cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
1493
Visitas
5
ÚTIL
5
Respuestas

Ataques contra ASA 5520 - y ssh

jorge.zamorano1
Level 1
Level 1

Hola:

Tengo un proyecto personal de tuneles VPN (ASA 5520) que se validan contra un server con LDAP , esta en fase de pruebas, pero viendo mi log en ASDM veo que he tenido muchos intentos de conexión  contra el ASA y por SSH que son rechazados por no estar los usuarios en la DB. La gran mayoría no tiene ip de origen y son intentos  supongo de diccionario con  intentos de Loguin con usuario, user, root, ftp , etc. Etc  hasta 873 veces rechazados en unas 7 horas.

Mi pregunta es ¿ SI la IP  es dinámica y la tengo con un no -IP   xxx.ddns.net como se intenta atacar ya que no lo tengo publicado ni hay servicios aun trabajando. Solo usuarios de prueba en el LDAP.??

 

Que puede estar pasando?? Supongo q sera un programa malicioso ya que se intenta una taque de penetración a mi red. o que datos puedo buscar ????

gracias de antemano

 

6 Mar 16 2018 20:21:09           AAA user authentication Rejected : reason = Invalid password : local database : user = root
1 SOLUCIÓN ACEPTADA

Soluciones aceptadas

#Mat
Level 6
Level 6
Hola, podrias revisar la opcion threat-detection y shun. De esta mañana podrias armar una proteccion dinamica.

https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113685-asa-threat-detection.html

Saludos.-
.

Ver la solución en mensaje original publicado

5 RESPUESTAS 5

#Mat
Level 6
Level 6
Hola, podrias revisar la opcion threat-detection y shun. De esta mañana podrias armar una proteccion dinamica.

https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113685-asa-threat-detection.html

Saludos.-
.

Gracias, lo estoy implementando, aunque aun no se el motivo o el origen del ataque,  ahora no tengo indicios de nuevos ataque, saludos

Inge buenas tardes, cual fue el metodo que usd uso ?

 

Si te refieres al método para inutilizar los nitentos de conexión, "fue" denegar el  origen de las IP ademas de configurar threat-detection .

Un saludo

Exactamente, actualmente estoy tratando de evitar los ataques de fuerza bruta, utilice el threat-detection pero no me funciono. Algun comando en especifico que tengas para ver si lo realice bien ?

Saludos