¿Qué constituye exactamente una amenaza de escaneo en un ASA de Cisco?

4

TL; DR : ¿alguien puede describir exactamente lo que constituye un impacto de amenaza de escaneo cuando se utiliza threat-detection en un Cisco ASA?

Tengo un cliente que se conecta a mi red a través de una red privada virtual (VPN) para acceder a una aplicación alojada, y recientemente no cumple con la política de firewall configurada y jura que no están haciendo nada diferente de lo habitual.

El ASA está configurado para bloquear temporalmente (evitar) las direcciones de red que excedan cualquiera de una serie de tasas.

threat-detection rate scanning-threat rate-interval 600 average-rate 5 burst-rate 10
threat-detection rate scanning-threat rate-interval 3600 average-rate 4 burst-rate 8
threat-detection scanning-threat shun except object-group SCAN_WHITELIST 
threat-detection scanning-threat shun duration 900

Las demandas comerciales me han requerido que las incluya en la lista blanca por ahora, y esto probablemente continuará a menos que pueda explicar mejor lo que parecen estar haciendo mal. Presumo que el cliente no debe ser un mal actor, ya que no les interesa bloquear el servicio que les brindamos. No estoy buscando atraparlos, ni acusarlos de nada en secreto.

Mi otra alternativa es volver a evaluar las tasas (simplemente estamos usando los valores predeterminados), pero eso también requiere que entienda lo que estoy permitiendo.

Toda la documentación que he encontrado hasta ahora describe scanning-threat en términos de 'cuando el ASA detecta una amenaza de escaneo ...' , pero no puedo encontrar nada que explique lo que constituye un exploración de amenazas, es decir, ¿qué evento (s) hacen que el contador de amenazas de exploración aumente?

Podría suponer que podría tratarse de una serie de conexiones con un puerto TCP de destino en aumento y ese puede ser el caso, pero no parece probable para usuarios finales de buena fe, que Se les ha dicho exactamente a qué hora comenzaron sus problemas.

Podría suponer que podría tratarse de una serie de conexiones con un puerto TCP fuente en aumento, pero seguramente muchos administradores de tráfico basados en PAT no cumplirían con esto (sin asignación al azar adecuada de origen-puerto)?

Dado que se trata de tráfico VPN sin filtrar (y se aplica sysopt connection permit-vpn ), este tráfico no falla en una lista de acceso en particular, de lo contrario, podría ver el tráfico explícito caído en el registro.

El cliente, antes de NAT, realiza el tráfico detrás de una dirección única antes de atravesar la VPN, por lo que todo el tráfico parece provenir de la misma dirección de origen, por lo que, cuando se evita, todo el acceso a la aplicación alojada se pierde. durante unos minutos. Los siguientes paquetes rechazados están registrados y parecen ser normales para la aplicación: pings y tcp / 443.

    
pregunta jimbobmcgee 02.05.2018 - 15:45
fuente

1 respuesta

4

TL; DR Scanning-Threat no debe considerarse como una característica de new más que una mejora de Threat-Detection.

Creo que estos enlaces podrían ayudarte, sin embargo, teniendo en cuenta que pareces haber realizado la investigación, es posible que ya los hayas encontrado

Aquí hay una lista de lo que puede causar un desencadenante de detección de amenazas:

  • ACL Denial
  • Formato de paquete incorrecto
  • Límites de conexión excedidos
  • Detección de denegación de servicio (DoS)
  • Error de comprobación básica del cortafuegos
  • Se excedieron los paquetes ICMP sospechosos
  • Error de paquete de inspección de la aplicación
  • sobrecarga de interfaz
  • Detección de ataque de escaneo
  • Detección de sesión incompleta

Scanning-Threat no es lo mismo que Threat-Detection, debe pensar en Scanning-Threat como una mejora / adición a Threat-Detection para proporcionar funciones de seguridad adicionales. Le permite realizar un seguimiento de los "presuntos atacantes" cuando se crean demasiadas conexiones en una subred y, de forma predeterminada, esta función está desactivada.

Lo bueno de Scanning-Threat es el hecho de que crea una base de datos de direcciones IP de destino que se sospecha que son "atacantes".

Según la documentación de Cisco, a continuación se muestra un buen ejemplo de lo que puede hacer Scanning-Threat.

  

Cuando la Detección de amenazas de escaneo detecta un ataque,% ASA-4-733101 es   registrado para el atacante y / o las IP de destino. Si la característica es   Configurado para rechazar al atacante,% ASA-4-733102 se registra al escanear   Detección de amenazas genera un shun. % ASA-4-733103 se registra cuando el   Se elimina el shun. El comando Mostrar amenaza de escaneo de detección puede   ser utilizado para ver la base de datos completa de amenazas de escaneo. - Amenaza de escaneo de Cisco

    
respondido por el J.J 02.05.2018 - 15:55
fuente

Lea otras preguntas en las etiquetas