hace que toda petición que llegue a la parte pública pase a la IP que se haya definido en el DMZ). Suponemos que alguna de estas opciones has tenido que hacer.

    Siendo así, el router no hará filtro de ningún tipo porque al trabajar con NAT sólo va a permitir conexiones establecidas desde dentro, las peticiones que lleguen de fuera irían directamente a tu equipo.

    Esperamos haber sido de ayuda

    Un saludo

    publicado fai 7 anos por soporte técnico

  • Buenos días,

    efectivamente, tal como usted comenta se trata de una subred (192.168.1.0) ubicada dentro de la red LAN definida por el router R (192.168.0.0). El router R tiene habilitado la DMZ sobre el equipo que realiza el enrutamiento hacia esa subred, y en él es donde se encuentra ubicado el IDS/IPS.

    Pensé que R tenia implementado algún sistema de seguridad en los direccionamientos públicos de los clientes, que impidiesen este tipo de acciones. Hay algún filtrado en estas redes?

    Me surge ahora la siguiente cuestión; en el router Cisco EPC3928AD, hay 4 niveles de "instrusismo" del firewall. Off, low, medium y high. Podría decirme que filtrados establece cada uno de ellos? Son filtrados outgoing o por el contrario solo son incoming? Obvio es el funcionamiento del modo "off".

    Gracias. Un saludo.

    publicado fai 7 anos por fblancos

  • Hola fblancos,

    No se realiza ningún filtrado puesto que no sería realmente necesario, el propio sistema de funcionamiento del router tiene intrínseco dicho filtrado.

    Todo lo que quiera entrar que no haya sido previamente establecido no va a pasar, por lo tanto el firewall solo establece directivas hacia servicios salientes.

    En cuanto a los niveles que se pueden establecer: el off es todo pasa y el high sólo permitiría tráfico web, correo, ftp y poco o nada más. Los niveles intermedios simplemente van bloqueando más o menos servicios.

    Un saludo

    publicado fai 7 anos por soporte técnico

    editado fai 7 anos por soporte técnico