Antes de nada un saludo a todos en este mi primer post. Ya de antemano pido disculpas por si puedo resultar pesado con las consultas que haré por estos foros y un poco de paciencia ya que soy extremadamente torpe.



Tengo el outpost 3.0.543.5722 (431) y llevo unos días en los que me sale un aviso de ataque ethernet y me avisa de ataque sospechosos: "simulación de IP" (el host cambia las IP). El firewall, en teoria los bloquea, pero me deja sin conexión durante unos minutos. Aparentemente no me corta la conexión, pero en la práctica me quedo sin ella (no puedo acceder a ninguna web, me desconecta del servidor del emule...), al cabo de un rato recupero la conexión.
La verdad es que el tema de los firewalls no lo controlo muy bien como ya habréis podido comprobar con los posts que pongo en estos foros, pero todos los ataques de simulación vienen de la misma direccion de IP (y son muy continuados).

Me gustaría saber lo siguiente:

¿Qué es eso de simulación de IP?
¿Qué efectos puede tener?
¿Cómo puedo solucionarlo?



De todas maneras cotilleando por este foro he encontrado lo siguiente:

"Should I use the features listed in the Ethernet tab of the Attack Detection plugin?
For most home users, these features are not important. What they cover are attacks that can be launched from within a local network (LAN). If your computer is the only one connected to the Internet then there is virtually no possibility of this happening, as is the case for LANs where every computer is under your control.

These features are useful for computers in a potentially hostile LAN environment where other users have control over computers - university and school networks being a good example. Unsecure business networks and some cable ISPs (which arrange their network as one large LAN) are another example where ARP protection may be useful.

Lo que tienes que hacer es deshabilitar esa opción."

Debido a que mi inglés no es precisamente para tirar cohetes me gustaría saber a qué opción se refiere.



en fin que espero no resultar demasiado plasta y....




saúdos e apertas

Hola

Bueno, yo no manejo mucho el outpost, por lo que no puedo reponder eso, pero si lo de la simulación ip, al menos en los entornos que conozco.

En muchas ocasiones se instalan programas que tienen determinados comportamientos basados en direcciones ip, sin embargo, el programa está instalado en sitios en los que en el momento de instalarlo, dichas ip's no están disponibles, por lo tanto, no se puede configurar bien el programa, para solucionar esto, hay programas o métodos que permiten de forma sencilla modificar la ip de un determinado equipo e un determinado momento a fin de poder probar dicha aplicación o comportamiento.

Seguramente esto ha sonado a chino.

Así que usaré un ejemplo sencillo.

Supongamos que tenemos una red en un sitio que sabemos que será atacado frecuentemente por algún motivo, por lo tanto, instalamos un firewall, este firewall, deberá dejar pasar a usuarios registrados pero denegar el acceso a cualquier otra persona. La lista de usuarios registrados, no se obtiene de un servicio web público controlado por el mismo firewall, eso quiere decir, que tenemos la lista de las ip's de los usuarios en un papel, la obtenemos de una página web no relacionada directamente con la empresa, etc.

Nuestra configuración del firewall, deberá permitir esas ip's y denegar todas las demás, pero como aun no sabemos bien como hacerlo, porque es la primera vez que se nos ha ocurrido tal idea, no podemos esperar a que la situación ocurra ya que o un clicnte quedará fuera del servicio, o alguien que no debe entrará, por lo tanto, mientras estamos instalando el servidio, configuramos una máquina con estas aplicaciones que cambian la ip según determinados patrones y nos conectamos al servicio en pruebas desde ella, en ocasiones nos dejará pasar y en otras no.

Puede parecer un poco tonto esto ya que en principio, en un entorno controlado, podemos asignar cualquier ip a una máquina, pero en muchas ocasiones, estas pruebas no se pueden hacer en entornos controlados y la asignación de una ip determinada puede ocasionar problemas extra.

Hay otros casos en los que se usan, pero más o menos es lo mismo.

En el caso del outpost, puede que detecte que un determinado usuario está tratando de conectarse a tu equipo desde varias ip's. Co detecta que es el miso usuario si la ip cambia, eso es más largo, pero es posible.

BUeno, tras todo esto, alguien más debe haber leido tu menaje y estará presto a responder lo del outpost.

Felicidad