TL; DR : ¿alguien puede describir exactamente lo que constituye un impacto de amenaza de escaneo cuando se utiliza threat-detection
en un Cisco ASA?
Tengo un cliente que se conecta a mi red a través de una red privada virtual (VPN) para acceder a una aplicación alojada, y recientemente no cumple con la política de firewall configurada y jura que no están haciendo nada diferente de lo habitual.
El ASA está configurado para bloquear temporalmente (evitar) las direcciones de red que excedan cualquiera de una serie de tasas.
threat-detection rate scanning-threat rate-interval 600 average-rate 5 burst-rate 10
threat-detection rate scanning-threat rate-interval 3600 average-rate 4 burst-rate 8
threat-detection scanning-threat shun except object-group SCAN_WHITELIST
threat-detection scanning-threat shun duration 900
Las demandas comerciales me han requerido que las incluya en la lista blanca por ahora, y esto probablemente continuará a menos que pueda explicar mejor lo que parecen estar haciendo mal. Presumo que el cliente no debe ser un mal actor, ya que no les interesa bloquear el servicio que les brindamos. No estoy buscando atraparlos, ni acusarlos de nada en secreto.
Mi otra alternativa es volver a evaluar las tasas (simplemente estamos usando los valores predeterminados), pero eso también requiere que entienda lo que estoy permitiendo.
Toda la documentación que he encontrado hasta ahora describe scanning-threat
en términos de 'cuando el ASA detecta una amenaza de escaneo ...' , pero no puedo encontrar nada que explique lo que constituye un exploración de amenazas, es decir, ¿qué evento (s) hacen que el contador de amenazas de exploración aumente?
Podría suponer que podría tratarse de una serie de conexiones con un puerto TCP de destino en aumento y ese puede ser el caso, pero no parece probable para usuarios finales de buena fe, que Se les ha dicho exactamente a qué hora comenzaron sus problemas.
Podría suponer que podría tratarse de una serie de conexiones con un puerto TCP fuente en aumento, pero seguramente muchos administradores de tráfico basados en PAT no cumplirían con esto (sin asignación al azar adecuada de origen-puerto)?
Dado que se trata de tráfico VPN sin filtrar (y se aplica sysopt connection permit-vpn
), este tráfico no falla en una lista de acceso en particular, de lo contrario, podría ver el tráfico explícito caído en el registro.
El cliente, antes de NAT, realiza el tráfico detrás de una dirección única antes de atravesar la VPN, por lo que todo el tráfico parece provenir de la misma dirección de origen, por lo que, cuando se evita, todo el acceso a la aplicación alojada se pierde. durante unos minutos. Los siguientes paquetes rechazados están registrados y parecen ser normales para la aplicación: pings y tcp / 443.