针对安全防火墙中远程访问VPN服务的口令喷射攻击的建议

下载选项

  • PDF     (435.9 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (107.6 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (86.7 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2024 年 10 月 26 日
文档 ID:221806

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍针对针对安全防火墙中远程访问VPN服务的密码喷雾攻击应考虑的建议。

    背景信息

    密码喷雾攻击是一种暴力攻击,攻击者尝试通过系统地尝试多个帐户中常用的几个密码来获得对多个用户帐户的未经授权的访问。 成功的密码喷雾攻击会导致对敏感信息的未经授权的访问、数据泄露以及对网络完整性的潜在危害

    此外,即使这些攻击尝试访问失败,也会消耗来自安全防火墙的计算资源,并阻止有效用户连接到远程访问VPN服务。

    观察到的行为

    当您的安全防火墙成为远程访问VPN服务中的密码喷雾攻击的目标时,您可以通过监控系统日志和使用特定的show命令来识别这些攻击。要查找的最常见行为包括:

    被拒绝的身份验证请求数量异常

    VPN头端Cisco安全防火墙ASA或FTD显示密码喷雾攻击症状,并且身份验证尝试被拒绝的比率异常。 

    注意:这些不寻常的身份验证尝试可能会定向到本地数据库或外部身份验证服务器。

    检测此情况的最佳方式是查看系统日志。查找任意数量下一个ASA系统日志ID:

    • %ASA-6-113015
    %ASA-6-113015: AAA user authentication Rejected : reason = User was not found : local database : user = admin : user IP = x.x.x.x

    • %ASA-6-113005
    %ASA-6-113005: AAA user authentication Rejected : reason = Unspecified : server = x.x.x.x : user = ***** : user IP = x.x.x.x

    • %ASA-6-716039
    %ASA-6-716039: Group <DfltGrpPolicy> User <admin> IP <x.x.x.x> Authentication: rejected, Session Type: WebVPN.

    在ASA上配置no logging hide username命令之前,用户名始终处于隐藏状态。

    注意:这可以让您深入了解验证是否生成了有效的用户,或是否由违规的IP所知,但请谨慎操作,因为用户名会在日志中显示。

    要进行验证,请登录ASA或FTD命令行界面(CLI),运行show aaa-server命令,并调查向任何已配置AAA服务器发出的尝试的和拒绝的身份验证请求的不寻常数量:

    ciscoasa# show aaa-server

    Server Group: LDAP-SERVER - - - - - >>>> Sprays against external server
    Server Protocol: ldap
    Server Hostname: ldap-server.example.com
    Server Address: 10.10.10.10
    Server port: 636
    Server status: ACTIVE, Last transaction at unknown
    Number of pending requests 0
    Average round trip time 0ms
    Number of authentication requests 2228536 - - - - - >>>> Unusual increments
    Number of authorization requests 0
    Number of accounting requests 0
    Number of retransmissions 0
    Number of accepts 1312
    Number of rejects 2225363 - - - - - >>>> Unusual increments / Unusual rejection rate
    Number of challenges 0
    Number of malformed responses 0
    Number of bad authenticators 0
    Number of timeouts 1
    Number of unrecognized responses 0 

    建议

    考虑并应用接下来的建议。

    1. 启用日志记录。

    日志记录是网络安全的重要组成部分,涉及记录系统中发生的事件。由于缺乏详细的日志,在了解方面仍存在差距,阻碍了攻击方法的明确分析。建议您启用远程系统日志服务器日志记录,以改进跨各种网络设备的网络和安全事件的关联和审核。

    有关如何配置日志记录的信息,请参阅以下平台特定指南:

    Cisco ASA软件:

    思科FTD软件:

    注意:验证本文档中概述的行为所必需的系统日志消息ID(113015、113005和716039)必须在信息级别(6)启用。这些ID属于“auth”和“webvpn”日志记录类。

    2. 配置远程访问VPN的威胁检测功能或强化措施。

    为了帮助减轻这些暴力攻击对RAVPN连接的影响并减少其发生的可能性,您可以查看并应用以下配置选项:

    选项1(推荐):配置远程访问VPN服务的威胁检测。

    远程访问VPN服务的威胁检测功能通过自动阻止超过配置阈值的主机(IP地址)来帮助防止来自IPv4地址的拒绝服务(DoS)攻击,从而防止进一步尝试,直到您手动删除IP地址避开为止。有单独的服务可用于以下类型的攻击:

    • 远程访问VPN服务的身份验证尝试反复失败(暴力用户名/密码扫描攻击)。
    • 客户端启动攻击,攻击者从单个主机重复尝试连接到远程访问VPN头端,但发起攻击后仍未完成连接。
    • 尝试连接无效的远程访问VPN服务。也就是说,当攻击者尝试连接到仅用于设备内部功能的特定内置隧道组时。合法终端绝不应尝试连接到这些隧道组。

    以下所列思科安全防火墙版本目前支持这些威胁检测功能:

    ASA软件:

    • 9.16版本系列->受此特定系列中的9.16(4)67及更新版本的支持。
    • 9.17版本系列->支持此特定系列中的9.17(1)45和更高版本。
    • 9.18版本系列->支持此特定系列中的9.18(4)40和更高版本。
    • 9.19版本系列->支持此特定系列中的9.19(1)。37和更新版本。
    • 9.20版本系列->支持此特定系列中的9.20(3)和更新版本。
    • 9.22版本系列->受9.22(1.1)及任何更新版本的支持。

    FTD软件

    • 7.0版本系列->在此特定系列中支持7.0.6.3和更高版本。
    • 7.2版本系列->在此特定系列中支持7.2.9和更新版本。
    • 7.4版本系列->从7.4.2.1支持此特定系列中的更新版本。
    • 7.6版本系列->受7.6.0及任何更新版本的支持。

    注意:这些功能目前在版本7.1或7.3中不受支持

    有关完整的详细信息和配置指南,请参阅以下文档:

    选项2:对远程访问VPN应用强化措施。

    注意:这些措施仅有助于降低风险,但并非针对针对RAVPN服务的DoS攻击的预防措施。

    如果您的安全防火墙版本不支持远程访问VPN服务的威胁检测功能,请实施以下强化措施以降低这些攻击造成的影响风险:

    1. 禁用DefaultWEBVPN和DefaultRAGroup连接配置文件中的AAA身份验证(分步:ASA|FTD,由FMC管理)。
    2. 从DefaultWEBVPNGroup和DefaultRAGroup禁用安全防火墙状态(Hostscan)(分步:ASA|FTD managed by FMC)。
    3. 禁用组别名并启用其余连接配置文件中的组URL(分步:FMC管理的ASA|FTD)。

    注意:如果需要通过本地防火墙设备管理(FDM)管理的FTD的支持,请联系技术支持中心(TAC)以获取专家指导。

    有关详细信息,请参阅安全客户端AnyConnect VPN实施强化措施指南。

    相关行为

    在安全防火墙上启用防火墙状态(HostScan)时,用户可能无法与思科安全客户端(AnyConnect)建立VPN连接。它们可能会间歇性遇到如下错误消息:“Unable to complete connection.Cisco Secure Desktop not installed on the client.”。 

    secure_client_error

    此行为是成功利用漏洞CVE-2024-20481(见下文)的结果。

    思科漏洞ID CSCwj45822 Cisco ASA和FTD软件远程访问VPN暴力拒绝服务漏洞(CVE-2024-20481)

    此漏洞源于密码喷雾攻击导致的资源耗尽,攻击者向目标设备发送大量VPN身份验证请求。成功利用此漏洞可导致RAVPN服务的拒绝服务(DoS)。此漏洞的一个主要症状是用户间歇性地遇到“Unable to complete connection.Cisco Secure Desktop not installed on the client.”错误消息。

    要解决此漏洞,必须升级到安全建议中列出的软件版本。此外,建议您在安全防火墙升级至这些版本后启用远程访问VPN的威胁检测功能,以保护其免受针对RAVPN服务的DoS攻击。

    有关完整详细信息,请参阅Cisco ASA和FTD软件远程访问VPN暴力拒绝服务漏洞安全建议。

    其他信息

    修订历史记录

    版本 发布日期 备注
    7.0
    26-Oct-2024
    已更新“相关行为”部分,以添加与本文档相关的最近漏洞。
    6.0
    20-Sep-2024
    已更新远程访问VPN的威胁检测功能受支持的版本。
    5.0
    06-Sep-2024
    添加了“配置远程访问VPN的威胁检测”建议。
    4.0
    22-Apr-2024
    更新了“背景信息”和“建议”部分。
    3.0
    15-Apr-2024
    链接的思科漏洞ID CSCwj45822,添加了“Hostscan令牌耗尽”子部分,添加了“RAVPN的其他强化实施”部分
    2.0
    01-Apr-2024
    更新了文档标题,将“IoC”部分重命名为“观察到的异常模式”,并在“建议”部分下添加了更多详细信息。
    1.0
    26-Mar-2024
    初始版本
    TAC Authored

    由思科工程师提供

    • 安赫尔·奥尔蒂斯·希门尼斯
      安全技术主管
    • 基罗洛斯·米哈伊尔
      工程技术主管

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品