использую Cisco ASA fw код 9.x.x для VPN Anyconnect. получаю большое количество попыток входа в систему через Anyconnect..
Пробовал блокировать по IP, это не долгосрочное решение. есть ли облачный поставщик WAF, которому я могу передать трафик моего ASA Anyconnect для блокировки и проверки, а затем к моему ASA.
Замена ASA на что-либо другое невозможна.
Нужны предложения.
Спасибо!
У вас есть сертификат на вашем фаерволе? Если вы настроите аутентификацию с помощью клиентского сертификата и AAA, то они даже не смогут дойти до входа, если у них нет вашего сертификата.
Посмотрите эту дорожку:
Я использую ASA дома и получаю удары, вероятно, от тех же парней, что и вы. Они бьют по LDAP-героям вроде ‘printer’, ‘scanner’, ‘admin’ и так далее, ищут слабый логин и плохие настройки разрешений. Единственный способ их реально заблокировать — настроить ACL на управляющей плоскости, как в приведенной выше дорожке, или использовать сертификатную аутентификацию для входа в VPN. Надеялся, что кому-то удастся предложить лучший способ. =)
Идея в том, чтобы перенести входы пользователей в профиль соединения, используя другой URL, отличный от стандартного, а затем установить для стандартного URL запрет всех соединений.
Поместите крупные блоки IP-адресов в групповой объект и примените его к управляющей плоскости. Не стремитесь добавлять адреса меньше /24.
Кто-нибудь может подсказать, как определить, что к Anyconnect пытаются подключиться с попытками входа? У меня нет настоящего SIEM, поэтому какие номера событий мне стоит отслеживать?
Жаль, что ASA/FTD не поддерживают GEO-блокировку для трафика в коробке. Может, поставить перед ним Palo Alto в прозрачном режиме? 
Я знаю, что GEO-блокировка не остановит всё, но если все ваши пользователи не в Индии или Китае, нет смысла разрешать этим блокам попытки соединения.
Мы используем radius с сертификатами. Тогда не остается варианта для сертификатов и radius при определении аутентификации.
Отличная статья, но у нас так не работает. Они пытаются ‘войти’ через Anyconnect, используя имя пользователя и пароль. Они не пытаются установить IPsec-туннели.
У нас есть сертификатная аутентификация с radius, но кажется, это не работает.
Это говорит само за себя, у нас есть люди с фамилией ‘Смith’. Они некоторое время получали блокировки.
Можешь привести пример, как запретить по умолчанию/URL?
Вы говорите, что FTD 7.x не поддерживает GEO-блокировки для Anyconnect VPN? Надеюсь, что да. Интересно, наконец, станет ли Anyconnect VPN в FTD таким же, как и на нативном коде ASA?
В профиле соединения DefaultWebVPNGroup убедитесь, что там нет псевдонима или групового URL, затем установите для связанной с ним групповой политики (обычно DfltGrpPolicy) 0 одновременных входов.
Также можно использовать DAP, чтобы установить действие ‘Прервать’ для атрибута AAA Cisco, Group Policy = DfltGrpPolicy (убедившись, что другие профили используют другую групповую политику).
Это ожидается в версии 7.7.
Вы все равно должны использовать flexconfig для создания политики контрольной плоскости, чтобы блокировать VPN. Это не поддерживает динамические списки.
Да, FTD AnyConnect сравним с ASA AnyConnect.
Удалось ли у вас решить эту проблему? Было бы прекрасно руководство, мне нужно лишь нащафтать, пока не перейдем к другому решению.