Threat detection, remote access
För att skydda från botar och intrångsförsök kan man använda sig av threat protection. Threat protection placerar IP-adresser i en shun-lista vid för många inloggningsförsök och/eller för många initationer av klient-tunnel.
Det kräver att man är på rätt ASA-kod:
9.16 version train -> supported from 9.16(4)67 and newer versions within this specific train.
9.18 version train -> supported from 9.18(4)40 and newer versions within this specific train.
9.20 version train -> supported from 9.20(3) and newer versions within this specific train.
9.22 version train -> supported from 9.22(1.1) and any newer versions.Konf:
threat-detection service invalid-vpn-access
threat-detection service remote-access-authentication hold-down 10 threshold 20
threat-detection service remote-access-client-initiations hold-down 10 threshold 30Validering:
show threat-detection service
show threat-detection service entries
show threat-detection service remote-access-authentication entries
show shun x
no shun x = ta bort shun för viss IP
clear shun = ta bort shun för samtligaOm man har PAT på vägen till en vpn-ASA kan det bli problem. Det går inte att rensa en specifik entry som är i recording, det går att rensa samtliga men inte specifik. Jag har ful-löst det här med ett EEM skript som rensar shun-listan var femte sekund:
event manager applet Clear_Shun_PATIP
description Clear PAT IP every 5 seconds
event timer watchdog time 5
event none
action 1 cli command "no shun 1.3.3.7"
output none
Man kan också vilja rensa hela shun-listan varje vecka, då den ej rensas automatiskt.
event manager applet Clear_Shun_Weekly
description Clear shunned IPs every 7 days
event none
event timer watchdog time 604800
action 1 cli command "clear shun"
output none