問題
ネットワークスキャナーがサイト間のWANでオープンなTCPポートを検出し、存在しないとされる内部ホストで報告しています。
環境
- サイト間の許可またはブロックされたTCP接続。
- アカウントまたはサイトレベルで有効化されたWANトラフィックのSYNにおけるTCP加速
トラブルシューティング
サイト間のTCP接続は、Cato TCP加速とベストプラクティスの説明で述べられているように、TCPプロキシによって影響を受ける可能性があります。 動作は、WANファイアウォールによってTCP接続が許可またはブロックされるかどうかと、関連するTCPプロキシモードに依存します。
TCP接続が許可またはブロックされたかどうかを判断するためにCMAイベントを確認してください。
許可されたTCP接続
Cato Cloud上のWANトラフィックは、高度な設定ページにあるWANトラフィック用のSYNでのTCP加速設定によって制御される2つの利用可能なTCPプロキシモードで動作します(詳細はソリューションセクション)。
完全なWAN TCPプロキシモード
このモードでは、各接続の最初のSYNパケットを受信するとすぐにTCPプロキシが開始されます。 これは加速設定に関係なく、すべてのトラフィックにTCPプロキシを強制します。
その結果、宛先IPがSYN-ACKで応答しなくても、PoPはネットワークスキャナーとの3ウェイハンドシェイクを完了します。 これにより、スキャナーが存在しないホスト上のオープンなTCPポートを報告する偽陽性が発生する可能性があります。
注: アカウントに対してTLSインスペクションが有効になっている場合、ポートTCP/443は常にこのモードを使用します。
元のWAN TCP交渉の維持とTCPプロキシの遅延
このモードでは、宛先IPとのTCPハンドシェイクが完了するまでTCPプロキシが遅延されます。 加速設定に関係なく、TCPプロキシは適用されません。
スキャナーとの3ウェイハンドシェイクは、宛先IPがSYN-ACKで応答した場合にのみ発生します。
TCPプロキシモードの特定
アクティブなTCPプロキシモードは、WANファイアウォールイベントを直接通じて特定できます。 'TCP加速 = 1' は完全なWAN TCPプロキシがトリガーされたことを意味します。
2023年11月からは、フルWAN TCPプロキシが新規アカウントのデフォルトモードになります。 この日付より前に作成されたアカウントでは、オリジナルのWAN TCPネゴシエーションを保持するがデフォルトモードです。
ブロックされたTCP接続
ブロックされたWANトラフィックがCatoクラウドを介してフルWAN TCPプロキシモードを使用します。このモードでは、PoPがネットワークスキャナーと3ウェイハンドシェイクを完了しますが、宛先へSYNパケットは送信されません。 この方法は、ソースにブロックページを配信するために使用されます。
ソリューション
許可されたTCP接続の場合
管理者は、高度な設定ページ内のWANトラフィックにおけるSYNでのTCP加速の設定を調整することでWAN TCPプロキシモードを変更できます。この設定はアカウント及びサイトレベルで適用可能です。
- オン - フルWAN TCPプロキシ。
- オフ/無効化 - オリジナルのWAN TCPネゴシエーションを保存し、TCPプロキシを遅延させます。
フルWAN TCPプロキシモードは最適なパフォーマンスを達成するために推奨されます。 しかし、開いているTCPポートに対する偽陽性を避けるために、このモードを必要に応じて無効化することもできます。
偽陽性を防ぐために、ポートTCP/443でTLSインスペクションが無効になっていることを確認してください。 別の方法として、Catoサポートに連絡して、ネットワークスキャナーのIPアドレスをホワイトリストに登録するようにシステムを設定することで、偽陽性を効果的に防ぐことができます。
ブロックされたTCP接続の場合
ブロックされたTCP接続における3ウェイハンドシェイクの動作は、フルWAN TCPプロキシモードで期待されるものです。 しかし、この動作が問題となる場合、Catoサポートに連絡して、スキャナーとのハンドシェイクを完了する代わりに、最初のTCPパケットをドロップするようにシステムを設定することができます。 これは、Traditional vs. NG Firewall Rulesで説明されているように、従来のルールに適用されます。
0件のコメント
サインインしてコメントを残してください。