문제
네트워크 스캐너가 사이트 사이의 WAN에서 열린 TCP 포트를 감지하여 존재하지 않는 내부 호스트에 보고하고 있습니다.
환경
- 사이트 간 허용되거나 차단된 TCP 연결.
- 계정 또는 사이트 수준에서 WAN 트래픽에 대한 SYN의 TCP 가속이 활성화됨
문제 해결
Cato TCP 가속 및 모범 사례 설명에서 언급한 대로 사이트 간 TCP 연결은 TCP 프록시에 의해 영향을 받을 수 있습니다. 동작은 TCP 연결이 WAN 방화벽에 의해 허용되거나 차단되는지, 그리고 관련된 TCP 프록시 모드에 따라 달라집니다.
TCP 연결이 허용되었는지 차단되었는지를 확인하기 위해 CMA 이벤트를 검토하세요.
허용된 TCP 연결
Cato Cloud상의 WAN 트래픽은 고급 구성 페이지의 WAN 트래픽에 대한 SYN의 TCP 가속 설정으로 제어되는 두 가지 사용 가능한 TCP 프록시 모드로 동작합니다 (자세한 내용은 솔루션 섹션 참조).
전체 WAN TCP 프록시 모드
이 모드는 각 연결의 첫 번째 SYN 패킷을 수신하자마자 TCP 프록시를 시작합니다. 모든 트래픽에 대해 TCP 프록시를 강제하며, 가속화 설정과 상관없이 동작합니다.
결과적으로, 목적지 IP가 SYN-ACK으로 응답하지 않아도 PoP는 네트워크 스캐너와 3자 악수 과정을 완성합니다. 이는 오탐으로 이어질 수 있으며, 스캐너가 존재하지 않는 호스트에서 열린 TCP 포트를 보고합니다.
참고: 계정에 대해 TLS 검사가 활성화된 경우 포트 TCP/443은 항상 이 모드를 사용합니다.
원래 WAN TCP 협상을 유지하고 TCP 프록시 지연시키기
이 모드에서는 목적지 IP와의 TCP 핸드셰이크가 완료된 이후에 TCP 프록시가 지연됩니다. 가속화 설정과 무관하게 TCP 프록시는 강제되지 않습니다.
목적지 IP가 SYN-ACK으로 응답할 경우에만 스캐너와의 3자 악수 과정이 발생합니다.
TCP 프록시 모드 식별
활성 TCP 프록시 모드는 WAN 방화벽 이벤트를 통해 직접 확인할 수 있습니다. 'TCP 가속화 = 1'은 전체 WAN TCP 프록시가 트리거되었음을 의미합니다.
2023년 11월부터, 전체 WAN TCP 프록시가 신규 계정의 기본 모드입니다. 이 날짜 이전에 생성된 계정에 대해서는 원래 WAN TCP 협상 유지가 기본 모드입니다.
차단된 TCP 연결
차단된 Cato Cloud의 WAN 트래픽은 전체 WAN TCP 프록시 모드를 사용하며, 이 모드에서 PoP는 네트워크 스캐너와 3자 악수 과정을 완료하지만, 목적지로의 SYN 패킷은 보내지 않습니다. 이 접근법은 소스에 차단 페이지를 전달하기 위해 사용됩니다.
솔루션
허용된 TCP 연결에 대하여
관리자는 고급 구성 페이지에서 WAN 트래픽에 대한 SYN의 TCP 가속 설정을 조정하여 WAN TCP 프록시 모드를 수정할 수 있으며, 이는 계정 및 사이트 수준 모두에 적용됩니다.
- 켜기 - 전체 WAN TCP 프록시.
- 꺼짐/비활성화 - 원래의 WAN TCP 협상을 보존하고 TCP 프록시를 지연시킵니다.
전체 WAN TCP 프록시 모드는 최적의 성능을 위해 권장됩니다. 그러나, 관리자는 열린 TCP 포트에 대한 오탐을 피하기 위해 필요에 따라 이 모드를 비활성화할 수 있습니다.
포트 TCP/443에서 오탐을 방지하려면 TLS 검사가 비활성화됨을 확인하세요. 대안으로, 네트워크 스캐너의 IP 주소를 화이트리스트에 추가하도록 시스템을 구성하려면 Cato 지원에 문의하십시오. 이렇게 하면 오탐을 효과적으로 방지할 수 있습니다.
차단된 TCP 연결
차단된 TCP 연결에서 3-way 핸드셰이크 동작은 전체 WAN TCP 프록시 모드에서 예상됩니다. 그러나 이 동작에 문제가 있는 경우 카토 지원에 문의하여 스캐너와의 핸드셰이크를 완료하는 대신 첫 번째 TCP 패킷을 삭제하도록 시스템을 구성할 수 있습니다. 이는 Traditional vs. NG Firewall Rules에 설명된 대로 전통적인 규칙에 적용됩니다.
댓글 0개
댓글을 남기려면 로그인하세요.