A ACL está sendo avaliada antes do rastreamento da conexão e da avaliação NAT (verifique a saída de packet-tracer
que simulam esse tráfego) e, como o tráfego atinge essa regra, ele registra como você instruiu em permit ip any any log
.
Estou vendo o tráfego de vários endpoints internos nos quais um RST ou FIN / ACK é enviado pelo endpoint para um host na Internet. Essas conexões estão relacionadas a um proxy transparente que não as manipula corretamente. Em vez de lidar com eles, simplesmente os encaminha para o ASA. O ASA nunca observou essas conexões antes.
O ASA (8.2) vê esse tráfego e gera um evento 106015 (sem conexão) e nega o tráfego. Isso é exatamente o que eu espero. No entanto, o ASA também registrará um evento 106100 que declara que o tráfego é permitido. Existe uma ACE que declara "permitir ip em qualquer log".
Com base nas capturas de tráfego, foi confirmado que o tráfego foi negado e não permitido.
Por que o evento 106100 está acontecendo? É completamente jogado para nós por um loop, pois parece que o ASA permitiu o tráfego quando na verdade não o fez. Se o ASA reduzir o tráfego devido à falta de conexão existente, por que ele iria para qualquer lugar perto das ACLs, muito menos para gerar um registro de permissão?
Aqui estão os registros das perguntas:
: %ASA-6-106015: Deny TCP (no connection) from 10.x.x.x/62938 to 216.x.x.x/80 flags FIN ACK on interface inside
: %ASA-6-106100: access-list inside permitted tcp inside/10.x.x.x(62938) -> outside/216.x.x.x(80) hit-cnt 1 first hit [0x62c4905, 0x0]
Os timestamps dos dois eventos são idênticos.
Qualquer conselho seria apreciado, obrigado.
Editar: esclarecimentos
De acordo com este artigo da Cisco sobre o fluxo de pacotes.
link
"Se o fluxo de pacotes não corresponder a uma conexão existente, o estado TCP será verificado. Se for um pacote SYN ou um pacote UDP, o contador de conexão será incrementado em um e o pacote será enviado para uma verificação de ACL. não é um pacote SYN, o pacote é descartado e o evento é registrado. "
Com base nesse comportamento descrito, ainda não sei ao certo porque estou vendo o log do 106100 indicando que o tráfego é permitido.
A ACL está sendo avaliada antes do rastreamento da conexão e da avaliação NAT (verifique a saída de packet-tracer
que simulam esse tráfego) e, como o tráfego atinge essa regra, ele registra como você instruiu em permit ip any any log
.