تكوين اكتشاف التهديدات لخدمات VPN للوصول عن بعد على مدير أجهزة FirePOWER من Cisco

خيارات التنزيل

PDF (473.6 KB)
عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
ePub (252.3 KB)
العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
Mobi (Kindle) (260.6 KB)
عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة

تم التحديث:٧ نوفمبر ٢٠٢٤

معرّف المستند:222579

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

المحتويات

المقدمة

يصف هذا المستند عملية تكوين اكتشاف التهديدات لخدمات VPN للوصول عن بعد على مدير أجهزة FirePOWER (FDM) من Cisco.

المتطلبات الأساسية

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

الدفاع الآمن عن تهديد جدار الحماية (FTD) من Cisco.
مدير أجهزة FirePOWER (FDM) من Cisco.
شبكة VPN للوصول عن بعد (RAVPN) على FTD.

المتطلبات

يتم دعم ميزات اكتشاف التهديدات هذه في إصدارات الدفاع ضد تهديد جدار الحماية الآمن من Cisco المدرجة في القائمة التالية:

قطار الإصدار 7.0-> مدعوم من الإصدار 7.0.6.3 والإصدارات الأحدث ضمن هذا القطار المحدد.
قطار الإصدار 7.2-> مدعوم من الإصدار 7.2.9 والإصدار الأحدث ضمن هذا القطار المحدد.
قطار الإصدار 7.4-> مدعوم من الإصدار 7.4.2.1 والإصدار الأحدث ضمن هذا القطار المحدد.
قطار الإصدار 7.6-> مدعوم من الإصدار 7.6.0 وأي إصدارات أحدث.

ملاحظة: هذه الميزات غير مدعومة حاليا في الإصدار trains 7.1 أو 7.3.

المكونات المستخدمة

أسست المعلومة يصف في هذا وثيقة على هذا جهاز وبرمجية صيغة:

Cisco Secure Firewall Threat Defense Virtual، الإصدار 7.4.2.1

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

تساعد مميزات اكتشاف التهديدات الخاصة بخدمات VPN للوصول عن بعد في منع هجمات رفض الخدمة (DoS) من عناوين IPv4 عن طريق حظر المضيف (عنوان IP) الذي يتجاوز الحدود التي تم تكوينها لمنع مزيد من المحاولات حتى تقوم بإزالة فجوة عنوان IP يدويا. تتوفر خدمات منفصلة للأنواع التالية من الهجمات:

محاولات المصادقة الفاشلة المتكررة: محاولات المصادقة الفاشلة المتكررة للوصول عن بعد إلى خدمات VPN (هجمات المسح الضوئي لاسم مستخدم/كلمة مرور القوة).
هجمات بدء العميل: حيث يبدأ المهاجم محاولات الاتصال للوصول عن بعد إلى وحدة الاستقبال والبث الخاصة بشبكة VPN عدة مرات من مضيف واحد ولكنه لا يكمل هذه المحاولات.
يحاول الاتصال الوصول إلى خدمات VPN للوصول عن بعد غير صالحة: عند محاولة المهاجمين الاتصال بمجموعات أنفاق مدمجة معينة تم تصميمها فقط من أجل الأداء الداخلي للجهاز. لا تحاول نقاط النهاية الشرعية الاتصال بمجموعات الأنفاق هذه.

يمكن لهذه الهجمات، حتى عند فشلها في محاولة الوصول، إستهلاك موارد حسابية ومنع المستخدمين الحقيقيين من الاتصال بخدمات VPN للوصول عن بعد. عند تمكين هذه الخدمات، يتجنب جدار الحماية المضيف (عنوان IP) الذي يتجاوز الحدود التي تم تكوينها تلقائيا. هذا يمنع المزيد من المحاولات إلى أن تقوم بإزالة فجوة عنوان IP يدويا.

ملاحظة: يتم بشكل افتراضي تعطيل جميع خدمات اكتشاف التهديدات للوصول عن بعد إلى VPN.

التكوين

ملاحظة: لا يتم دعم تكوين هذه الميزات على "الحماية الآمنة من تهديدات جدار الحماية" حاليا إلا عبر FlexConfig.

1. سجل الدخول إلى Firepower Device Manager.

2. لتكوين كائن FlexConfig، انتقل إلى الجهاز > التكوين المتقدم > FlexConfig > FlexConfig Objects، ثم انقر فوق إنشاء كائن FlexConfig.

Edit the 'Advanced Configuration' from the FDM home page. قم بتحرير "التكوين المتقدم" من الصفحة الرئيسية ل FDM.

Create a FlexConfig object. إنشاء كائن FlexConfig.

3. بمجرد فتح نافذة كائن FlexConfig، أضف التكوين المطلوب لتمكين ميزات اكتشاف التهديدات لشبكة VPN الخاصة بالوصول عن بعد:

الميزة 1: اكتشاف التهديدات لمحاولات الاتصال بخدمات VPN الداخلية (غير الصالحة) فقط

لتمكين هذه الخدمة، أضف الأمر invalid-vpn-access لخدمة اكتشاف التهديدات في مربع نص كائن FlexConfig.

الميزة 2: اكتشاف التهديدات لهجمات بدء عميل شبكة VPN للوصول عن بعد

لتمكين هذه الخدمة، أضف أمر <دقيقة>الحد <count>خدمة اكتشاف التهديدات من بعد-عمليات بدء العميل" في مربع نص كائن FlexConfig، حيث:

يحدد الإيقاف المؤقت <minutes> الفترة بعد آخر محاولة بدء يتم خلالها حساب محاولات الاتصال المتتالية. إذا كان عدد محاولات الاتصال المتتالية يفي بالعتبة التي تم تكوينها خلال هذه الفترة، فسيتم تجنب عنوان IPv4 الخاص بالمهاجم. يمكنك تعيين هذه الفترة بين 1 و 1440 دقيقة.
Threshold <count> هو عدد محاولات الاتصال المطلوبة خلال فترة الانتظار لتشغيل تجنب. يمكنك تعيين الحد الفاصل بين 5 و 100.

على سبيل المثال، إذا كانت فترة التعليق هي 10 دقائق والعتبة هي 20، فسيتم تجنب عنوان IPv4 تلقائيا إذا كانت هناك 20 محاولة توصيل متتالية في أي مدى 10 دقائق.

ملاحظة: عند تعيين قيم التعليق والحد، ضع إستخدام NAT في الاعتبار. إن يستعمل أنت ضرب، أي يسمح كثير طلب من ال نفسه عنوان، راعي قيمة أعلى. وهذا يضمن حصول المستخدمين الصحيحين على وقت كاف للاتصال. على سبيل المثال، في الفندق، يمكن للعديد من المستخدمين محاولة الاتصال في فترة قصيرة.

الميزة 3: اكتشاف التهديدات لفشل مصادقة VPN للوصول عن بعد

لتمكين هذه الخدمة، أضف أمر تقييد مصادقة الوصول عن بعد لخدمة اكتشاف التهديدات<دقيقة>الحد <count> في مربع نص كائن FlexConfig، حيث:

يحدد الإيقاف المؤقت <minutes> الفترة بعد آخر محاولة فاشلة يتم خلالها حساب حالات الفشل المتتالية. وإذا كان عدد حالات فشل المصادقة المتتالية يستوفي الحد الذي تم تكوينه خلال هذه الفترة، فسيتم تجنب عنوان IPv4 للمهاجم. يمكنك تعيين هذه الفترة بين 1 و 1440 دقيقة.
Threshold <count> هو عدد محاولات المصادقة الفاشلة المطلوبة خلال فترة الانتظار لتشغيل تجنب. يمكنك تعيين الحد الفاصل بين 1 و 100.

على سبيل المثال، إذا كانت فترة التعليق هي 10 دقائق والعتبة هي 20، فسيتم تجنب عنوان IPv4 تلقائيا إذا كان هناك 20 فشل مصادقة متتابع في أي فسحة بين دعامتين لمدة 10 دقائق

ملاحظة: حالات فشل المصادقة عبر SAML غير مدعومة حتى الآن.

ويتيح مثال التكوين التالي خدمات اكتشاف التهديدات الثلاثة المتوفرة لشبكة VPN الخاصة بالوصول عن بعد مع فترة توقف تبلغ 10 دقائق وعتبة تبلغ 20 لبدء العميل ومحاولات المصادقة الفاشلة. قم بتكوين قيم الإيقاف والحد وفقا لمتطلبات البيئة الخاصة بك.

يستخدم هذا المثال كائن FlexConfig واحدا لتمكين الميزات الثلاث المتاحة.

threat-detection service invalid-vpn-access
threat-detection service remote-access-client-initiations hold-down 10 threshold 20
threat-detection service remote-access-authentication hold-down 10 threshold 20

Define the FlexConfig object critieria. قم بتعريف تقييم كائن FlexConfig.

4. بمجرد إنشاء كائن FlexConfig، انتقل إلى FlexConfig > نهج FlexConfig وحدد موقع علامة الزائد أسفل قائمة المجموعة. حدد كائن FlexConfig الذي تم إنشاؤه لاكتشاف تهديدات RAVPN، وانقر فوق موافق لإضافة الكائن إلى قائمة المجموعة. يقوم هذا بملء معاينة CLI للأوامر، ومراجعة هذه المعاينة لضمان الدقة. حدد حفظ التغييرات ونشرها في "الدفاع عن تهديد الطاقة النارية" (FTD).

Edit the FlexConfig policy and assign the FlexConfig object. قم بتحرير سياسة FlexConfig وتعيين كائن FlexConfig.

التحقق من الصحة

من أجل عرض إحصائيات لخدمات WAPN الخاصة بكشف التهديدات، قم بتسجيل الدخول إلى CLI الخاص ب FTD وقم بتشغيل الأمر show threat-detection service [service] [entries|details]. حيث يمكن أن تكون الخدمة: مصادقة الوصول عن بعد أو بدء الوصول عن بعد إلى العميل أو الوصول إلى VPN غير صالح.

يمكنك الحد من طريقة العرض عن طريق إضافة هذه المعلمات:

الإدخالات — عرض الإدخالات التي يتم تعقبها فقط من خلال خدمة كشف التهديدات. على سبيل المثال، عناوين IP التي فشلت محاولات المصادقة.
التفاصيل — عرض كل من تفاصيل الخدمة وإدخالات الخدمة.

قم بتشغيل الأمر show threat-detection service لعرض إحصائيات جميع خدمات اكتشاف التهديدات التي تم تمكينها.

FDM-TAC# show threat-detection service
Service: invalid-vpn-access State : Enabled     Hold-down : 1 minutes
    Threshold : 1
    Stats:
        failed      :          0
        blocking    :          0
        recording   :          0
        unsupported :          0
        disabled    :          0
    Total entries: 0
Service: remote-access-authentication State : Enabled     Hold-down : 10 minutes
    Threshold : 20
    Stats:
        failed      :          0
        blocking    :          1
        recording   :          4
        unsupported :          0
        disabled    :          0
    Total entries: 2
Name: remote-access-client-initiations State : Enabled
    Hold-down : 10 minutes
    Threshold : 20
    Stats:
        failed      :          0
        blocking    :          0
        recording   :          0
        unsupported :          0
        disabled    :          0
    Total entries: 0

لعرض مزيد من تفاصيل المهاجمين المحتملين الذين يتم تعقبهم لخدمة مصادقة الوصول عن بعد، قم بتشغيل الأمر show threat-detection service <service> entries.

FDM-TAC# show threat-detection service remote-access-authentication entries
Service: remote-access-authentication
    Total entries: 2

Idx Source              Interface            Count          Age        Hold-down
--- ------------------- -------------------- -------------- ---------- ---------
  1 192.168.100.101/ 32              outside              1        721         0
  2 192.168.100.102/ 32              outside              2        486       114
Total number of IPv4 entries: 2

NOTE: Age is in seconds since last reported. Hold-down is in seconds remaining.

لعرض الإحصاءات العامة والتفاصيل الخاصة بخدمة وصول عن بعد للكشف عن التهديدات المحددة إلى VPN، قم بتشغيل الأمر show threat-detection service <service> details.

FDM-TAC# show threat-detection service remote-access-authentication details
Service: remote-access-authentication
    State : Enabled
    Hold-down : 10 minutes
    Threshold : 20
    Stats:
        failed      :          0
        blocking    :          1
        recording   :          4
        unsupported :          0
        disabled    :          0
     Total entries: 2

Idx Source              Interface            Count          Age        Hold-down
--- ------------------- -------------------- -------------- ---------- ---------
  1 192.168.100.101/ 32              outside              1        721         0
  2 192.168.100.102/ 32              outside              2        486       114
Total number of IPv4 entries: 2

NOTE: Age is in seconds since last reported. Hold-down is in seconds remaining.

ملاحظة: تعرض الإدخالات عناوين IP التي يتم تعقبها بواسطة خدمة اكتشاف التهديدات فقط. إذا كان عنوان IP قد استوفى الشروط المطلوب تجنبها، يزداد عدد الحظر ولا يعرض عنوان IP كإدخال.

وبالإضافة إلى ذلك، أنت يستطيع راقبت رفض يطبق ب VPN خدمة، وأزال رفض لعنوان وحيد أو كل عنوان ال IP مع الأمر التالي:

[عرض تجاهل [ip_address

يظهر البيئات المضيفة المبعدة، بما في ذلك تلك التي تم تجاهلها تلقائيا بواسطة كشف التهديد لخدمات VPN، أو يدويا باستخدام أمر الإحجام. يمكنك تحديد طريقة العرض إختياريا إلى عنوان IP محدد.

لا يوجد تجاهل ip_address [interface if_name]

إزالة تجنب عنوان IP المحدد فقط. أنت يستطيع إختياريا عينت القارن إسم ل اللعنة، إن العنوان يكون نبذت على أكثر من واحد قارن وأنت تريد أن يترك ال ينشق في مكانه على بعض قارن.

تجاهل واضح

إزالة تجنب الدخول من جميع عناوين IP وجميع الواجهة.

ملاحظة: لا تظهر عناوين IP التي تم تجاهلها بواسطة اكتشاف التهديدات لخدمات VPN في أمر show threat-detection ، والذي ينطبق على مسح اكتشاف التهديدات فقط.

من أجل قراءة جميع التفاصيل لكل إخراج أمر ورسائل syslog المتاحة المتعلقة بخدمات اكتشاف التهديدات الخاصة ب VPN للوصول عن بعد، الرجاء الرجوع إلى مستند مرجع الأوامر.

معلومات ذات صلة

للحصول على مساعدة إضافية، يرجى الاتصال بمركز المساعدة التقنية (TAC). يلزم عقد دعم صالح: جهات اتصال الدعم العالمية من Cisco.
يمكنك أيضا زيارة مجتمع Cisco VPN هنا.
الدعم الفني والتنزيلات من Cisco

محفوظات المراجعة

المراجعة	تاريخ النشر	التعليقات
1.0	07-Nov-2024	الإصدار الأولي

تمت المساهمة بواسطة مهندسو Cisco

نيل روش
شبكة VPN لقائد التصعيد

هل كان هذا المستند مفيدًا؟

التعليقات

اتصل بنا

فتح حالة دعم
(تتطلب عقد خدمة Cisco)