Có thể chặn IKE tiếp cận mặt phẳng điều khiển của Netscreen không?


8

Tôi gặp sự cố khi Netscreen 25 đang tràn ngập các gói IKE từ một nguồn không liên quan, đôi khi nó đang làm quá tải khả năng xử lý của tường lửa. Tôi thấy hàng ngàn mục nhật ký cho biết các tin nhắn IKE đang bị từ chối:

Đã từ chối gói IKE trên ethernet1 từ xxxx: 500 đến yyyy: 500 với cookie c423bfd6ca96608b và 0000000000000000 vì gói Giai đoạn 1 ban đầu đến từ cổng ngang hàng không được nhận dạng.

Có cách nào để lọc mặt phẳng điều khiển của tường lửa để các gói này bị bỏ ở cạnh giao diện thay vì được xử lý và từ chối không? Điều này sẽ được thực hiện với ACL giao diện đơn giản trên bộ định tuyến của Cisco hoặc ASA, nhưng tôi không chắc chắn cách thực hiện điều này trên ScreenOS.


Hàng ngàn mục trong bao nhiêu thời gian? "Cổng ngang hàng không được nhận dạng" có nghĩa là chắc chắn, ai đó có thể không tốt, nhưng nhiều khả năng là bạn có một cổng nhập thủ công ở phía cuối của bạn là sai, hoặc một mục VPN gắn với giao diện sai, hoặc nó rất có thể đôi khi ai đó gõ ngẫu nhiên vào địa chỉ của bạn mà không có lý do gì ngoài tai nạn xảy ra. Bạn đang nhận được một gói IKE trông không đúng. Điều này không nên quá tải tường lửa. Không phải bằng một cú sút xa. Tuy nhiên, quay lại câu hỏi số 1, có bao nhiêu mục trong bao nhiêu thời gian - và từ đâu đến?
Thomas Cannon

Câu trả lời:


5

Điều đó nên được bắt bởi nhóm bảo vệ liều mặc định. Không? Bạn có, có lẽ, 'unset ike dos-bảo vệ'?

'Hiển thị ike đáng ngờ-kiểm soát-phát hiện dòng chảy' là gì?


6

Bạn có thể thử chấm dứt các đường hầm VPN trên địa chỉ IP của giao diện loopback và tạo quy tắc chính sách để chỉ định nguồn nào (không) được phép liên hệ với điểm cuối VPN này. Nếu giao diện loopback nằm trong cùng khu vực với giao diện nhận lưu lượng, hãy bật "chặn lưu lượng trong vùng" cho vùng này và chỉ định quy tắc để cho phép VPN của bạn.


3

Câu trả lời ngắn gọn, không.

Câu trả lời dài, không và ..

Về cơ bản, các màn hình mạng sẽ lắng nghe mọi gói IKE đến thiết bị và cố gắng xử lý chúng. Trong khi đó là một vectơ cho các cuộc tấn công, tôi đã không thấy cây bách xù thay đổi hành vi này.

Không điền vào nhật ký sự kiện của bạn, không nên giả sử rằng đó là một nguồn duy nhất đang cố gắng tạo ra một đường hầm VPN cho bạn. Nếu bạn nghĩ rằng nó ảnh hưởng đến hiệu suất của bạn, bạn có thể kiểm tra 'lấy cpu hoàn hảo tất cả các chi tiết "và xem mức độ sử dụng CPU / luồng tác vụ.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.