Anticisco
http://www.anticisco.ru/forum/

cisco ASA with Firepower - Rate-Based Attack Prevention
http://www.anticisco.ru/forum/viewtopic.php?f=2&t=11353
Страница 1 из 1

Автор:  cosmonaft [ 26 июн 2020, 15:02 ]
Заголовок сообщения:  cisco ASA with Firepower - Rate-Based Attack Prevention

Коллеги, всех приветствую.
Помогите разобраться.
Есть ASA5516X с модулем Firepower. Работает именно в таком режиме ASA OS плюс модуль. Модуль в inline режиме.
Задача бороться с брутфорс атаками на web сервер, который находится внутри периметра.
То есть есть WEB сервер и случается так, что к нему подбирают пароль с очень высокой частотой. Сервер находится за ASA.
Я понимаю, что можно решить задачу средствами WEB сервера, но в моем случае - это не вариант. Задача стоит уменьшить импакт средствами именно ASA или Firepower.

Я думаю, здесь есть специалисты, которые уже решали такую задачу. Помогите советом, поделитесь опытом пожалуйста.

Я смотрел в сторону Firepower и Network Analise Policy, там есть препроцессор Rate-Based Attack Prevention.
С помощью него можно решить две задачи:
1) Защитить цель от SYN-flood атаки
2) Защитить от Simultaneous Connections
Я это настроил в режиме "создавать события" не блокировать. И понаблюдал. Покрутил timeout-ы, количество tcp, threshold-ы.

Как-то это совсем не то. Может я и ошибаюсь или не правильно настраиваю.

Хочется реализовать так, чтобы если за 10 сек. поступило 1000 запросов на логин, то заблокировать трафик от источника на 180 сек.

Страница 1 из 1 Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/