Che cosa costituisce esattamente una minaccia di scansione su un Cisco ASA?

4

TL; DR - Qualcuno può descrivere esattamente ciò che costituisce un hit di una minaccia di scansione, quando si usa threat-detection su un Cisco ASA?

Ho un client che si connette alla mia rete tramite una VPN per raggiungere un'applicazione ospitata, ed è recentemente caduto in disgrazia dei criteri firewall configurati e giura che non stanno facendo nulla di diverso dal solito.

L'ASA è configurato per bloccare temporaneamente (shun) gli indirizzi di rete che superano una qualsiasi serie di frequenze.

threat-detection rate scanning-threat rate-interval 600 average-rate 5 burst-rate 10
threat-detection rate scanning-threat rate-interval 3600 average-rate 4 burst-rate 8
threat-detection scanning-threat shun except object-group SCAN_WHITELIST 
threat-detection scanning-threat shun duration 900

Le richieste di lavoro mi hanno richiesto di autorizzarle per ora, e probabilmente continuerò a meno che non riesca a spiegare meglio ciò che sembrano fare male. Presumo che il cliente non sia un cattivo attore dal momento che non è nel loro interesse bloccarsi dal servizio che gli offriamo. Non sto cercando di coglierli, né li accuso di nulla di subdolo.

La mia altra alternativa è rivalutare i tassi (stiamo semplicemente usando i valori predefiniti), ma ciò richiede anche che io capisca cosa sto permettendo.

Tutta la documentazione che ho trovato finora descrive scanning-threat in termini di 'quando l'ASA rileva una minaccia di scansione ...' , ma non riesco a trovare nulla che spieghi cosa costituisce un scansione di minacce, ovvero quale / i evento / i causerà l'incremento del contatore delle minacce di scansione?

Potrei indovinare che potrebbe trattarsi di una serie di connessioni con una porta TCP di destinazione incrementale e potrebbe essere il caso, ma non sembra probabile per gli utenti finali in buona fede, che è stato detto esattamente a che ora sono iniziati i loro problemi.

Potrei indovinare che potrebbe trattarsi di una serie di connessioni con una porta TCP sorgente incrementale, ma sicuramente molti gestori di traffico basati su PAT non sarebbero in grado di farlo (senza randomizzazione adeguata della porta sorgente)?

Poiché si tratta di traffico VPN non filtrato (e% disysopt connection permit-vpn si applica), questo traffico non rientra in un particolare elenco di accesso, altrimenti potrei vedere il traffico esplicito nel registro.

Il client, essi stessi pre-NAT il loro traffico dietro un singolo indirizzo prima di attraversare la VPN, quindi tutto il traffico sembra provenire dallo stesso indirizzo sorgente - quindi, quando viene evitato, tutti gli accessi all'applicazione ospitata vengono persi per un certo numero di minuti. I pacchetti shunnati sono stati registrati e sembrano normali per l'applicazione - ping e tcp / 443.

    
posta jimbobmcgee 02.05.2018 - 15:45
fonte

1 risposta

4

TL; DR Scansione: la minaccia non dovrebbe essere pensata come una nuova caratteristica più di un miglioramento di Threat-Detection.

Penso che questi link potrebbero aiutarti, tuttavia, considerando che sembra che tu abbia svolto la ricerca, potresti averli già incontrati

Ecco un elenco di ciò che può causare un trigger di rilevamento delle minacce:

  • Negazione ACL
  • Formato pacchetto errato
  • Limiti di connessione superati
  • Denial of Service (DoS) Detection
  • Errore di controllo del firewall di base
  • Pacchetti ICMP sospetti superati
  • Errore nel pacchetto di ispezione delle applicazioni
  • Interfaccia overload
  • Scansione rilevamento attacchi
  • Rilevamento sessione incompleto

Scansione: le minacce non sono la stessa cosa di Threat-Detection, è necessario considerare Scanning-Threat come un miglioramento / aggiunta a Threat-Detection per fornire funzionalità di sicurezza aggiuntive. Ti consente di tenere traccia dei "sospetti aggressori" quando vengono create troppe connessioni in una sottorete e per impostazione predefinita questa funzione è disabilitata.

Una cosa bella di Scanning-Threat è il fatto che costruisce un database di indirizzi IP di destinazione che si sospetta siano "attaccanti".

Come da documentazione di Cisco, di seguito è riportato un bell'esempio di cosa può fare Scanning-Threat.

When Scanning Threat Detection detects an attack, %ASA-4-733101 is logged for the attacker and/or target IPs. If the feature is configured to shun the attacker, %ASA-4-733102 is logged when Scanning Threat Detection generates a shun. %ASA-4-733103 is logged when the shun is removed. The show threat-detection scanning-threat command can be used in order to view the entire Scanning Threat database. - Cisco Scanning Threat

    
risposta data 02.05.2018 - 15:55
fonte

Leggi altre domande sui tag