Problema
Um varredura de rede detectou portas TCP abertas na WAN entre sites, relatando-as em hosts internos conhecidos por serem inexistentes.
Ambiente
- Conexões TCP permitidas ou bloqueadas entre sites.
- Aceleração TCP no SYN para tráfego WAN ativado no nível de conta ou site
Solução de Problemas
Conexões TCP entre sites podem ser afetadas pelo proxy TCP, como mencionado em Explicação da Aceleração TCP da Cato e Melhores Práticas. O comportamento dependerá de se a conexão TCP é permitida ou bloqueada pelo Firewall WAN e o modo de proxy TCP envolvido.
Revise os eventos CMA para determinar se a conexão TCP foi permitida ou bloqueada.
Conexões TCP Permitidas
O tráfego WAN pelo Cato Cloud opera com dois modos de proxy TCP disponíveis controlados pela configuração Aceleração TCP no SYN para Tráfego WAN na página de Configuração Avançada (mais na seção Solução).
Modo Proxy TCP Completo de WAN
Este modo inicia o proxy TCP imediatamente após receber o primeiro pacote SYN para cada conexão. Ele impõe o proxy TCP ao todo o tráfego, independente das configurações de aceleração.
Como resultado, mesmo que o IP de destino não responda com SYN-ACK, o PoP completa o handshake de 3 vias com o varredura de rede. Isso pode levar a falsos positivos, onde o scanner relata portas TCP abertas em hosts inexistentes.
Nota: A Porta TCP/443 sempre usará este modo se a inspeção TLS estiver ativada para a conta.
Preservando a negociação TCP WAN original e atrasando o proxy TCP
Nesse modo, o proxy TCP é atrasado até que o handshake TCP com o IP de destino esteja completo. O proxy TCP não é imposto, independentemente das configurações de aceleração.
O handshake de 3 vias com o scanner só ocorre se o IP de destino responder com um SYN-ACK.
Identificando o Modo de Proxy TCP
O modo de proxy TCP ativo pode ser identificado diretamente através dos eventos do Firewall WAN. 'Aceleração TCP = 1' significa que o Proxy TCP Completo de WAN foi acionado.
A partir de novembro de 2023, o Proxy TCP Completo de WAN é o modo padrão para novas contas. Para contas criadas antes desta data, Preservar a negociação TCP WAN original é o modo padrão.
Conexões TCP Bloqueadas
O tráfego WAN bloqueado através do Cato Cloud usará o Modo Proxy TCP Completo de WAN, no qual o PoP completa o handshake de 3 vias com a Varredura de Rede, mas nenhum pacote SYN é enviado ao Destino. Este método é utilizado para entregar uma página de bloqueio à fonte.
Solução
Para Conexões TCP Permitidas
Os administradores podem modificar o modo de Proxy TCP WAN ajustando a configuração Aceleração TCP no SYN para Tráfego WAN dentro da página de Configuração Avançada, aplicável tanto ao nível de conta quanto ao nível de site.
- Ligado - Proxy TCP Completo de WAN.
- Desligado/Desativado - Preservando a negociação TCP WAN original e atrasando o proxy TCP.
O modo Proxy TCP Completo de WAN é recomendado para desempenho ótimo. No entanto, os administradores podem optar por desabilitar este modo conforme necessário para evitar falsos positivos para portas TCP abertas.
Para prevenir falsos positivos na porta TCP/443, certifique-se de que a Inspeção TLS esteja desativada. Alternativamente, você pode contatar Suporte da Cato para configurar o sistema para incluir o endereço IP do scanner de rede na lista de permissões, efetivamente prevenindo falsos positivos.
Para Conexões TCP Bloqueadas
O comportamento do handshake de 3 vias em conexões TCP bloqueadas é esperado sob o modo Proxy TCP Completo de WAN. No entanto, se esse comportamento for problemático, você pode entrar em contato com o Suporte Cato para configurar o sistema para descartar o primeiro pacote TCP em vez de completar o handshake com o scanner. Isso se aplica a regras tradicionais, conforme explicado em Regras Tradicionais vs. NG Firewall.
0 comentário
Por favor, entre para comentar.