Est-il possible d'empêcher IKE d'atteindre le plan de contrôle d'un Netscreen?

J'ai un problème où un Netscreen 25 est inondé de paquets IKE provenant d'une source non liée, ce qui surcharge parfois la capacité de traitement du pare-feu. Je vois des milliers d'entrées de journal indiquant que les messages IKE sont rejetés:

Rejeté un paquet IKE sur ethernet1 de xxxx: 500 à yyyy: 500 avec les cookies c423bfd6ca96608b et 0000000000000000 car un paquet initial de phase 1 est arrivé d'une passerelle homologue non reconnue.

Existe-t-il un moyen de filtrer le plan de contrôle du pare-feu afin que ces paquets soient déposés au bord de l'interface plutôt que traités et rejetés? Cela se ferait avec une simple interface ACL sur un routeur Cisco ou ASA, mais je ne sais pas comment procéder à ce sujet sur ScreenOS.

Cela devrait être détecté par le groupe dos-protection-par défaut. Non? Avez-vous, peut-être, «unset ike dos-protection»?

Qu'est-ce que «montrer comme détection de flux suspect-contrôle»?

Vous pouvez essayer de terminer les tunnels VPN sur l'adresse IP d'une interface de bouclage et de créer une règle de stratégie pour spécifier quelles sources sont (non) autorisées à contacter ce point de terminaison VPN. Si l'interface de bouclage se trouve dans la même zone que l'interface recevant le trafic, activez "bloquer le trafic intra-zone" pour cette zone et spécifiez une règle pour autoriser vos VPN.

Réponse courte, non.

Réponse longue, non et ..

Fondamentalement, les écrans nets écouteront tous les paquets IKE arrivant sur le périphérique et tenteront de les traiter. Bien que ce soit un vecteur d'attaques, je n'ai pas vu de genévrier changer ce comportement.

À moins de remplir votre journal des événements, cela ne devrait pas faire grand-chose en supposant qu'il s'agit d'une seule source qui tente de vous opposer un tunnel VPN. Si vous pensez que cela a un impact sur vos performances, vous pouvez cocher la case «obtenir tous les détails du processeur» et voir l'utilisation du processeur de la tâche / flux.