Tengo un problema en el que un Netscreen 25 se inunda con paquetes IKE de una fuente no relacionada, que a veces sobrecarga la capacidad de procesamiento del firewall. Veo miles de entradas de registro que indican que los mensajes IKE están siendo rechazados:
Rechazó un paquete IKE en ethernet1 de xxxx: 500 a aaaa: 500 con cookies c423bfd6ca96608b y 0000000000000000 porque llegó un paquete inicial de Fase 1 desde una puerta de enlace de pares no reconocida.
¿Hay alguna forma de filtrar el plano de control del firewall para que estos paquetes se caigan en el borde de la interfaz en lugar de procesarse y rechazarse? Esto se haría con una interfaz ACL simple en un enrutador Cisco o ASA, pero no estoy seguro de cómo hacerlo en ScreenOS.
Miles de entradas sobre cuánto tiempo? La "puerta de enlace de pares no reconocida" significa que seguro, alguien podría estar haciendo nada malo, pero lo más probable es que tenga una entrada de puerta de enlace manual en su extremo que está mal, o una entrada de VPN vinculada a la interfaz incorrecta, o podría muy bien sea que alguien escribió su dirección al azar sin razón alguna, ya que a veces ocurre un accidente. Estás recibiendo un paquete IKE que se ve malformado. Esto no debería sobrecargar un firewall. Ni por asomo. Sin embargo, volviendo a la pregunta 1, ¿cuántas entradas durante cuánto tiempo y de dónde?
—
Thomas Cannon