Il mio firewall sta facendo cadere il traffico da 3 terminali connessi tramite VPN Client-2-Site SSL, perché rileva "Microsoft Windows SMB CVE 2017-0016 Vulnerabilità denial of service di Tree Connect Response".
La destinazione è un controller di dominio.
Ho eseguito una scansione offline con Kaspersky rescue Disk e non è stato trovato nulla su 2 di essi. Che cosa potrebbe causare questo avviso?
Kaspersky Rescue Disk è uno strumento contro il malware, non contro gli attacchi esterni remoti e nella maggior parte dei casi non sarebbe di aiuto qui.
Il motivo più probabile per cui questo traffico è stato eliminato è che le richieste, intenzionalmente o meno, sono state predisposte in modo tale da provocare uno stato denial-of-service sul tuo host. In altre parole, se i sistemi utilizzati sono vulnerabili a CVE 2017-0016 ("Microsoft Windows contiene un bug di danneggiamento della memoria nella gestione del traffico SMB, che potrebbe consentire a un utente malintenzionato remoto non autenticato di provocare un Denial of Service su un sistema vulnerabile . "- link ), il traffico che è stato eliminato potrebbe aver causato il blocco e per questo è stato caduto.
Cose da considerare:
Hai applicato l'aggiornamento per la sicurezza critico MS17-012? ( link )
Hai persino bisogno di SMB? In caso contrario, disabilitare questo servizio (chiudere la porta 445).
Esiste anche la possibilità che si tratti di un falso positivo e che il traffico fosse autentico e non inducesse il DoS. Se si sospetta ciò, investigare il traffico e ottenere le regole del firewall ottimizzate di conseguenza.
Rispondere al tuo commento qui poiché lo spazio dei commenti sembra troppo piccolo.
1) Ogni ambiente è diverso e io, o chiunque altro, non posso dire esattamente come dovrebbe essere indagata la tua situazione. Ma i registri sono tutto ciò che serve, non è necessario disturbare il lavoro delle macchine. Vorrei iniziare guardando tutti i registri relativi a questi host nei tempi di quegli avvisi DoS (che potrebbero iniziare con 5 minuti e ridurre se il numero di voci del registro è ingestibile) per ottenere eventualmente un contesto degli eventi. Ad esempio, c'era un altro traffico sospetto inviato dalla stessa fonte.
2) I dispositivi, che sono connessi alla rete, sono più spesso disponibili per la scansione di vulnerabilità e attacchi di attacchi esterni . Non è necessario essere infetti se gli attori malintenzionati vogliono provare ad attaccarli. Purché siano corretti per le suddette vulnerabilità, va bene.
Non sono sicuro di aver compreso correttamente la tua infrastruttura descritta, ma se il traffico scartato era interno, probabilmente era falso positivo. O qualcuno all'interno della tua infrastruttura ha cercato di fare i tuoi host (non impossibile).