Problème
Un scanner de réseau a détecté des ports TCP ouverts sur le WAN entre les sites, les signalant sur des hôtes internes qui sont connus pour être inexistants.
Environnement
- Connexions TCP autorisées ou bloquées entre les sites.
- Accélération TCP sur SYN pour le trafic WAN activée au niveau du compte ou du site
Dépannage
Les connexions TCP entre les sites peuvent être affectées par le proxy TCP, comme mentionné dans Explaining the Cato TCP Acceleration and Best Practices. Le comportement dépendra de si la connexion TCP est autorisée ou bloquée par le pare-feu WAN et le mode de proxy TCP impliqué.
Examinez les événements CMA pour déterminer si la connexion TCP a été autorisée ou bloquée.
Connexions TCP autorisées
Le trafic WAN sur le Cato Cloud fonctionne avec deux modes de proxy TCP disponibles contrôlés par le paramètre Accélération TCP sur SYN pour le trafic WAN dans la page de configuration avancée (plus dans la section Solution).
Mode de proxy TCP complet de WAN
Ce mode initie le proxy TCP immédiatement après avoir reçu le premier paquet SYN pour chaque connexion. Il applique le proxy TCP à tout le trafic, indépendamment des paramètres d'accélération.
En conséquence, même si l'IP de destination ne répond pas avec SYN-ACK, le PoP complète le handshake en 3 étapes avec le scanner de réseau. Cela peut entraîner de faux positifs, où le scanner signale des ports TCP ouverts sur des hôtes inexistants.
Remarque : Le port TCP/443 utilisera toujours ce mode si l'inspection TLS est activée pour le compte.
Préservation de la négociation TCP WAN originale et retard du proxy TCP
Dans ce mode, le proxy TCP est retardé jusqu'à ce que le handshake TCP avec l'IP de destination soit terminé. Le proxy TCP n'est pas appliqué indépendamment des paramètres d'accélération.
Le handshake en 3 étapes avec le scanner ne se produit que si l'IP de destination répond avec un SYN-ACK.
Identifier le mode de proxy TCP
Le mode de proxy TCP actif peut être identifié directement à travers les événements du pare-feu WAN. 'Accélération TCP = 1' signifie que le Proxy TCP complet de WAN a été déclenché.
À partir de novembre 2023, le Proxy TCP complet de WAN est le mode par défaut pour les nouveaux comptes. Pour les comptes créés avant cette date, Preserving original WAN TCP negotiation est le mode par défaut.
Connexions TCP bloquées
Le trafic WAN bloqué sur le Cato Cloud utilisera le mode Proxy TCP complet de WAN, dans lequel le PoP complète le handshake en 3 étapes avec le scanner de réseau, mais aucun paquet SYN n'est envoyé à la destination. Cette approche est utilisée pour livrer une page de blocage à la source.
Solution
Pour les connexions TCP autorisées
Les administrateurs peuvent modifier le mode de proxy TCP WAN en ajustant le paramètre Accélération TCP sur SYN pour le trafic WAN dans la page de configuration avancée, applicable à la fois au niveau du compte et du site.
- Activé - Proxy TCP complet de WAN.
- Désactivé - Préservation de la négociation TCP WAN originale et retard du proxy TCP.
Le mode Proxy TCP complet de WAN est recommandé pour des performances optimales. Cependant, les administrateurs peuvent choisir de désactiver ce mode si nécessaire pour éviter les faux positifs pour les ports TCP ouverts.
Pour prévenir les faux positifs sur le port TCP/443, assurez-vous que l'Inspection TLS est désactivée. Alternativement, vous pouvez contacter Support Cato pour configurer le système afin de mettre sur liste blanche l'Adresse IP du scanner de réseau, empêchant ainsi efficacement les faux positifs.
Pour les connexions TCP bloquées
Le comportement du handshake en 3 étapes dans les connexions TCP bloquées est attendu sous le mode Proxy TCP complet de WAN. Cependant, si ce comportement pose problème, vous pouvez contacter le Support Cato pour configurer le système afin de supprimer le premier paquet TCP au lieu de compléter le handshake avec le scanner. Cela s'applique aux règles traditionnelles, comme expliqué dans Traditional vs. NG Firewall Rules.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.