Configuración de la detección de amenazas para los servicios VPN de acceso remoto en Secure Firewall ASA

Introducción

Este documento describe el proceso de configuración de las capacidades de detección de amenazas para VPN de acceso remoto en Cisco Secure Firewall ASA.

Antecedentes

Las funciones de detección de amenazas para los servicios VPN de acceso remoto ayudan a evitar ataques de denegación de servicio (DoS) desde direcciones IPv4 bloqueando automáticamente el host (dirección IP) que supera los umbrales configurados para evitar más intentos hasta que elimine manualmente la omisión de la dirección IP. Hay servicios independientes disponibles para los siguientes tipos de ataques:

• Repetidos intentos fallidos de autenticación para los servicios VPN de acceso remoto (ataques de escaneo de nombre de usuario/contraseña por fuerza bruta).
• Ataques de iniciación de cliente, en los que el atacante inicia, pero no completa, los intentos de conexión a una cabecera VPN de acceso remoto repetidas veces desde un único host.
• La conexión intenta establecer servicios VPN de acceso remoto no válidos. Es decir, cuando los atacantes intentan conectarse a grupos de túnel integrados específicos destinados únicamente al funcionamiento interno del dispositivo. Los terminales legítimos nunca deben intentar conectarse a estos grupos de túnel.

 

Estos ataques, incluso cuando no consiguen obtener acceso, pueden consumir recursos informáticos e impedir que usuarios válidos se conecten a los servicios VPN de acceso remoto.

Cuando habilita estos servicios, Secure Firewall rechaza automáticamente el host (dirección IP) que excede los umbrales configurados, para evitar más intentos hasta que elimine manualmente la omisión de la dirección IP.

Nota: todos los servicios de detección de amenazas para VPN de acceso remoto están desactivados de forma predeterminada.

Prerequisites

Cisco recomienda que conozca estos temas:

• Dispositivo de seguridad Cisco Secure Firewall Adaptive Security Appliance (ASA)
• VPN de acceso remoto (RAVPN) en ASA

Requirements

Estas funciones de detección de amenazas son compatibles con las siguientes versiones de Cisco Secure Firewall ASA:

• versión 9.16 train-> compatible con la versión 9.16(4)67y versiones más recientes de este tren específico.
• versión 9.17 train-> compatible con la versión 9.17(1)45 y versiones más recientes de este tren específico.
• versión 9.18 train-> compatible con la versión 9.18(4)40y versiones más recientes de este tren específico.
• versión 9.19 train-> admitida desde9.19(1).37 y versiones más recientes de este tren específico.
• versión 9.20 train-> admitida desde la versión 9.20(3)y versiones más recientes de este tren específico.
• 9.22 version train-> compatible con 9.22(1.1)y cualquier versión más reciente.

Nota: 9.22(1) no se publicó. La primera versión fue 9.22(1.1).

 

Componentes Utilizados

La información descrita en este documento se basa en estas versiones de hardware y software:

• Cisco Secure Firewall ASA versión 9.20(3)

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

 

Configurar

Inicie sesión en la interfaz de línea de comandos (CLI) de firewall seguro en el modo de configuración global y habilite uno o más de los servicios de detección de amenazas disponibles para VPN de acceso remoto:

Detección de amenazas para intentos de conexión a servicios VPN solo internos (no válidos)

Para habilitar este servicio, ejecute el comando threat-detection service invalid-vpn-access.

 

Detección de amenazas para ataques de inicio de cliente VPN de acceso remoto

Para habilitar este servicio, ejecute el comando threat-detection service remote-access-client-initiations hold-down <minutes> threshold <count>, donde:

• hold-down <minutes> define el período después del último intento de inicio durante el cual se cuentan los intentos de conexión consecutivos. Si el número de intentos de conexión consecutivos cumple el umbral configurado en este período, se rechaza la dirección IPv4 del atacante. Puede establecer este período entre 1 y 1440 minutos.
• threshold <count> es el número de intentos de conexión necesarios dentro del período de espera para desencadenar un rechazo. Puede establecer el umbral entre 5 y 100.

Por ejemplo, si el período de espera es de 10 minutos y el umbral es de 20, la dirección IPv4 se rechaza automáticamente si hay 20 intentos de conexión consecutivos en un intervalo de 10 minutos.

Nota: Al establecer los valores de umbral y retención, tenga en cuenta el uso de NAT. Si utiliza PAT, que permite muchas solicitudes desde la misma dirección IP, considere valores más altos. Esto garantiza que los usuarios válidos tengan tiempo suficiente para conectarse. Por ejemplo, en un hotel, numerosos usuarios pueden intentar conectarse en un corto período de tiempo.

 

Detección de amenazas para errores de autenticación VPN de acceso remoto

Para habilitar este servicio, ejecute el comando threat-detection service remote-access-authentication hold-down<minutes> threshold <count>, donde:

• hold-down <minutes> define el período después del último intento fallido durante el cual se cuentan los fallos consecutivos. Si el número de fallos de autenticación consecutivos cumple el umbral configurado en este período, se rechaza la dirección IPv4 del atacante. Puede establecer este período entre 1 y 1440 minutos.
• threshold <count> es el número de intentos de autenticación fallidos necesarios dentro del período de espera para desencadenar un rechazo. Puede establecer el umbral entre 1 y 100.

Por ejemplo, si el período de espera es de 10 minutos y el umbral es de 20, la dirección IPv4 se rechaza automáticamente si hay 20 errores de autenticación consecutivos en un intervalo de 10 minutos.

Nota: Al establecer los valores de umbral y retención, tenga en cuenta el uso de NAT. Si utiliza PAT, que permite muchas solicitudes desde la misma dirección IP, considere valores más altos. Esto garantiza que los usuarios válidos tengan tiempo suficiente para conectarse. Por ejemplo, en un hotel, numerosos usuarios pueden intentar conectarse en un corto período de tiempo.

Nota: Los fallos de autenticación a través de SAML aún no se soportan. 

 

En el siguiente ejemplo de configuración se habilitan los tres servicios de detección de amenazas disponibles para VPN de acceso remoto con un período de espera de 10 minutos y un umbral de 20 para el inicio del cliente y los intentos de autenticación fallidos. 

threat-detection service invalid-vpn-access
threat-detection service remote-access-client-initiations hold-down 10 threshold 20
threat-detection service remote-access-authentication hold-down 10 threshold 20

 

Verificación

Para mostrar estadísticas de los servicios RAVPN de detección de amenazas, ejecute el comando show threat-detection service [service] [entries|details]. Donde el servicio puede ser: remote-access-authentication, remote-access-client-initiations, o invalid-vpn-access.

Puede limitar aún más la vista agregando estos parámetros:

• entries: muestra solo las entradas que están siendo rastreadas por el servicio de detección de amenazas. Por ejemplo, las direcciones IP que han tenido intentos de autenticación fallidos.
• details: muestra tanto los detalles del servicio como las entradas de servicio.

 

Ejecute el comando show threat-detection service para mostrar estadísticas de todos los servicios de detección de amenazas que están habilitados.

ciscoasa# show threat-detection service
Service: invalid-vpn-access
    State     : Enabled
    Hold-down : 1 minutes
    Threshold : 1
    Stats:
        failed      :          0
        blocking    :          0
        recording   :          0
        unsupported :          0
        disabled    :          0
    Total entries: 0
Service: remote-access-authentication
    State     : Enabled
    Hold-down : 10 minutes
    Threshold : 20
    Stats:
        failed      :          0
        blocking    :          1
        recording   :          4
        unsupported :          0
        disabled    :          0
    Total entries: 2
Name: remote-access-client-initiations
    State     : Enabled
    Hold-down : 10 minutes
    Threshold : 20
    Stats:
        failed      :          0
        blocking    :          0
        recording   :          0
        unsupported :          0
        disabled    :          0
    Total entries: 0

 

Para ver más detalles de los atacantes potenciales que se están rastreando para el servicio de autenticación de acceso remoto, ejecute el comando show threat-detection service <service>entries.

ciscoasa# show threat-detection service remote-access-authentication entries
Service: remote-access-authentication
    Total entries: 2

Idx Source              Interface            Count          Age        Hold-down
--- ------------------- -------------------- -------------- ---------- ---------
  1 192.168.100.101/ 32              outside              1        721         0
  2 192.168.100.102/ 32              outside              2        486       114
Total number of IPv4 entries: 2

NOTE: Age is in seconds since last reported. Hold-down is in seconds remaining.

 

Para ver las estadísticas generales y los detalles de un servicio VPN de acceso remoto de detección de amenazas específico, ejecute el comando show threat-detection service <service>details.

ciscoasa# show threat-detection service remote-access-authentication details
Service: remote-access-authentication
    State     : Enabled
    Hold-down : 10 minutes
    Threshold : 20
    Stats:
        failed      :          0
        blocking    :          1
        recording   :          4
        unsupported :          0
        disabled    :          0
     Total entries: 2

Idx Source              Interface            Count          Age        Hold-down
--- ------------------- -------------------- -------------- ---------- ---------
  1 192.168.100.101/ 32              outside              1        721         0
  2 192.168.100.102/ 32              outside              2        486       114
Total number of IPv4 entries: 2

NOTE: Age is in seconds since last reported. Hold-down is in seconds remaining.

Nota: las entradas solo muestran las direcciones IP sobre las que realiza un seguimiento el servicio de detección de amenazas. Si una dirección IP ha cumplido las condiciones para ser rechazada, el conteo de bloqueos aumenta y la dirección IP ya no se muestra como una entrada.

 

Además, puede monitorear los rechazos aplicados por los servicios VPN y eliminar los rechazos para una sola dirección IP o todas las direcciones IP con los siguientes comandos:

• show shun [ip_address]

Muestra los hosts rechazados, incluidos los rechazados automáticamente por la detección de amenazas para los servicios VPN o manualmente mediante el comando shun. Opcionalmente, puede limitar la vista a una dirección IP especificada.

• no shun ip_address [interface if_name]

Quita el rechazo sólo de la dirección IP especificada. Opcionalmente, puede especificar el nombre de la interfaz para el rechazo, si la dirección se rechaza en más de una interfaz y desea dejar el rechazo en su lugar en algunas interfaces.

• clear shun

Elimina el rechazo de todas las direcciones IP y todas las interfaces.

Nota: las direcciones IP rechazadas por la detección de amenazas para los servicios VPN no aparecen en el comando show threat-detection shun, que se aplica únicamente a la detección de amenazas de análisis.

Para leer todos los detalles de cada salida de comando y los mensajes syslog disponibles relacionados con los servicios de detección de amenazas para VPN de acceso remoto, consulte la Guía de configuración de la CLI de Cisco Secure Firewall ASA Firewall, 9.20. Capítulo: Documento de detección de amenazas.

Información Relacionada

• Para obtener asistencia adicional, póngase en contacto con el centro de asistencia técnica (TAC). Se necesita un contrato de asistencia válido:Contactos de asistencia globales de Cisco.
• También puede visitar Cisco VPN Community aquí.