网络扫描报告意外开放TCP端口

问题

网络扫描器已检测到站点之间WAN上的开放TCP端口,并报告在已知不存在的内部主机上。

环境

  • 站点之间允许或阻止TCP连接。
  • 在账户或站点级别启用WAN流量的SYN上的TCP加速功能

故障排除

正如Cato TCP加速和最佳实践中所述,TCP代理可能影响站点之间的TCP连接。 行为将取决于WAN防火墙是否允许或阻止TCP连接以及相关的TCP代理模式。

查看CMA事件以确定TCP连接是否被允许或阻止。

允许TCP连接

Cato Cloud上的WAN流量在高级配置页面中的为WAN流量设置的SYN上的TCP加速设置控制下,有两个可用的TCP代理模式运行(详细信息在解决方案部分)。

全WAN TCP代理模式

该模式在接收到每个连接的第一个SYN数据包后立即启动TCP代理。 它在所有流量上强制执行TCP代理,而不考虑加速设置。
因此,即使目标IP不响应SYN-ACK,PoP仍会与网络扫描器完成三次握手。 这可能导致误报,即扫描器在不存在的主机上报告开放TCP端口。

注意: 如果为账户启用了TLS检查,端口TCP/443将始终使用此模式。

保留原始WAN TCP协商并延迟TCP代理

在此模式下,TCP代理延迟到与目标IP完成TCP握手后。 无论加速设置如何,都不强制执行TCP代理

只有当目标IP响应SYN-ACK时才会与扫描器进行三次握手。

识别TCP代理模式

可以通过WAN防火墙事件直接识别活动的TCP代理模式。 'TCP加速=1'表示已触发全WAN TCP代理

从2023年11月开始,全WAN TCP代理是新账户的默认模式。 对于在此日期之前创建的账户,保留原始WAN TCP协商是默认模式。

 

已阻止的TCP连接

Cato Cloud上已阻止的WAN流量将使用全WAN TCP代理模式,其中PoP将与网络扫描器完成三次握手,但不会向目标发送SYN数据包。 这种方法用于向来源传达阻止页面。

 

解决方案

对于允许的TCP连接

管理员可以通过在高级配置页面中调整为WAN流量设置的SYN上的TCP加速设置来修改WAN TCP代理模式,适用于账户站点级别。

  • 开启 - 全WAN TCP代理。
  • 关闭/已禁用 - 保留原始WAN TCP协商并延迟TCP代理。

建议使用全WAN TCP代理模式以获得最佳性能。 然而,管理员可以选择在需要时禁用此模式,以避免开放TCP端口的误报。

为防止端口TCP/443的误报,请确保TLS检查已禁用。 或者,您可以联系Cato支持来配置系统,将网络扫描仪的IP地址列入白名单,从而有效防止误报。

对于已阻止的TCP连接

在已阻止的TCP连接中,三次握手行为在全WAN TCP代理模式下是预期的。 但是,如果此行为有问题,您可以联系Cato支持以配置系统以丢弃第一个TCP数据包而不是与扫描器完成握手。 这适用于传统规则,如传统与NG防火墙规则中所述。

这篇文章有帮助吗?

2 人中有 2 人觉得有帮助

0 条评论