ASA, Anyconnect и Threat Detection

Threat Detection для Remote Access VPN (RA VPN) позволяют бороться с атаками DDOS, Brute-Force.
Threat Detection автоматом блокируют ip адреса, трафик от которых превышает заданные лимиты:

• Повторяющиеся неудачные попытки authentication
• Client initiation attacks - атакующий начинает, но не заканчивает попытку подключения. И так несколько раз подряд
• Повторяющиеся попытки обращений к несуществующим сервисам VPN. Например, подключения к несуществующим tunnel groups.

В случае включения Threat Detection, ASA автоматом заблокирует (shun) IP адрес хоста, достигнувшего определенного предела.
По умолчанию все сервисы Threat Detection отключены.

• Повторяющиеся неудачные попытки authentication
  

  threat-detection service remote-access-authentication hold-down 15 threshold 5

  hold-down - время за которое регистрируются попытки подключений злоумышленника. У нас выставлено 15 мин или менее.
  threshold - количество попыток подключений, после которых IP будет забанен.

• Client initiation attacks
  

  threat-detection service remote-access-client-initiations hold-down 15 threshold 5

  hold-down - время за которое регистрируются попытки подключений злоумышленника. У нас выставлено 15 мин или менее.
  threshold - количество попыток подключений, после которых IP будет забанен.

• Повторяющиеся попытки обращений к несуществующим сервисам VPN
  

  threat-detection service invalid-vpn-access

Проверка:

show threat-detection shun

Очистить shun:

clear threat-detection shun