소개
이 문서에서는 Cisco FTD(Secure Firewall Threat Defense)에서 원격 액세스 VPN 서비스에 대한 위협 탐지를 구성하는 프로세스에 대해 설명합니다.
사전 요구 사항
Cisco에서는 다음과 같은 주제에 대해 숙지할 것을 권장합니다.
- Cisco FTD(Secure Firewall Threat Defense).
- Cisco FMC(Secure Firewall Management Center).
- FTD의 원격 액세스 VPN(RAVPN).
요구 사항
이러한 위협 탐지 기능은 다음에 나열된 Cisco Secure Firewall Threat Defense 버전에서 지원됩니다.
- 7.0 버전 train->은(는) 이 특정 열차 내의 7.0.6.3 이상 버전에서 지원됩니다.
- 7.2 버전 train->은(는) 이 특정 열차 내의 7.2.9 이상 버전에서 지원됩니다.
- 7.4 버전 train->은(는) 이 특정 열차 내의 7.4.2.1 이상 버전에서 지원됩니다.
- 7.6 버전 train->은 7.6.0 이상 버전에서 지원됩니다.
참고: 이러한 기능은 현재 버전 train 7.1 또는 7.3에서 지원되지 않습니다.
사용되는 구성 요소
이 문서에 설명된 정보는 다음 하드웨어 및 소프트웨어 버전을 기반으로 합니다.
- Cisco Secure Firewall Threat Defense Virtual 버전 7.0.6.3.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
배경 정보
원격 액세스 VPN 서비스에 대한 위협 탐지 기능은 구성된 임계값을 초과하는 호스트(IP 주소)를 자동으로 차단하여 IP 주소의 차단 상태를 수동으로 제거할 때까지 추가 시도를 방지함으로써 IPv4 주소에서 DoS(Denial of Service) 공격을 방지하는 데 도움이 됩니다. 다음 공격 유형에 사용할 수 있는 별도의 서비스가 있습니다.
- 원격 액세스 VPN 서비스에 대해 실패한 인증 시도(무작위 대입 사용자 이름/비밀번호 검색 공격)
- 클라이언트 시작 공격. 공격자는 단일 호스트에서 여러 번 반복된 원격 액세스 VPN 헤드엔드에 대한 연결 시도를 시작하지만 완료하지 않습니다.
- 연결이 잘못된 원격 액세스 VPN 서비스를 시도합니다. 즉, 공격자가 디바이스의 내부 기능만을 위해 특정한 내장형 터널 그룹에 연결하려고 할 때 합법적인 엔드포인트는 이러한 터널 그룹에 연결을 시도해서는 안 됩니다.
이러한 공격은 액세스 확보에 실패한 경우에도 컴퓨팅 리소스를 소비하고 유효한 사용자가 원격 액세스 VPN 서비스에 연결하는 것을 방지할 수 있습니다.
이러한 서비스를 활성화하면 보안 방화벽이 구성된 임계값을 초과하는 호스트(IP 주소)를 자동으로 차단하여 IP 주소의 차단을 수동으로 제거할 때까지 추가 시도를 방지합니다.
참고: 원격 액세스 VPN에 대한 모든 위협 탐지 서비스는 기본적으로 비활성화되어 있습니다.
구성
참고: Secure Firewall Threat Defense에서 이러한 기능의 컨피그레이션은 현재 FlexConfig를 통해서만 지원됩니다.
1. Secure Firewall Management Center에 로그인합니다.
2. FlexConfig 개체를 구성하려면 Objects(개체) > Object Management(개체 관리) > FlexConfig > FlexConfig Object(FlexConfig 개체)로 이동한 다음 Add FlexConfig Object(FlexConfig 개체 추가)를 클릭합니다.
3. Add FlexConfig Object(FlexConfig 개체 추가) 창이 열리면 원격 액세스 VPN에 대한 위협 탐지 기능을 활성화하는 데 필요한 컨피그레이션을 추가합니다.
- FlexConfig 개체 이름: enable-threat-detection-ravpn
- FlexConfig 개체 설명: 원격 액세스 VPN 서비스에 대한 위협 탐지를 활성화합니다.
- 구축: 항상
- 유형: 추가
- 텍스트 상자: 다음에 설명된 사용 가능한 기능에 따라 "위협 탐지 서비스" 명령을 추가합니다.
참고: 동일한 FlexConfig 개체를 사용하여 원격 액세스 VPN에 사용할 수 있는 3개의 위협 탐지 기능을 활성화하거나, 활성화할 각 기능에 대해 개별적으로 하나의 FlexConfig 개체를 생성할 수 있습니다.
기능 1: 내부 전용(유효하지 않음) VPN 서비스에 대한 연결 시도에 대한 위협 감지
이 서비스를 활성화하려면 FlexConfig 개체 텍스트 상자에서 threat-detection service invalid-vpn-access 명령을 추가합니다.
기능 2: 원격 액세스 VPN 클라이언트 시작 공격을 위한 위협 감지
이 서비스를 활성화하려면 FlexConfig 개체 텍스트 상자에 threat-detection service remote-access-client-initiations hold-down <minutes> threshold <count> 명령을 추가합니다. 여기서
- hold-down <minutes>는 연속 연결 시도가 카운트되는 마지막 시작 시도 이후의 기간을 정의합니다. 연속 연결 시도 횟수가 이 기간 내에 구성된 임계값을 충족하면 공격자의 IPv4 주소가 차단됩니다. 이 기간은 1분에서 1440분 사이로 설정할 수 있습니다.
- threshold <count>는 중지를 트리거하는 데 필요한 연결 시도 횟수입니다. 임계값을 5~100으로 설정할 수 있습니다.
예를 들어, 보류 기간이 10분이고 임계값이 20이면 10분 범위 내에서 20회 연속 연결 시도가 있으면 IPv4 주소가 자동으로 차단됩니다.
참고: 보류 및 임계값을 설정할 때 NAT 사용을 고려하십시오. 동일한 IP 주소에서 많은 요청을 허용하는 PAT를 사용하는 경우 더 높은 값을 고려하십시오. 이렇게 하면 유효한 사용자가 연결할 수 있는 충분한 시간이 확보됩니다. 예를 들어, 호텔에서는 수많은 사용자가 단기간에 연결을 시도할 수 있다.
기능 3: 원격 액세스 VPN 인증 실패에 대한 위협 감지
이 서비스를 활성화하려면 FlexConfig 개체 텍스트 상자에 threat-detection service remote-access-authentication hold-down<minutes> threshold <count> 명령을 추가합니다. 여기서
- hold-down <minutes>는 연속 실패가 계산되는 마지막 실패 시도 이후의 기간을 정의합니다. 연속 인증 실패 수가 이 기간 내에 구성된 임계값을 충족하면 공격자의 IPv4 주소가 차단됩니다. 이 기간은 1분에서 1440분 사이로 설정할 수 있습니다.
- threshold <count>는 중지를 트리거하기 위해 보류 기간 내에 필요한 실패한 인증 시도 횟수입니다. 임계값을 1에서 100 사이로 설정할 수 있습니다.
예를 들어, 보류 기간이 10분이고 임계값이 20이면 10분 범위 내에 연속 인증 실패가 20개 있는 경우 IPv4 주소가 자동으로 차단됩니다.
참고: 보류 및 임계값을 설정할 때 NAT 사용을 고려하십시오. 동일한 IP 주소에서 많은 요청을 허용하는 PAT를 사용하는 경우 더 높은 값을 고려하십시오. 이렇게 하면 유효한 사용자가 연결할 수 있는 충분한 시간이 확보됩니다. 예를 들어, 호텔에서는 수많은 사용자가 단기간에 연결을 시도할 수 있다.
참고: SAML을 통한 인증 실패는 아직 지원되지 않습니다.
이 예제 컨피그레이션에서는 보류 기간이 10분이고, 클라이언트 시작 및 실패한 인증 시도에 대한 임계값이 20인 원격 액세스 VPN에 대해 사용 가능한 세 가지 위협 감지 서비스를 활성화합니다. 환경 요구 사항에 따라 보류 및 임계값을 구성합니다.
이 예에서는 단일 FlexConfig 개체를 사용하여 3개의 사용 가능한 기능을 활성화합니다.
threat-detection service invalid-vpn-access
threat-detection service remote-access-client-initiations hold-down 10 threshold 20
threat-detection service remote-access-authentication hold-down 10 threshold 20
새 FlexConfig 개체
4. FlexConfig 개체를 저장합니다.
5. Devices(디바이스) > FlexConfig로 이동하여 보안 방화벽에 할당된 FlexConfig 정책을 선택합니다.
6. 왼쪽 창에 표시된 사용 가능한 FlexConfig 객체에서 단계 3에서 구성한 FlexConfig 객체를 선택하고 ">"를 클릭한 후 변경 사항을 저장합니다.
7. 변경 사항을 배포하고 확인합니다.
다음을 확인합니다.
위협 감지 RAVPN 서비스에 대한 통계를 표시하려면 FTD의 CLI에 로그인하고 show threat-detection service [service] [entries|details] 명령을 실행합니다. 여기서 서비스는 remote-access-authentication, remote-access-client-initiations 또는 invalid-vpn-access일 수 있습니다.
다음 매개변수를 추가하여 보기를 더 제한할 수 있습니다.
- entries — 위협 감지 서비스에서 추적하는 항목만 표시합니다. 예를 들어, 인증 시도가 실패한 IP 주소.
- details — 서비스 세부 정보와 서비스 항목을 모두 표시합니다.
활성화된 모든 위협 탐지 서비스의 통계를 표시하려면 show threat-detection service 명령을 실행합니다.
ciscoftd# show threat-detection service
Service: invalid-vpn-access State : Enabled Hold-down : 1 minutes
Threshold : 1
Stats:
failed : 0
blocking : 0
recording : 0
unsupported : 0
disabled : 0
Total entries: 0
Service: remote-access-authentication State : Enabled Hold-down : 10 minutes
Threshold : 20
Stats:
failed : 0
blocking : 1
recording : 4
unsupported : 0
disabled : 0
Total entries: 2
Name: remote-access-client-initiations State : Enabled
Hold-down : 10 minutes
Threshold : 20
Stats:
failed : 0
blocking : 0
recording : 0
unsupported : 0
disabled : 0
Total entries: 0
원격 액세스 인증 서비스에 대해 추적되는 잠재적 공격자에 대한 자세한 내용을 보려면 show threat-detection service <service> entries 명령을 실행합니다.
ciscoftd# show threat-detection service remote-access-authentication entries
Service: remote-access-authentication
Total entries: 2
Idx Source Interface Count Age Hold-down
--- ------------------- -------------------- -------------- ---------- ---------
1 192.168.100.101/ 32 outside 1 721 0
2 192.168.100.102/ 32 outside 2 486 114
Total number of IPv4 entries: 2
NOTE: Age is in seconds since last reported. Hold-down is in seconds remaining.
특정 위협 감지 원격 액세스 VPN 서비스의 일반 통계 및 세부 정보를 보려면 show threat-detection service <service> details 명령을 실행합니다.
ciscoftd# show threat-detection service remote-access-authentication details
Service: remote-access-authentication
State : Enabled
Hold-down : 10 minutes
Threshold : 20
Stats:
failed : 0
blocking : 1
recording : 4
unsupported : 0
disabled : 0
Total entries: 2
Idx Source Interface Count Age Hold-down
--- ------------------- -------------------- -------------- ---------- ---------
1 192.168.100.101/ 32 outside 1 721 0
2 192.168.100.102/ 32 outside 2 486 114
Total number of IPv4 entries: 2
NOTE: Age is in seconds since last reported. Hold-down is in seconds remaining.
참고: 항목은 위협 탐지 서비스에서 추적하는 IP 주소만 표시합니다. IP 주소가 차단 조건을 충족하면 차단 수가 증가하고 IP 주소가 더 이상 항목으로 표시되지 않습니다.
또한 VPN 서비스에 의해 적용된 차단을 모니터링하고 단일 IP 주소 또는 모든 IP 주소에 대한 차단을 다음 명령으로 제거할 수 있습니다.
차단된 호스트를 표시합니다. 여기에는 VPN 서비스에 대한 위협 탐지에 의해 자동으로 차단되거나 shun 명령을 수동으로 사용하는 호스트가 포함됩니다. 선택적으로 보기를 지정된 IP 주소로 제한할 수 있습니다.
- shun ip_address [interface if_name] 없음
지정된 IP 주소에서만 shun을 제거합니다. 둘 이상의 인터페이스에서 주소가 차단되고 일부 인터페이스에서 shun을 그대로 두려는 경우 선택적으로 shun에 대한 인터페이스 이름을 지정할 수 있습니다.
모든 IP 주소 및 모든 인터페이스에서 shun을 제거합니다.
참고: VPN 서비스에 대한 위협 탐지로 차단된 IP 주소는 show threat-detection shun 명령에 나타나지 않으며, 이는 스캐닝 위협 탐지에만 적용됩니다.
원격 액세스 VPN에 대한 위협 탐지 서비스와 관련된 각 명령 출력의 모든 세부 정보 및 사용 가능한 syslog 메시지를 읽으려면 명령 참조 문서를 참조하십시오.
관련 정보