É possível impedir o IKE de alcançar o avião de controle da Netscreen?


8

Eu tenho um problema em que um Netscreen 25 está sendo inundado com pacotes IKE de uma fonte não relacionada, que às vezes sobrecarrega a capacidade de processamento do firewall. Eu vejo milhares de entradas de log indicando que as mensagens IKE estão sendo rejeitadas:

Rejeitou um pacote IKE na ethernet1 de xxxx: 500 para yyyy: 500 com os cookies c423bfd6ca96608b e 0000000000000000 porque um pacote inicial da Fase 1 chegou de um gateway de mesmo nível não reconhecido.

Existe uma maneira de filtrar o plano de controle do firewall para que esses pacotes sejam descartados na borda da interface em vez de processados ​​e rejeitados? Isso seria feito com uma interface simples ACL em um roteador Cisco ou ASA, mas não tenho certeza de como fazer isso no ScreenOS.


Milhares de entradas por quanto tempo? O "gateway de ponto não reconhecido" significa que, com certeza, alguém pode não ser bom, mas é mais provável que você tenha uma entrada de gateway manual incorreta ou uma entrada de VPN vinculada à interface errada, ou poderia muito bem seja alguém digitado aleatoriamente em seu endereço sem motivo algum, pois um acidente acontece algumas vezes. Você está recebendo um pacote IKE que parece malformado. Isso não deve sobrecarregar um firewall. Não por um tiro longo. No entanto, voltando à pergunta 1, quantas entradas há quanto tempo - e de onde?
Thomas Cannon

Respostas:


5

Isso deve ser detectado pelo grupo de proteção dos padrão. Não? Você tem, talvez, 'unset ike dos-protection'?

O que mostra 'show ike-suspeita-controle-fluxo-detecção'?


6

Você pode tentar encerrar os túneis da VPN no endereço IP de uma interface de loopback e criar uma regra de política para especificar quais fontes (não) têm permissão para entrar em contato com este ponto de extremidade da VPN. Se a interface de loopback estiver na mesma zona que a interface que recebe o tráfego, ative "bloquear tráfego intrazona" para esta zona e especifique uma regra para permitir suas VPNs.


3

Resposta curta, não.

Resposta longa, não e ..

Basicamente, as telas de rede escutam todos os pacotes IKE que chegam ao dispositivo e tentam processá-los. Embora seja um vetor para ataques, não vi o zimbro mudar esse comportamento.

A menos que você preencha seu log de eventos, não deve ser muito importante supor que seja uma única fonte tentando manter um túnel de VPN para você. Se você acha que está afetando seu desempenho, pode verificar 'obter todos os detalhes da CPU "e ver o uso da CPU da tarefa / fluxo.

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.