%20und%20106100%20(Zulassen)%20Protokolle%20f%C3%BCr%20dasselbe%20Paket.png)
Ich sehe Datenverkehr von zahlreichen internen Endpunkten, bei denen ein RST oder FIN/ACK vom Endpunkt an einen Host im Internet gesendet wird. Diese Verbindungen sind mit einem transparenten Proxy verbunden, der diese nicht richtig verarbeitet. Anstatt sie zu verarbeiten, leitet er sie einfach an die ASA weiter. Die ASA hat diese Verbindungen noch nie zuvor beobachtet.
Die ASA (8.2) erkennt diesen Datenverkehr, generiert ein Ereignis 106015 (keine Verbindung) und verweigert den Datenverkehr. Genau das erwarte ich. Die ASA protokolliert jedoch auch ein Ereignis 106100, das besagt, dass der Datenverkehr zulässig ist. Es gibt einen ACE, der besagt: „IP Any Any Log zulassen“.
Anhand der Verkehrsaufzeichnungen wurde bestätigt, dass der Verkehr verweigert und nicht zugelassen wurde.
Warum tritt dann das Ereignis 106100 auf? Es hat uns völlig aus der Bahn geworfen, da es so aussieht, als hätte die ASA den Verkehr zugelassen, obwohl dies in Wirklichkeit nicht der Fall war. Wenn die ASA den Verkehr aufgrund fehlender bestehender Verbindung abbricht, warum sollte er dann in die Nähe der ACLs kommen, geschweige denn ein Genehmigungsprotokoll erstellen?
Hier sind die Protokollfragen:
: %ASA-6-106015: Deny TCP (no connection) from 10.x.x.x/62938 to 216.x.x.x/80 flags FIN ACK on interface inside
: %ASA-6-106100: access-list inside permitted tcp inside/10.x.x.x(62938) -> outside/216.x.x.x(80) hit-cnt 1 first hit [0x62c4905, 0x0]
Die Zeitstempel der beiden Ereignisse sind identisch.
Ich bin für jeden Rat dankbar, danke.
Bearbeiten: Klarstellung
gemäß diesem Cisco-Artikel zum Paketfluss.
http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113396-asa-packet-flow-00.html
„Wenn der Paketfluss nicht mit einer bestehenden Verbindung übereinstimmt, wird der TCP-Status überprüft. Wenn es sich um ein SYN- oder UDP-Paket handelt, wird der Verbindungszähler um eins erhöht und das Paket zur ACL-Prüfung gesendet. Wenn es sich nicht um ein SYN-Paket handelt, wird das Paket gelöscht und das Ereignis protokolliert.“
Aufgrund des beschriebenen Verhaltens bin ich mir immer noch nicht sicher, warum das Protokoll 106100 angezeigt wird, das angibt, dass der Datenverkehr zulässig ist.
Antwort1
Die ACL wird vor der Verbindungsverfolgung und NAT-Auswertung ausgewertet (prüfen Sie die Ausgabe der packet-tracerSimulation dieses Datenverkehrs), und da der Datenverkehr diese Regel erfüllt, erfolgt die Anmeldung gemäß Ihren Anweisungen in permit ip any any log.
Antwort2
Dies ist das erwartete Verhalten:
Wenn eine Zugriffslistenzeile das Protokollargument enthält, wird erwartet, dass diese Nachrichten-ID ausgelöst werden kann, weil ein nicht synchronisiertes Paket die ASA erreicht und von der Zugriffsliste ausgewertet wird. Wenn beispielsweise ein ACK-Paket auf der ASA empfangen wird (für das in der Verbindungstabelle keine TCP-Verbindung vorhanden ist), generiert die ASA möglicherweise die Nachricht 106100, die angibt, dass das Paket zulässig war. Das Paket wird jedoch später korrekt gelöscht, da keine passende Verbindung vorhanden ist.