|
|
|
|
| Компьютерный форум OSzone.net » Серверные продукты Microsoft » ISA Server / Microsoft Forefront TMG » Перенос сервера на новое железо - MS ISA определяет его как злоумышленный |
|
||||
|
|
Перенос сервера на новое железо - MS ISA определяет его как злоумышленный
|
Старожил Сообщения: 247 |
Доброго всем времени суток! Проблема в следующем. Есть два сервера с ОС Win 2003 Server. Один из серверов является контроллером домена. На нем же стоит ISA. Второй сервер рядовой член домена и служит для работы прикладного ПО. Недавно понадобилось прикладной сервер перенести на новое железо. Что было сделано - полный бэкап сервера (через ntbackup), затем восстановление его на новом железе (до включения в сеть!), на новом сервере задан тот же IP и имя. Затем старый сервер отключаю от сети, включаю новый, ставлю все апдейты, вывожу и заново ввожу в домен. Все службы начинают работать нормально, сервер виден в сети, казалось бы все красиво, но..... ISA начинает регистрировать с нового сервера атаку типа half-scan. В чем может быть проблема и как ее исправить? Заранее всем спасибо.
|
|
|
Отправлено: 05:25, 05-02-2008 |
|
Старожил Сообщения: 247
|
Профиль | Отправить PM | Цитировать Неужели никто не сталкивался с подобной проблемой??? :-( Или хотя бы предположения, в чем может быть причина.....
|
|
Отправлено: 11:43, 05-02-2008 | #2 |
|
Пользователь Сообщения: 105
|
Профиль | Отправить PM | Цитировать VladDV, Никогда не работал с ISA, но предполагаю, там исключений никаких нельзя поставить ?
|
|
Отправлено: 11:51, 05-02-2008 | #3 |
|
Старожил Сообщения: 247
|
Профиль | Отправить PM | Цитировать Можно, но дело в том, что новый сервер идентичен предыдущему (кроме железа), а на старом сервере такой проблемы не было. Для этого сервера в ISA выставлены достаточно большие привилегии (практически полный доступ для внутренней сети). Но в ISA есть глобальные правила, которые реагируют в том числе и на сканирование портов. В моем случае наблюдается один из видов сканирования, когда атакующий посылает пакеты целевому серверу без установки соединения (по протоколу TCP). Однако атаки в моей ситуации быть не может (очень маловероятно), т.к. ошибка началась сразу после включения нового сервера в сеть.
|
|
Отправлено: 11:57, 05-02-2008 | #4 |
Ветеран Сообщения: 12417
|
Профиль | Отправить PM | Цитировать TCP без установления соеденения? это как?
как вариант - проверьте сервер на вирусы, и отключите наблюдение IP half-scan attack. |
|
|
------- Отправлено: 12:14, 05-02-2008 | #5 |
|
Старожил Сообщения: 247
|
Профиль | Отправить PM | Цитировать А вот так. Что будет, если целевому серверу послать первый пакет с одним установленным флагом ACK? Для легальных программ - ничего, ответ RST. Для злоумышленника может быть немного вкусной информации. Потому ISA реагирует на обилие таких пакетов, считая, что это сканирование портов
|
|
Отправлено: 12:18, 05-02-2008 | #6 |
|
Пользователь Сообщения: 105
|
Профиль | Отправить PM | Цитировать VladDV,
Цитата VladDV:
|
|
|
Отправлено: 12:19, 05-02-2008 | #7 |
|
Ветеран Сообщения: 12417
|
Профиль | Отправить PM | Цитировать ещё как вариант - сервер пытается соедениться с ИСА. Но ему запрещено! Нет, IP, конечно разрешён. А МАС адрес? ведь сетевая карта другая...
|
|
------- Отправлено: 12:23, 05-02-2008 | #8 |
|
Старожил Сообщения: 247
|
Профиль | Отправить PM | Цитировать exo,
Во-первых, соединения с исой проходят, только иногда обрываются на несколько секунд, когда иса видит подозрительную активность. Во-вторых, я к сожалению не нашел в ISA никаких привязок на MAC. Там указывается только IP. И он в дальнейшем фигурирует в правилах. Может AD не распознала новый МАС? Но я уже пробовал выводить сервер из домена, сбрасывать учетную запись этого сервера в AD, а затем снова вводить в домен. Ничего не помогло :-( Dump, Флэшек не вставляли, кроме того во всей сети есть корпоративный антивирус, т.ч. что-то левое маловероятно. Есть конечно вариант, что сто-то попало с дровами, но тоже наврядли, т.к. комп взяли новый в проверенном магазине и диски с дровами прилагались. Ранее инцидентов не было. |
|
Отправлено: 12:43, 05-02-2008 | #9 |
|
Ветеран Сообщения: 12417
|
Профиль | Отправить PM | Цитировать VladDV,
вы сказали что это - сервер приложений. Есть вероятность, что на новом сервере ожило приложение "атакующее" вашу ИСУ ? |
|
------- Отправлено: 12:49, 05-02-2008 | #10 |
|
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Перенос на новое железо | YDen | Microsoft Windows NT/2000/2003 | 2 | 05-12-2009 13:34 | |
| После переноса сервера на новое железо некорректно создаются учётки. | hardir | Microsoft Windows NT/2000/2003 | 7 | 01-06-2009 10:16 | |
| Перенос домена на новое железо. | Aeronaft | Microsoft Windows NT/2000/2003 | 4 | 30-11-2008 22:06 | |
| Перенос винды с предустановлеными прогамми на более новое железо! | Marielito07 | Microsoft Windows NT/2000/2003 | 3 | 29-02-2008 14:42 | |
| Перенос сервера (контроллера домена) на новое железо | ziky | Microsoft Windows NT/2000/2003 | 39 | 15-05-2007 08:13 | |
|
|
Время: 00:43. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. |
