воскресенье, 3 августа 2014 г.

ASA. Статья 11. Настройка функций threat-detection

Часто возникает задача собрать всевозможную статистику по активности на ASA. В версии 8.0 на ASA внедрили довольно интересный механизм сбора различных логов активности с разбивкой по хостам, по протоколам, по портам, по спискам доступа и т.д. Эта технология называется threat-detection и имеет 2 уровня. Первый уровень (включен по умолчанию) – basic.
threat-detection basic
Собирает статистику по
1. Хостам: количество посланных/полученных пакетов/байтов за 1,8 и 24 часа. Также учитывается количество уничтоженных пакетов, если такие были (нулевая статистика не показывается). Это очень удобно бывает для поиска слишком активничающих хостов.
show threat-detection statistics | b host:192.168.0.10 

Host:192.168.0.10: tot-ses:203883 act-ses:-6470 fw-drop:153 insp-drop:0 null-ses:72839 bad-acc:15
   1-hour Sent byte: 15 0 0 57319
   8-hour Sent byte: 29 2 0 842119
   24-hour Sent byte: 10 11 0 929721
   1-hour Sent pkts: 0 0 0 356
   8-hour Sent pkts: 0 0 0 4217
   24-hour Sent pkts: 0 0 0 5424
   20-min Sent drop: 0 0 0 14
   1-hour Sent drop: 0 0 0 76
   1-hour Recv byte: 23 0 0 83273
   8-hour Recv byte: 33 4 0 959069
   24-hour Recv byte: 12 22 0 1039106
   1-hour Recv pkts: 0 0 0 371
   8-hour Recv pkts: 0 0 0 4338
   24-hour Recv pkts: 0 0 0 4953
2. Спискам доступа: количество совпадений со строками списка доступа. Что важно: количество уничтоженных пакетов списком доступа тоже учитывается. Т.к. совпадение со списком доступа получается только при открытии новой сессии, можно прикинуть нагрузку на конкретный хост. В дополнение к анализу show conn
show threat-detection statistics | b ACL

Top Name Id Average(eps) Current(eps) Trigger Total events
   1-hour ACL hits:
01 FROMINSIDE/28 0 0 0 876
02 PERMANY/1 0 0 0 711
03 FORAUTH/9 0 0 0 641
{omitted}
3. Протоколам и портам: учитывается количество пакетов и байт, прошедших по данному ip протоколу (ESP, GRE etc), либо приложению TCP/UDP (SMTP,DNS,HTTP etc) за 1,8 и 24 часа.
show threat-detection statistics port

Top Name Id Average(eps) Current(eps) Trigger Total events
   1-hour Sent byte:
01 RDP 3389 2470 1754 0 8892190
{omitted}*
   1-hour Sent pkts:
01 RDP 3389 7 8 0 26623
{omitted}
   20-min Sent drop:
   1-hour Recv byte:
01 RDP 3389 291 349 0 1048274
{omitted}
   1-hour Recv pkts:
06 NetBIOS-Sessi 139 0 0 0 611
{omitted}
   20-min Recv drop:
01 SNMP 161 0 0 0 33
[omitted]
   8-hour Sent byte:
01 RDP 3389 7542 2280 0 217211868
02 ESP * 50 1456 98 0 41942756
03 HTTPS 443 1232 11 0 35505904
{omitted}
   8-hour Sent pkts:
01 RDP 3389 12 9 0 354096
02 ESP * 50 4 0 0 124719
03 MS-DS/SMB 445 1 0 0 46869
{omitted}
   1-hour Sent drop:
01 NetBIOS-Sessi 139 0 0 0 1
   8-hour Recv byte:
01 RDP 3389 406 379 0 11698721
02 Port-8191-65535 392 56 0 11299705
{omitted}
   8-hour Recv pkts:
01 RDP 3389 8 7 0 245515
02 MS-DS/SMB 445 1 0 0 48116
03 HTTPS 443 0 0 0 21900
{omitted}
   1-hour Recv drop:
01 SNMP 161 0 0 0 200
02 SMTP 25 0 0 0 3
{omitted}
* {omitted} означает, что часть вывода команды удалена.
Для более тонких настроек можно задать свои пороги срабатывания для выдачи syslog-сообщений о превышении.
threat-detection rate ?
   acl-drop         Keyword to change rate parameters for ACL drop
   bad-packet-drop  Keyword to change rate parameters for bad packet drop
   conn-limit-drop  Keyword to change rate parameters for connection limit drop
   dos-drop         Keyword to change rate parameters for DoS attack drop
   fw-drop          Keyword to change rate parameters for regular firewall drop
   icmp-drop        Keyword to change rate parameters for icmp drop
   inspect-drop     Keyword to change rate parameters for inspect packet drop
   interface-drop   Keyword to change rate parameters for interface packet drop
   syn-attack       Keyword to change rate parameters for TCP SYN attack and no data UDP session attack detection
Вторая часть этой технологии называется scanning-threat (по умолчанию выключена). Эта часть позволяет анализировать неуспешные попытки компьютеров связаться сквозь ASA по TCP/UDP.
threat-detection scanning-threat [shun [except {OBJECTGROUP}]]
Если указать ключевое слово shun, то ASA будет блокировать хосты, которые превысили установленный порог «исследовательской активности», которая часто означает, что хост заражен трояном и может быть частью ботнета. Если используется блокировка, но хочется часть хостов избавить от такой напасти, можно указать список исключений в виде объектной группы сетевого типа. Хосты и сети, указанные в этой группе никогда не будут заблокированы при помощи scanning-threat
Можно самостоятельно задать пороги срабатывания (задаются для определенного периода времени).
threat-detection rate scanning-threat rate-interval {SECONDS} average-rate {EVENTS} burst-rate {BURSTEVENTS}
Посмотреть вывод статистики можно командой:
show threat-detection scanning-threat {attacker|target}

Latest Target Host List:
     192.168.1.103
     192.168.0.117
{omitted}
Latest Attacker Host List:
     192.168.6.28
     81.176.70.200
{omitted}

Источник: anticisco.ru/blogs/2010/04/asa-статья-11-настройка-функций-threat-detection/

Комментариев нет:

Отправить комментарий