Сообщения без ответов | Активные темы Текущее время: 29 мар 2024, 11:52



Ответить на тему  [ 1 сообщение ] 
cisco ASA with Firepower - Rate-Based Attack Prevention 
Автор Сообщение
Аватара пользователя

Зарегистрирован: 25 апр 2013, 12:36
Сообщения: 120
Откуда: Мск. обл.
Коллеги, всех приветствую.
Помогите разобраться.
Есть ASA5516X с модулем Firepower. Работает именно в таком режиме ASA OS плюс модуль. Модуль в inline режиме.
Задача бороться с брутфорс атаками на web сервер, который находится внутри периметра.
То есть есть WEB сервер и случается так, что к нему подбирают пароль с очень высокой частотой. Сервер находится за ASA.
Я понимаю, что можно решить задачу средствами WEB сервера, но в моем случае - это не вариант. Задача стоит уменьшить импакт средствами именно ASA или Firepower.

Я думаю, здесь есть специалисты, которые уже решали такую задачу. Помогите советом, поделитесь опытом пожалуйста.

Я смотрел в сторону Firepower и Network Analise Policy, там есть препроцессор Rate-Based Attack Prevention.
С помощью него можно решить две задачи:
1) Защитить цель от SYN-flood атаки
2) Защитить от Simultaneous Connections
Я это настроил в режиме "создавать события" не блокировать. И понаблюдал. Покрутил timeout-ы, количество tcp, threshold-ы.

Как-то это совсем не то. Может я и ошибаюсь или не правильно настраиваю.

Хочется реализовать так, чтобы если за 10 сек. поступило 1000 запросов на логин, то заблокировать трафик от источника на 180 сек.


26 июн 2020, 15:02
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ 1 сообщение ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 91


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB