Ist es möglich, IKE daran zu hindern, die Steuerebene eines Netscreens zu erreichen?

8

Ich habe ein Problem, bei dem ein Netscreen 25 mit IKE-Paketen von einer nicht verwandten Quelle überflutet wird, was manchmal die Verarbeitungskapazität der Firewall überlastet. Ich sehe Tausende von Protokolleinträgen, die darauf hinweisen, dass die IKE-Nachrichten abgelehnt werden:

Ein IKE-Paket auf ethernet1 von xxxx: 500 bis yyyy: 500 mit den Cookies c423bfd6ca96608b und 0000000000000000 wurde abgelehnt, da ein erstes Phase-1-Paket von einem nicht erkannten Peer-Gateway eingetroffen ist.

Gibt es eine Möglichkeit, die Steuerebene der Firewall so zu filtern, dass diese Pakete an der Schnittstellenkante verworfen und nicht verarbeitet und zurückgewiesen werden? Dies würde mit einer einfachen Schnittstellen-ACL auf einem Cisco-Router oder ASA erfolgen, aber ich bin mir nicht sicher, wie ich dies unter ScreenOS tun soll.

screenos 
Jeremy Stretch
quelle
Tausende Einträge in wie viel Zeit? Das "nicht erkannte Peer-Gateway" bedeutet, dass sicher jemand nichts Gutes tun kann, aber wahrscheinlicher ist, dass Sie einen manuellen Gateway-Eintrag an Ihrem Ende haben, der falsch ist, oder einen VPN-Eintrag, der an die falsche Schnittstelle gebunden ist, oder es könnte sehr gut sein sei es, dass jemand zufällig Ihre Adresse ohne Grund eingibt, als dass manchmal ein Unfall passiert. Sie erhalten ein IKE-Paket, das fehlerhaft aussieht. Dies sollte eine Firewall nicht überlasten. Bei weitem nicht. Zurück zu Frage 1: Wie viele Einträge wie viel Zeit - und woher?
Thomas Cannon

Antworten:

5

Das sollte von der Standard-Dos-Schutz-Gruppe abgefangen werden. Nein? Haben Sie vielleicht "nicht eingestellten Dos-Schutz"?

Was zeigt "Verdächtige Kontrollfluss-Erkennung anzeigen"?

Craig Constantine
quelle
6

Sie können versuchen, die VPN-Tunnel an der IP-Adresse einer Loopback-Schnittstelle zu beenden und eine Richtlinienregel zu erstellen, um anzugeben, welche Quellen diesen VPN-Endpunkt (nicht) kontaktieren dürfen. Wenn sich die Loopback-Schnittstelle in derselben Zone befindet wie die Schnittstelle, die den Datenverkehr empfängt, aktivieren Sie "Blockieren des zoneninternen Datenverkehrs" für diese Zone und geben Sie eine Regel an, um Ihre VPNs zuzulassen.

Gerben
quelle
3

Kurze Antwort, nein.

Lange Antwort, nein und ..

Grundsätzlich warten die Netscreens auf alle IKE-Pakete, die auf das Gerät kommen, und versuchen, sie zu verarbeiten. Obwohl es ein Vektor für Angriffe ist, habe ich nicht gesehen, dass Wacholder dieses Verhalten geändert hat.

Wenn Sie Ihr Ereignisprotokoll nicht ausfüllen, sollte es nicht viel bewirken, vorausgesetzt, es handelt sich um eine einzige Quelle, die versucht, Ihnen einen VPN-Tunnel zur Verfügung zu stellen. Wenn Sie der Meinung sind, dass dies Ihre Leistung beeinträchtigt, können Sie überprüfen, ob die CPU alle Details enthält, und die CPU-Auslastung der Task / des Flusses anzeigen.

Tim
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.