Перенос сервера на новое железо - MS ISA определяет его как злоумышленный
 

Доброго всем времени суток! Проблема в следующем. Есть два сервера с ОС Win 2003 Server. Один из серверов является контроллером домена. На нем же стоит ISA. Второй сервер рядовой член домена и служит для работы прикладного ПО. Недавно понадобилось прикладной сервер перенести на новое железо. Что было сделано - полный бэкап сервера (через ntbackup), затем восстановление его на новом железе (до включения в сеть!), на новом сервере задан тот же IP и имя. Затем старый сервер отключаю от сети, включаю новый, ставлю все апдейты, вывожу и заново ввожу в домен. Все службы начинают работать нормально, сервер виден в сети, казалось бы все красиво, но..... ISA начинает регистрировать с нового сервера атаку типа half-scan. В чем может быть проблема и как ее исправить? Заранее всем спасибо.

Неужели никто не сталкивался с подобной проблемой??? :-( Или хотя бы предположения, в чем может быть причина.....

VladDV, Никогда не работал с ISA, но предполагаю, там исключений никаких нельзя поставить ?

Можно, но дело в том, что новый сервер идентичен предыдущему (кроме железа), а на старом сервере такой проблемы не было. Для этого сервера в ISA выставлены достаточно большие привилегии (практически полный доступ для внутренней сети). Но в ISA есть глобальные правила, которые реагируют в том числе и на сканирование портов. В моем случае наблюдается один из видов сканирования, когда атакующий посылает пакеты целевому серверу без установки соединения (по протоколу TCP). Однако атаки в моей ситуации быть не может (очень маловероятно), т.к. ошибка началась сразу после включения нового сервера в сеть.

TCP без установления соеденения? это как?
как вариант - проверьте сервер на вирусы, и отключите наблюдение IP half-scan attack.

А вот так. Что будет, если целевому серверу послать первый пакет с одним установленным флагом ACK? Для легальных программ - ничего, ответ RST. Для злоумышленника может быть немного вкусной информации. Потому ISA реагирует на обилие таких пакетов, считая, что это сканирование портов

VladDV, А во время установки ОС ничё не могло попасть ??? Может флэшку с софтом или дровишками вставляли? Поставьте сниффер поглядите чего он ему посылает

ещё как вариант - сервер пытается соедениться с ИСА. Но ему запрещено! Нет, IP, конечно разрешён. А МАС адрес? ведь сетевая карта другая...

exo,
Во-первых, соединения с исой проходят, только иногда обрываются на несколько секунд, когда иса видит подозрительную активность. Во-вторых, я к сожалению не нашел в ISA никаких привязок на MAC. Там указывается только IP. И он в дальнейшем фигурирует в правилах. Может AD не распознала новый МАС? Но я уже пробовал выводить сервер из домена, сбрасывать учетную запись этого сервера в AD, а затем снова вводить в домен. Ничего не помогло :-(

Dump,
Флэшек не вставляли, кроме того во всей сети есть корпоративный антивирус, т.ч. что-то левое маловероятно. Есть конечно вариант, что сто-то попало с дровами, но тоже наврядли, т.к. комп взяли новый в проверенном магазине и диски с дровами прилагались. Ранее инцидентов не было.

VladDV,
вы сказали что это - сервер приложений. Есть вероятность, что на новом сервере ожило приложение "атакующее" вашу ИСУ ?

Нет, приложений, работающих напрямую с исой на данном сервере нет. Ну разве что только с AD. Да и чем объяснить такое оживление именно на новом сервере сразу после ввода в домен? Если бы что-то постороннее было на старом сервере, то что ему мешало функционировать на нем?

VladDV, я так понимаю вернув старый сервер на место, всё нормально. Ещё раз акцентирую внимание на установке сниффера, сравни пакеты старого и нового сервера!

Dump,
Проблема в том, что старого сервера уже нет физически (т.е. он заделан под клиента, а ждать не было возможности), потому сейчас сравнить не получится. Да и эксперименты с перестановками этих серверов чреваты, на них данные в режиме реального времени пишутся с оборудования.
Снифера сейчас под рукой не оказалось, но детальное логирование исы показало, что при попытке копирования файла через ису с того сервера , блокируются пакеты по 2853 и 2855 портам по той же причине - соединение не установлено. Файл не скопировался. Вторая попытка прошла успешно, но были ошибки контрольных сумм пакетов

хм... сеть ломается. проверть патч-корды... может что с провадами. у меня было подобное когда вместо обратного прямым подключился... и у меня сессии ssh переодически откключались.

VladDV, В настройках сетевой карты на обоих серверах выставь 100 Full DX. У нас такие проблемы были, сервера воткнуты на каталист и автоопределение туго работало :)

Dump, хм... тоже вариант, но всё завсит от карты на сервере... врядли там карта для которой нужно жёстко скорость прописывать.

Извиняюсь за долгое отсутствие, вчера был нерабочий день :)
Выставление скорости карт не помогло. Что же касается патч-кордов, то сегодня съезжу проверю, но пинг между двумя серверами запускал, никаких сбоев не показало. Но только начинаешь чего-нибудь копировать, как возникает то самое явление

VladDV,
Заодно посмотрите разводку розеток! Были у меня случаи - машины видны в сети, а копирование не шло. Если есть возможность - попробуйте еще сетевухи поменять.

Всем спасибо за советы! Проблема решена. Дело действительно оказалось в оборудовании, а именно в сетевой карте. Поставил другую, все переподключил, уже вот несколько часов все ок :)

УРА!!! мы за тебя рады! я теперь и сам буду знать если случится...