Часто возникает задача собрать всевозможную статистику по активности на ASA. В версии 8.0 на ASA внедрили довольно интересный механизм сбора различных логов активности с разбивкой по хостам, по протоколам, по портам, по спискам доступа и т.д. Эта технология называется threat-detection и имеет 2 уровня. Первый уровень (включен по умолчанию) – basic.
threat-detection basic
Собирает статистику по
1. Хостам: количество посланных/полученных пакетов/байтов за 1,8 и 24 часа. Также учитывается количество уничтоженных пакетов, если такие были (нулевая статистика не показывается). Это очень удобно бывает для поиска слишком активничающих хостов.
1. Хостам: количество посланных/полученных пакетов/байтов за 1,8 и 24 часа. Также учитывается количество уничтоженных пакетов, если такие были (нулевая статистика не показывается). Это очень удобно бывает для поиска слишком активничающих хостов.
show threat-detection statistics | b host:192.168.0.10 Host:192.168.0.10: tot-ses:203883 act-ses:-6470 fw-drop:153 insp-drop:0 null-ses:72839 bad-acc:15
1-hour Sent byte: 15 0 0 57319
8-hour Sent byte: 29 2 0 842119
24-hour Sent byte: 10 11 0 929721
1-hour Sent pkts: 0 0 0 356
8-hour Sent pkts: 0 0 0 4217
24-hour Sent pkts: 0 0 0 5424
20-min Sent drop: 0 0 0 14
1-hour Sent drop: 0 0 0 76
1-hour Recv byte: 23 0 0 83273
8-hour Recv byte: 33 4 0 959069
24-hour Recv byte: 12 22 0 1039106
1-hour Recv pkts: 0 0 0 371
8-hour Recv pkts: 0 0 0 4338
24-hour Recv pkts: 0 0 0 4953
2. Спискам доступа: количество совпадений со строками списка доступа. Что важно: количество уничтоженных пакетов списком доступа тоже учитывается. Т.к. совпадение со списком доступа получается только при открытии новой сессии, можно прикинуть нагрузку на конкретный хост. В дополнение к анализу show conn
show threat-detection statistics | b ACL
Top Name Id Average(eps) Current(eps) Trigger Total events
1-hour ACL hits:
01 FROMINSIDE/28 0 0 0 876
02 PERMANY/1 0 0 0 711
03 FORAUTH/9 0 0 0 641
{omitted}
3. Протоколам и портам: учитывается количество пакетов и байт, прошедших по данному ip протоколу (ESP, GRE etc), либо приложению TCP/UDP (SMTP,DNS,HTTP etc) за 1,8 и 24 часа.
show threat-detection statistics port
Top Name Id Average(eps) Current(eps) Trigger Total events
1-hour Sent byte:
01 RDP 3389 2470 1754 0 8892190
{omitted}*
1-hour Sent pkts:
01 RDP 3389 7 8 0 26623
{omitted}
20-min Sent drop:
1-hour Recv byte:
01 RDP 3389 291 349 0 1048274
{omitted}
1-hour Recv pkts:
06 NetBIOS-Sessi 139 0 0 0 611
{omitted}
20-min Recv drop:
01 SNMP 161 0 0 0 33
[omitted]
8-hour Sent byte:
01 RDP 3389 7542 2280 0 217211868
02 ESP * 50 1456 98 0 41942756
03 HTTPS 443 1232 11 0 35505904
{omitted}
8-hour Sent pkts:
01 RDP 3389 12 9 0 354096
02 ESP * 50 4 0 0 124719
03 MS-DS/SMB 445 1 0 0 46869
{omitted}
1-hour Sent drop:
01 NetBIOS-Sessi 139 0 0 0 1
8-hour Recv byte:
01 RDP 3389 406 379 0 11698721
02 Port-8191-65535 392 56 0 11299705
{omitted}
8-hour Recv pkts:
01 RDP 3389 8 7 0 245515
02 MS-DS/SMB 445 1 0 0 48116
03 HTTPS 443 0 0 0 21900
{omitted}
1-hour Recv drop:
01 SNMP 161 0 0 0 200
02 SMTP 25 0 0 0 3
{omitted}
* {omitted} означает, что часть вывода команды удалена.
Для более тонких настроек можно задать свои пороги срабатывания для выдачи syslog-сообщений о превышении.
threat-detection rate ?
acl-drop Keyword to change rate parameters for ACL drop
bad-packet-drop Keyword to change rate parameters for bad packet drop
conn-limit-drop Keyword to change rate parameters for connection limit drop
dos-drop Keyword to change rate parameters for DoS attack drop
fw-drop Keyword to change rate parameters for regular firewall drop
icmp-drop Keyword to change rate parameters for icmp drop
inspect-drop Keyword to change rate parameters for inspect packet drop
interface-drop Keyword to change rate parameters for interface packet drop
syn-attack Keyword to change rate parameters for TCP SYN attack and no data UDP session attack detection
Вторая часть этой технологии называется scanning-threat (по умолчанию выключена). Эта часть позволяет анализировать неуспешные попытки компьютеров связаться сквозь ASA по TCP/UDP.
threat-detection scanning-threat [shun [except {OBJECTGROUP}]]
Если указать ключевое слово shun, то ASA будет блокировать хосты, которые превысили установленный порог «исследовательской активности», которая часто означает, что хост заражен трояном и может быть частью ботнета. Если используется блокировка, но хочется часть хостов избавить от такой напасти, можно указать список исключений в виде объектной группы сетевого типа. Хосты и сети, указанные в этой группе никогда не будут заблокированы при помощи scanning-threat
Можно самостоятельно задать пороги срабатывания (задаются для определенного периода времени).
threat-detection rate scanning-threat rate-interval {SECONDS} average-rate {EVENTS} burst-rate {BURSTEVENTS}
Посмотреть вывод статистики можно командой:
show threat-detection scanning-threat {attacker|target}
Latest Target Host List:
192.168.1.103
192.168.0.117
{omitted}
Latest Attacker Host List:
192.168.6.28
81.176.70.200
{omitted}
Источник: anticisco.ru/blogs/2010/04/asa-статья-11-настройка-функций-threat-detection/
Комментариев нет:
Отправить комментарий