web-dev-qa-db-ja.com

Cisco ASAでのスキャンの脅威を正確に構成するものは何ですか?

TL; DR-Cisco ASAでthreat-detectionを使用する場合、誰がスキャンの脅威となるかを正確に説明できますか?


VPNを介してネットワークに接続し、ホストされているアプリケーションにアクセスするクライアントがいます。最近、構成されたファイアウォールポリシーに違反し、通常と何も変わらないと誓っています。

ASAは、一連のレートのいずれかを超えるネットワークアドレスを一時的にブロック(排除)するように設定されています。

threat-detection rate scanning-threat rate-interval 600 average-rate 5 burst-rate 10
threat-detection rate scanning-threat rate-interval 3600 average-rate 4 burst-rate 8
threat-detection scanning-threat shun except object-group SCAN_WHITELIST 
threat-detection scanning-threat shun duration 900

ビジネス上の要求により、今のところそれらをホワイトリストに登録する必要がありましたが、彼らが間違っているように見えることをもっとよく説明できない限り、これはおそらく続くでしょう。私たちが提供するサービスから自分自身をブロックすることは彼らの利益にならないので、クライアントは悪いアクターではないと思います。私は彼らを捕まえるつもりはありませんし、何か下手なことで彼らを非難するつもりもありません。

もう1つの方法は、レートを再評価することです(単にデフォルトを使用しています)が、これには、自分が許可していることを理解する必要もあります。

これまでに見つけたすべてのドキュメントは、ASAがスキャン脅威を検出したときのに関してscanning-threatについて説明しています... 'ですが、説明するものは何も見つかりませんスキャンの脅威を構成するもの、つまりスキャンの脅威カウンターが増加する原因となるイベント]

私は推測それが増加するターゲットTCPポートとの一連の接続である可能性があり、そうであるかもしれないが、それは良いとは思われない-問題が発生した正確な時間を知らされている信仰のエンドユーザー。

推測 source TCPポートが増加する一連の接続である可能性があるが、確かに多くのPATベースのトラフィックマネージャーはこれに違反します(適切な送信元ポートのランダム化がない場合)?

これはフィルタリングされていないVPNトラフィック(およびsysopt connection permit-vpnが適用される)であるため、このトラフィックは特定のアクセスリストのファウルにはなりません。そうでない場合、ログにドロップされたトラフィックが明示的に表示される可能性があります。

クライアント自身が、VPNを通過する前にトラフィックを単一のアドレスの背後でNAT変換するため、すべてのトラフィックは同じ送信元アドレスから送信されているように見えるため、排除されると、ホストされているアプリケーションへのアクセスはすべて失われます分の。後続の回避されたパケット /がログに記録され、アプリケーションにとって正常であるように見えます-pingおよびtcp/443。

4
jimbobmcgee

TL; DRScanning-Threatは、new機能の強化とは考えないでください。脅威検出。


私はこれらのリンクがあなたを助けるかもしれないと思うが、あなたがすでにそれらに出くわしたかもしれない研究をしたように思われることを考えると

脅威検出トリガーを引き起こす可能性があるもののリストは次のとおりです。

  • ACL拒否
  • 不正なパケット形式
  • 接続制限を超えました
  • サービス拒否(DoS)検出
  • 基本的なファイアウォールチェックの失敗
  • 不審なICMPパケットの超過
  • アプリケーション検査パケット障害
  • インターフェースの過負荷
  • スキャン攻撃検出
  • 不完全なセッションの検出

Scanning-ThreatはThreat-Detectionと同じではありません。Scanning-Threatは、追加のセキュリティ機能を提供するためのThreat-Detectionの拡張/追加と考える必要があります。これにより、サブネット内に作成された接続が多すぎる場合に「疑わしい攻撃者」を追跡でき、デフォルトではこの機能は無効になっています。

Scanning-Threatの良い点は、「攻撃者」であると疑われるターゲットIPアドレスのデータベースを構築することです。

シスコのドキュメントによると、以下はScanning-Threatができることの良い例です。

スキャン脅威検出が攻撃を検出すると、攻撃者やターゲットIPに対して%ASA-4-733101がログに記録されます。攻撃者を回避するように機能が設定されている場合、スキャン脅威検出が回避を生成すると、%ASA-4-733102がログに記録されます。 %ASA-4-733103は、排除が削除されたときにログに記録されます。スキャン脅威データベース全体を表示するには、show Threat-detectionscaning-threatコマンドを使用できます。 - Cisco Scanning Threat

4
J.J