Wie ermittle ich auf der Cisco ASA den Verursacher einer Scanning-Attacke?

Auf einer Cisco ASA ermittelst du den Verursacher einer Scanning-Attacke typischerweise so: 1. **Logs prüfen** - Relevante Meldungen per Syslog/ASDM ansehen: - `show logging` - nach Verbindungsversuchen, Portscans, Embryonic Connections, TCP Intercept, Threat Detection suchen 2. **Threat Detection nutzen** - Prüfen, ob Scans erkannt werden: - `show threat-detection rate` - `show threat-detection scanning-threat` - Aktivieren, falls nötig: - `threat-detection basic-threat` - `threat-detection scanning-threat` 3. **Conn/Local-Host prüfen** - Aktive Verbindungen und Quell-IP identifizieren: - `show conn` - `show local-host` - Auffällige IPs mit vielen kurzen Verbindungen oder vielen Zielports sind verdächtig. 4. **Capture auf der ASA** - Traffic mitschneiden, um Quell-IP, Zielports und Interface zu sehen: - `capture SCAN interface outside match ip any any` - danach: - `show capture SCAN` - Besser eingegrenzt: - `capture SCAN interface outside match tcp host <QUELL-IP> any` 5. **Top-Talker ermitteln** - Mit den ASP/Conn-Infos prüfen, welche Hosts besonders viele Sessions aufbauen. - Auch NAT-Zuordnungen prüfen: - `show xlate` 6. **Herkunft intern oder extern unterscheiden** - Kommt der Scan von außen: öffentliche Quell-IP aus Logs/Capture. - Kommt er von innen: internes Interface, interne Quell-IP, ggf. DHCP-/AD-/NAC-Logs zur Benutzerzuordnung. 7. **Benutzer/Endgerät zuordnen** - Die ASA zeigt meist nur die **Quell-IP**. - Den eigentlichen Verursacher findest du oft erst über: - DHCP-Server-Logs - Switch-MAC-Tabellen - 802.1X/NAC - AD/VPN/RADIUS-Logs **Wichtige ASA-Befehle:** - `show logging` - `show threat-detection rate` - `show threat-detection scanning-threat` - `show conn detail` - `show local-host` - `show xlate` - `show capture` **Praxis:** Der „Verursacher“ ist auf der ASA fast immer zuerst nur als **Quell-IP** sichtbar. Die eindeutige Person oder das konkrete Gerät ermittelst du durch Korrelation mit DHCP-, Switch-, VPN- oder Authentifizierungs-Logs. **Achtung:** Bei gespooften IPs, NAT oder verteilten Scans ist die ASA allein oft nicht ausreichend. Ein typischer Start ist: ```bash show logging show threat-detection scanning-threat show conn detail | include <verdächtige-IP> ``` Danach die gefundene IP mit DHCP/Switch-Logs korrelieren.