Introduzione
In questo documento viene descritto il processo di configurazione delle funzionalità di rilevamento delle minacce per la VPN ad accesso remoto su Cisco Secure Firewall ASA.
Premesse
Le funzionalità di rilevamento delle minacce per i servizi VPN ad accesso remoto impediscono attacchi Denial of Service (DoS) da indirizzi IPv4 bloccando automaticamente l'host (indirizzo IP) che supera le soglie configurate, in modo da impedire ulteriori tentativi finché non viene rimossa manualmente la condivisione dell'indirizzo IP. Per i successivi tipi di attacco sono disponibili servizi distinti:
- Ripetuti tentativi di autenticazione non riusciti per i servizi VPN di accesso remoto (attacchi di scansione di nomi utente e password con una forza bruta).
- attacchi di avvio client, in cui l'autore dell'attacco inizia ma non completa i tentativi di connessione a un headend VPN ad accesso remoto ripetuti da un singolo host.
- La connessione tenta di accedere a servizi VPN di accesso remoto non validi. ovvero quando gli aggressori tentano di connettersi a gruppi di tunnel predefiniti destinati esclusivamente al funzionamento interno del dispositivo. Gli endpoint legittimi non devono mai tentare di connettersi a questi gruppi di tunnel.
Questi attacchi, anche quando non riescono a ottenere l'accesso, possono consumare risorse di calcolo e impedire agli utenti validi di connettersi ai servizi VPN di accesso remoto.
Quando si attivano questi servizi, il firewall protetto ignora automaticamente l'host (indirizzo IP) che supera le soglie configurate, per impedire ulteriori tentativi fino a quando non si rimuove manualmente la condivisione dell'indirizzo IP.
Nota: per impostazione predefinita, tutti i servizi di rilevamento delle minacce per la VPN ad accesso remoto sono disabilitati.
Prerequisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- Cisco Secure Firewall Adaptive Security Appliance (ASA)
- VPN ad accesso remoto (RAVPN) su ASA
Requisiti
Le seguenti funzionalità di rilevamento minacce sono supportate nelle prossime versioni di Cisco Secure Firewall ASA:
- 9.16 versione treno-> supportato da 9.16(4)67 e versioni più recenti all'interno di questo treno specifico.
- 9.17 versione treno-> supportato dalla 9.17(1)45 e versioni più recenti all'interno di questo treno specifico.
- 9.18 versione treno-> supportato dalla 9.18(4)40 e versioni più recenti all'interno di questo treno specifico.
- 9.19 versione treno-> supportato dalla 9.19(1).37 e versioni più recenti all'interno di questo treno specifico.
- 9.20 versione treno-> supportato dalla 9.20(3)e versioni più recenti all'interno di questo treno specifico.
- 9.22 versione train-> supportata dalla versione 9.22(1.1)e dalle versioni più recenti.
Nota: 9.22(1) non è stato rilasciato. La prima release è stata 9.2(1.1).
Componenti usati
Le informazioni descritte in questo documento si basano sulle seguenti versioni hardware e software:
- Cisco Secure Firewall ASA versione 9.20(3)
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Configurazione
Accedere all'interfaccia della riga di comando (CLI) di Secure Firewall in modalità di configurazione globale e abilitare uno o più servizi di rilevamento minacce disponibili per la VPN ad accesso remoto:
Rilevamento delle minacce per i tentativi di connessione a servizi VPN di solo interno (non validi)
Per abilitare questo servizio, eseguire il comando threat-detection service invalid-vpn-access.
Rilevamento delle minacce per gli attacchi di avvio dei client VPN di accesso remoto
Per abilitare questo servizio, eseguire il comando threat-detection service remote-access-client-initiations hold-down <minutes> threshold <count>, dove:
- hold-down <minuti> definisce il periodo successivo all'ultimo tentativo di avvio durante il quale vengono conteggiati i tentativi di connessione consecutivi. Se il numero di tentativi di connessione consecutivi raggiunge la soglia configurata in questo periodo, l'indirizzo IPv4 dell'autore dell'attacco viene ignorato. È possibile impostare un periodo compreso tra 1 e 1440 minuti.
- threshold <count> è il numero di tentativi di connessione necessari nel periodo di attesa per attivare una deviazione. È possibile impostare un valore di soglia compreso tra 5 e 100.
Ad esempio, se il periodo di attesa è di 10 minuti e la soglia è di 20, l'indirizzo IPv4 viene automaticamente ignorato se vi sono 20 tentativi di connessione consecutivi in un intervallo di 10 minuti.
Nota: quando si impostano i valori di blocco e soglia, tenere in considerazione l'utilizzo NAT. Se si utilizza PAT, che consente molte richieste dallo stesso indirizzo IP, prendere in considerazione valori più alti. In questo modo gli utenti validi avranno tempo sufficiente per connettersi. Ad esempio, in un hotel, numerosi utenti possono tentare di connettersi in breve tempo.
Rilevamento delle minacce per errori di autenticazione VPN ad accesso remoto
Per abilitare questo servizio, eseguire il comando threat-detection service remote-access-authentication hold-down<minutes> threshold <count>, dove:
- hold-down <minuti> definisce il periodo successivo all'ultimo tentativo non riuscito durante il quale vengono conteggiati gli errori consecutivi. Se il numero di errori di autenticazione consecutivi raggiunge la soglia configurata in questo periodo, l'indirizzo IPv4 dell'autore dell'attacco verrà ignorato. È possibile impostare un periodo compreso tra 1 e 1440 minuti.
- threshold <count> è il numero di tentativi di autenticazione non riusciti richiesti entro il periodo di attesa per attivare una riattivazione. È possibile impostare un valore di soglia compreso tra 1 e 100.
Ad esempio, se il periodo di attesa è di 10 minuti e la soglia è di 20, l'indirizzo IPv4 viene automaticamente ignorato in caso di 20 errori di autenticazione consecutivi in un intervallo di 10 minuti.
Nota: quando si impostano i valori di blocco e soglia, tenere in considerazione l'utilizzo NAT. Se si utilizza PAT, che consente molte richieste dallo stesso indirizzo IP, prendere in considerazione valori più alti. In questo modo gli utenti validi avranno tempo sufficiente per connettersi. Ad esempio, in un hotel, numerosi utenti possono tentare di connettersi in breve tempo.
Nota: gli errori di autenticazione tramite SAML non sono ancora supportati.
La configurazione di esempio successiva abilita i tre servizi di rilevamento delle minacce disponibili per la VPN ad accesso remoto con un periodo di attesa di 10 minuti e una soglia di 20 per l'avvio del client e i tentativi di autenticazione non riusciti.
threat-detection service invalid-vpn-access
threat-detection service remote-access-client-initiations hold-down 10 threshold 20
threat-detection service remote-access-authentication hold-down 10 threshold 20
Verifica
Per visualizzare le statistiche per i servizi RAVPN di rilevamento minacce, eseguire il comando show threat-detection service [servizio] [voci|dettagli]. Dove il servizio può essere: autenticazione-accesso-remoto, inizializzazione-client-accesso-remoto o accesso-vpn-non valido.
È possibile limitare ulteriormente la vista aggiungendo i seguenti parametri:
- voci: visualizza solo le voci registrate dal servizio di rilevamento delle minacce. Ad esempio, gli indirizzi IP per i quali sono stati eseguiti tentativi di autenticazione non riusciti.
- dettagli: visualizza sia i dettagli che le voci di servizio.
Eseguire il comando show threat-detection service per visualizzare le statistiche di tutti i servizi di rilevamento minacce abilitati.
ciscoasa# show threat-detection service
Service: invalid-vpn-access
State : Enabled
Hold-down : 1 minutes
Threshold : 1
Stats:
failed : 0
blocking : 0
recording : 0
unsupported : 0
disabled : 0
Total entries: 0
Service: remote-access-authentication
State : Enabled
Hold-down : 10 minutes
Threshold : 20
Stats:
failed : 0
blocking : 1
recording : 4
unsupported : 0
disabled : 0
Total entries: 2
Name: remote-access-client-initiations
State : Enabled
Hold-down : 10 minutes
Threshold : 20
Stats:
failed : 0
blocking : 0
recording : 0
unsupported : 0
disabled : 0
Total entries: 0
Per visualizzare ulteriori dettagli sui potenziali attacchi rilevati per il servizio di autenticazione ad accesso remoto, eseguire il comando show threat-detection service <service>.
ciscoasa# show threat-detection service remote-access-authentication entries
Service: remote-access-authentication
Total entries: 2
Idx Source Interface Count Age Hold-down
--- ------------------- -------------------- -------------- ---------- ---------
1 192.168.100.101/ 32 outside 1 721 0
2 192.168.100.102/ 32 outside 2 486 114
Total number of IPv4 entries: 2
NOTE: Age is in seconds since last reported. Hold-down is in seconds remaining.
Per visualizzare le statistiche generali e i dettagli di un servizio VPN di accesso remoto per il rilevamento delle minacce specifico, eseguire il comando show threat-detection service<service> details.
ciscoasa# show threat-detection service remote-access-authentication details
Service: remote-access-authentication
State : Enabled
Hold-down : 10 minutes
Threshold : 20
Stats:
failed : 0
blocking : 1
recording : 4
unsupported : 0
disabled : 0
Total entries: 2
Idx Source Interface Count Age Hold-down
--- ------------------- -------------------- -------------- ---------- ---------
1 192.168.100.101/ 32 outside 1 721 0
2 192.168.100.102/ 32 outside 2 486 114
Total number of IPv4 entries: 2
NOTE: Age is in seconds since last reported. Hold-down is in seconds remaining.
Nota: le voci visualizzano solo gli indirizzi IP rilevati dal servizio di rilevamento delle minacce. Se un indirizzo IP soddisfa le condizioni da evitare, il conteggio dei blocchi aumenta e l'indirizzo IP non viene più visualizzato come voce.
È inoltre possibile monitorare gli shun applicati dai servizi VPN e rimuovere gli shun per un singolo indirizzo IP o per tutti gli indirizzi IP con i comandi successivi:
Mostra gli host disattivati, inclusi quelli disattivati automaticamente dal rilevamento delle minacce per i servizi VPN, o manualmente utilizzando il comando shun. Se lo si desidera, è possibile limitare la visualizzazione a un indirizzo IP specificato.
- no shun ip_address [interface if_name]
Rimuove la sequenza solo dall'indirizzo IP specificato. Se si desidera, è possibile specificare il nome dell'interfaccia per lo shun, se l'indirizzo viene ignorato su più interfacce e si desidera lasciare lo shun in posizione su alcune interfacce.
Rimuove la sequenza da tutti gli indirizzi IP e da tutte le interfacce.
Nota: gli indirizzi IP ignorati dal rilevamento delle minacce per i servizi VPN non vengono visualizzati nel comando show threat-detection shun, applicabile solo al rilevamento delle minacce di analisi.
Per leggere tutti i dettagli di ciascun output del comando e dei messaggi syslog disponibili relativi ai servizi di rilevamento delle minacce per la VPN ad accesso remoto, consultare la guida alla configurazione della CLI di Cisco Secure Firewall ASA Firewall, versione 9.20. Capitolo: documento di rilevamento delle minacce.
Informazioni correlate