Problema
Un escáner de red ha detectado puertos TCP abiertos a través de la WAN entre sitios, informándolos en hosts internos que se sabe que no existen.
Entorno
- Conexiones TCP permitidas o bloqueadas entre sitios.
- Aceleración TCP en SYN para tráfico WAN habilitada a nivel de cuenta o sitio
Solución de problemas
Las conexiones TCP entre sitios pueden verse afectadas por el proxy TCP, como se menciona en Explicación de la Aceleración TCP de Cato y Mejores Prácticas. El comportamiento dependerá de si la conexión TCP está permitida o bloqueada por el Firewall WAN y el modo de proxy TCP involucrado.
Revise los eventos CMA para determinar si la conexión TCP fue permitida o bloqueada.
Conexiones TCP Permitidas
El tráfico WAN a través de la Cato Cloud opera con dos modos de proxy TCP disponibles controlados por la configuración Aceleración TCP en SYN para Tráfico WAN en la página de Configuración Avanzada (más en la sección Solución).
Modo de proxy TCP completo de WAN
Este modo inicia el proxy TCP inmediatamente al recibir el primer paquete SYN para cada conexión. Aplica el proxy TCP a todo el tráfico, independientemente de las configuraciones de aceleración.
Como resultado, incluso si la IP de destino no responde con SYN-ACK, el PoP completa el handshake de 3 vías con el escáner de red. Esto puede llevar a falsos positivos, donde el escáner informe puertos TCP abiertos en hosts inexistentes.
Nota: El puerto TCP/443 siempre utilizará este modo si la inspección TLS está habilitada para la cuenta.
Preservando la negociación de TCP WAN original y demorando el proxy TCP
En este modo, el proxy TCP se demora hasta después de que el handshake TCP con la IP de destino esté completo. El proxy TCP no se aplica independientemente de las configuraciones de aceleración.
El handshake de 3 vías con el escáner solo ocurre si la IP de destino responde con un SYN-ACK.
Identificando el Modo de Proxy TCP
El modo de proxy TCP activo puede identificarse directamente a través de eventos del Firewall WAN. 'Aceleración TCP = 1' significa que se activó el Proxy TCP completo de WAN.
A partir de noviembre de 2023, el Proxy TCP completo de WAN es el modo predeterminado para nuevas cuentas. Para cuentas creadas antes de esta fecha, Preservar la negociación TCP WAN original es el modo predeterminado.
Conexiones TCP Bloqueadas
El tráfico WAN bloqueado sobre la Cato Cloud utilizará el modo Proxy TCP completo de WAN, en el cual el PoP completa el handshake de 3 vías con el escáner de red, pero no se envía un paquete SYN al destino. Este enfoque se utiliza para entregar una página de bloqueo a la fuente.
Solución
Para Conexiones TCP Permitidas
Los administradores pueden modificar el modo de Proxy TCP WAN ajustando la configuración Aceleración TCP en SYN para Tráfico WAN dentro de la página de Configuración Avanzada, aplicable tanto a nivel cuenta como sitio.
- On - Proxy TCP completo de WAN.
- Off/Disabled - Preservando la negociación de TCP WAN original y demorando el proxy TCP.
El modo Proxy TCP completo de WAN es recomendado para un rendimiento óptimo. Sin embargo, los administradores pueden optar por deshabilitar este modo según sea necesario para evitar falsos positivos para puertos TCP abiertos.
Para prevenir falsos positivos en el puerto TCP/443, asegúrate de que la inspección TLS esté deshabilitada. Alternativamente, puedes contactar al Soporte de Cato para configurar el sistema y permitir la dirección IP del escaneo de red, previniendo efectivamente falsos positivos.
Para Conexiones TCP Bloqueadas
El comportamiento del handshake de 3 vías en las conexiones TCP bloqueadas se espera bajo el modo Proxy TCP completo de WAN. Sin embargo, si este comportamiento es problemático, puede contactar al Soporte de Cato para configurar el sistema para descartar el primer paquete TCP en lugar de completar el handshake con el escáner. Esto se aplica a reglas tradicionales, como se explica en Reglas Tradicionales vs. Reglas de Firewall NG.
0 comentarios
Inicie sesión para dejar un comentario.