Я не очень знаком с файлами журнала брандмауэра или многими терминами, связанными с подключениями к серверу. Рассматриваемые строки включают иностранный, неавторизованный IP-адрес, взаимодействующий с межсетевым экраном (Cisco ASA 5520) в течение нескольких месяцев. С чем обычно имеют дело следующие термины: FIN, Первичное закрытие при отказе, Тайм-аут SYN, Тайм-аут FIN, Teardown TCP-соединение, Deny tcp src? И действительно ли «Встроенное входящее / исходящее соединение» означает, что IP-адрес успешно прошел через брандмауэр, или это просто часть всей фазы «рукопожатия» соединений (я подозреваю, что последнее, но я бы хотел сейф)? Вот некоторые примеры строк из файла журнала:
Teardown TCP connection for outside:* to webservers:* duration * TCP FINs
Teardown TCP connection for outside:* to webservers:* duration * Failover primary close
Teardown TCP connection for outside:* to filtering:* duration * SYN Timeout
Built inbound TCP connection for outside:* to webservers:*
Built outbound TCP connection for outside:* to filtering:*
Built inbound TCP connection for outside:* to public:*
Deny tcp src outside:* dst public:* by access-group "outside"
Inbound TCP connection denied from * to * flags SYN on interface outside
Teardown TCP connection for outside:* to public:* duration * FIN Timeout
Если бы кто-нибудь мог указать мне правильное направление или оказать какую-либо помощь, я был бы очень признателен. Я просто ищу первый шаг, чтобы разобраться в этой вещи. Спасибо!
«Ваши вопросы должны иметь разумный масштаб. Если вы можете представить себе целую книгу, которая отвечает на ваш вопрос, вы задаете слишком много».
Приведенная ниже информация может помочь вам в этом, но понимание «почему» и наличие опыта в том, что происходит, будет иметь решающее значение для определения того, является ли трафик законным или нет.
Это сообщение, связанное с подключением. Это сообщение регистрируется при разрыве TCP-соединения. Сообщается продолжительность и количество байтов для сеанса. Если для подключения требуется аутентификация, имя пользователя указывается в последнем поле сообщения.
Ниже показано, как завершилось соединение. Типичные индикаторы состояния:
TCP FINs - удаленный сервер разорвал соединение (типично для HTTP- или FTP-соединений)
TCP Reset-I - клиент разорвал соединение (обычно при обмене SMTP или IMAP)
TCP Reset-O - сервер не прослушивал этот протокол в то время (обычно это выглядит как исходящий от SMTP-серверов)
- FIN Timeout - принудительное завершение через 15 секунд ожидания последнего ACK
- SYN Timeout - принудительное завершение через две минуты ожидания завершения трехстороннего рукопожатия
- Запретить - прекращено проверкой приложения
- SYN Control - инициирование обратного канала с неправильной стороны
- Uauth Deny - отклонено URL-фильтром
- Xlate Clear - удаление из командной строки (когда администратор отправляет команду "clear xlate")
- Неизвестно - ни один из вышеперечисленных индикаторов (но еще не отключен)