Cisco ASA 5505: Constantemente escanean la interfaz WAN

sociedadportuaria · ‎05-15-2012

Que se debe hacer cuando se recibe constantemente escaneo de diversas direcciones ip?

Cual seria la mejor practica a tomar?

Gracias.

Jose Luis Diaz Ortega
Ing de Sistemas.
Administrador de redes.

Jose Luis Diaz Ortega Ingeniero de Sistemas. Administrador de redes.

Armando Yesua Garcia Calderon · ‎05-29-2012

hola que tal,

te refieres a ataques tipo NMAP escaneando puertos? has podido identificar mas detalles?.

generalmente estos ataques provienen de diferentes IPs pero de un mismo rango,

si son un rango de IPs puede bloquar el rango.

tambien puedes utilizar en el ASA Threat-detection

ejemplo

threat-detection rate syn-attack rate-interval 500 average-rate 30 burst-rate 45

aqui puedes encontrar mas informacion de este feature

http://www.cisco.com/en/US/docs/security/asa/asa82/configuration/guide/conns_threat.pdf

saludos

Armando

sociedadportuaria · ‎06-01-2012

Buenas Armando.

Si efectivamente es un escaneo de puerto tipo NMAP la mayoria de las direcciones ips pertenecen casi a un mismo rango pero tambien sale muchas de rangos diferentes.

ok hare la prueba con ese comando.

Jose Luis Diaz Ortega
Ing de Sistemas.
Administrador de redes.

Jose Luis Diaz Ortega Ingeniero de Sistemas. Administrador de redes.

emilio1973 · ‎06-14-2012

Buenos días,

tengo un problema parecido y no se como averigurar las IPs desde las que se esta realizando el escaneo. ¿Alguien puede decirmelo?

Muchas gracias

Un saludo