TL; DR - Qualcuno può descrivere esattamente ciò che costituisce un hit di una minaccia di scansione, quando si usa threat-detection
su un Cisco ASA?
Ho un client che si connette alla mia rete tramite una VPN per raggiungere un'applicazione ospitata, ed è recentemente caduto in disgrazia dei criteri firewall configurati e giura che non stanno facendo nulla di diverso dal solito.
L'ASA è configurato per bloccare temporaneamente (shun) gli indirizzi di rete che superano una qualsiasi serie di frequenze.
threat-detection rate scanning-threat rate-interval 600 average-rate 5 burst-rate 10
threat-detection rate scanning-threat rate-interval 3600 average-rate 4 burst-rate 8
threat-detection scanning-threat shun except object-group SCAN_WHITELIST
threat-detection scanning-threat shun duration 900
Le richieste di lavoro mi hanno richiesto di autorizzarle per ora, e probabilmente continuerò a meno che non riesca a spiegare meglio ciò che sembrano fare male. Presumo che il cliente non sia un cattivo attore dal momento che non è nel loro interesse bloccarsi dal servizio che gli offriamo. Non sto cercando di coglierli, né li accuso di nulla di subdolo.
La mia altra alternativa è rivalutare i tassi (stiamo semplicemente usando i valori predefiniti), ma ciò richiede anche che io capisca cosa sto permettendo.
Tutta la documentazione che ho trovato finora descrive scanning-threat
in termini di 'quando l'ASA rileva una minaccia di scansione ...' , ma non riesco a trovare nulla che spieghi cosa costituisce un scansione di minacce, ovvero quale / i evento / i causerà l'incremento del contatore delle minacce di scansione?
Potrei indovinare che potrebbe trattarsi di una serie di connessioni con una porta TCP di destinazione incrementale e potrebbe essere il caso, ma non sembra probabile per gli utenti finali in buona fede, che è stato detto esattamente a che ora sono iniziati i loro problemi.
Potrei indovinare che potrebbe trattarsi di una serie di connessioni con una porta TCP sorgente incrementale, ma sicuramente molti gestori di traffico basati su PAT non sarebbero in grado di farlo (senza randomizzazione adeguata della porta sorgente)?
Poiché si tratta di traffico VPN non filtrato (e% disysopt connection permit-vpn
si applica), questo traffico non rientra in un particolare elenco di accesso, altrimenti potrei vedere il traffico esplicito nel registro.
Il client, essi stessi pre-NAT il loro traffico dietro un singolo indirizzo prima di attraversare la VPN, quindi tutto il traffico sembra provenire dallo stesso indirizzo sorgente - quindi, quando viene evitato, tutti gli accessi all'applicazione ospitata vengono persi per un certo numero di minuti. I pacchetti shunnati sono stati registrati e sembrano normali per l'applicazione - ping e tcp / 443.