在安全防火牆ASA上配置遠端訪問VPN服務的威脅檢測

簡介

本文檔介紹為思科安全防火牆ASA上的遠端訪問VPN配置威脅檢測功能的過程。

背景資訊

遠端存取VPN服務的威脅偵測功能可自動封鎖超過設定臨界值的主機（IP位址），協助防止來自IPv4位址的阻斷服務(DoS)攻擊，進而防止進一步的嘗試，直到您手動移除IP位址的shun為止。以下攻擊型別可使用單獨的服務：

• 遠端訪問VPN服務的身份驗證嘗試反覆失敗（暴力使用者名稱/密碼掃描攻擊）。
• 客戶端啟動攻擊，即攻擊者開始嘗試連線遠端訪問VPN頭端，但未能從單個主機重複嘗試連線。
• 嘗試連線無效的遠端訪問VPN服務。也就是說，當攻擊者嘗試連線到僅用於裝置內部功能的特定內建隧道組時。合法終端絕不應嘗試連線到這些隧道組。

 

這些攻擊，即使嘗試訪問失敗，也會消耗計算資源，並阻止有效使用者連線到遠端訪問VPN服務。

當您啟用這些服務時，安全防火牆會自動避開超過已配置閾值的主機（IP地址），以防止進一步嘗試，直到您手動刪除IP地址的迴避。

注意：預設情況下，所有遠端訪問VPN的威脅檢測服務都處於停用狀態。

必要條件

思科建議您瞭解以下主題：

• 思科安全防火牆調適型安全裝置(ASA)
• ASA上的遠端訪問VPN (RAVPN)

需求

下一個Cisco Secure Firewall ASA版本支援以下威脅檢測功能：

• 此特定系列中的9.16版本系列->受9.16(4)67和更新版本的支援。
• 此特定系列中的9.17版本系列->受9.17(1)45和更新版本的支援。
• 此特定系列中的9.18(4)40和更新版本支援9.18版本系列->
• 此特定系列中的9.19版本系列->支援9.19(1)。37和更新版本。
• 此特定系列中的9.20版本系列->支援9.20(3)和更新版本。
• 9.22版本系列->受9.22(1.1)及任何更新版本的支援。

註：9.22(1)未發佈。第一個版本是9.22(1.1)。

 

採用元件

本文檔中描述的資訊基於以下硬體和軟體版本：

• Cisco安全防火牆ASA版本9.20(3)

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

 

設定

在全局配置模式下登入到安全防火牆命令列介面(CLI)，並為遠端訪問VPN啟用一個或多個可用的威脅檢測服務：

嘗試連線僅內部（無效）VPN服務的威脅檢測

要啟用此服務，請運行threat-detection service invalid-vpn-access命令。

 

遠端訪問VPN客戶端發起攻擊的威脅檢測

要啟用此服務，請運行threat-detection service remote-access-client-initiations hold-down <minutes> threshold <count>命令，其中：

• hold-down <minutes>定義最後一次啟動嘗試之後的一段時間，在此期間將計算連續連線嘗試。如果在此時間段內連續連線嘗試的次數達到配置的閾值，則會避開攻擊者的IPv4地址。您可以將此期間設定為1到1440分鐘。
• threshold <count>是在抑制時間段內觸發shun所需的連線嘗試次數。您可以將閾值設定為5到100。

例如，如果抑制週期是10分鐘，閾值是20，如果在任何10分鐘範圍內有20次連續連線嘗試，IPv4地址將自動迴避。

注意：在設定抑制和閾值時，請將NAT使用情況考慮在內。如果使用PAT（允許來自同一IP地址的許多請求），請考慮較高的值。這可確保有效使用者有足夠的時間進行連線。例如，在飯店中，許多使用者可以在短時間內嘗試連線。

 

遠端訪問VPN身份驗證失敗的威脅檢測

要啟用此服務，請運行threat-detection service remote-access-authentication hold-down<minutes> threshold <count>命令，其中：

• hold-down <minutes>定義最後一次失敗嘗試之後的時間段，在此時間段內將計算連續失敗次數。如果連續身份驗證失敗的次數在此時間段內達到配置的閾值，則攻擊者的IPv4地址將被迴避。您可以將此期間設定為1到1440分鐘。
• threshold <count>是在抑制時間段內觸發shun所需的失敗身份驗證嘗試次數。您可以設定介於1到100之間的臨界值。

例如，如果抑制週期是10分鐘，閾值是20，如果在任何10分鐘範圍內有20次連續身份驗證失敗，則會自動迴避IPv4地址。

注意：在設定抑制和閾值時，請將NAT使用情況考慮在內。如果使用PAT（允許來自同一IP地址的許多請求），請考慮較高的值。這可確保有效使用者有足夠的時間進行連線。例如，在飯店中，許多使用者可以在短時間內嘗試連線。

注意：尚不支援透過SAML進行身份驗證失敗。 

 

下一個示例配置為遠端訪問VPN啟用三種可用的威脅檢測服務，抑制時間為10分鐘，客戶端發起和身份驗證嘗試失敗時的閾值為20。 

threat-detection service invalid-vpn-access
threat-detection service remote-access-client-initiations hold-down 10 threshold 20
threat-detection service remote-access-authentication hold-down 10 threshold 20

 

驗證

要顯示威脅檢測RAVPN服務的統計資訊，請運行show threat-detection service [service] [entries|details]命令。其中服務可以是：remote-access-authentication、remote-access-client-initiations或invalid-vpn-access。

您可以新增下列引數來進一步限制檢視：

• entries -僅顯示威脅檢測服務正在跟蹤的條目。例如，驗證嘗試失敗的IP位址。
• details -顯示服務詳細資訊和服務條目。

 

運行show threat-detection service命令以顯示啟用的所有威脅檢測服務的統計資訊。

ciscoasa# show threat-detection service
Service: invalid-vpn-access
    State     : Enabled
    Hold-down : 1 minutes
    Threshold : 1
    Stats:
        failed      :          0
        blocking    :          0
        recording   :          0
        unsupported :          0
        disabled    :          0
    Total entries: 0
Service: remote-access-authentication
    State     : Enabled
    Hold-down : 10 minutes
    Threshold : 20
    Stats:
        failed      :          0
        blocking    :          1
        recording   :          4
        unsupported :          0
        disabled    :          0
    Total entries: 2
Name: remote-access-client-initiations
    State     : Enabled
    Hold-down : 10 minutes
    Threshold : 20
    Stats:
        failed      :          0
        blocking    :          0
        recording   :          0
        unsupported :          0
        disabled    :          0
    Total entries: 0

 

要檢視針對遠端訪問身份驗證服務跟蹤的潛在攻擊者的更多詳細資訊，請運行show threat-detection service <service> entries命令。

ciscoasa# show threat-detection service remote-access-authentication entries
Service: remote-access-authentication
    Total entries: 2

Idx Source              Interface            Count          Age        Hold-down
--- ------------------- -------------------- -------------- ---------- ---------
  1 192.168.100.101/ 32              outside              1        721         0
  2 192.168.100.102/ 32              outside              2        486       114
Total number of IPv4 entries: 2

NOTE: Age is in seconds since last reported. Hold-down is in seconds remaining.

 

要檢視特定威脅檢測遠端接入VPN服務的一般統計資訊和詳細資訊，請運行show threat-detection service <service> details命令。

ciscoasa# show threat-detection service remote-access-authentication details
Service: remote-access-authentication
    State     : Enabled
    Hold-down : 10 minutes
    Threshold : 20
    Stats:
        failed      :          0
        blocking    :          1
        recording   :          4
        unsupported :          0
        disabled    :          0
     Total entries: 2

Idx Source              Interface            Count          Age        Hold-down
--- ------------------- -------------------- -------------- ---------- ---------
  1 192.168.100.101/ 32              outside              1        721         0
  2 192.168.100.102/ 32              outside              2        486       114
Total number of IPv4 entries: 2

NOTE: Age is in seconds since last reported. Hold-down is in seconds remaining.

注意：條目僅顯示威脅檢測服務跟蹤的IP地址。如果IP地址已滿足規避條件，則blocking 計數增加，並且IP地址不再顯示為條目。

 

此外，您可以監控VPN服務應用的分流方法，並使用以下命令刪除單個IP地址或所有IP地址的分流方法：

• show shun [ip_address]

顯示迴避的主機，包括那些由VPN服務的威脅檢測自動迴避的主機，或使用shun命令手動迴避的主機。您可以選擇將檢視限制為指定的IP地址。

• no shun ip_address [interface if_name]

僅從指定的IP地址刪除shun。如果地址在多個介面上被迴避，而您希望在某些介面上保留shun不變，則您可以選擇性地指定shun的介面名稱。

• clear shun

從所有IP地址和所有介面刪除shun。

注意：VPN服務的威脅檢測規避的IP地址不會顯示在show threat-detection shun命令中，該命令僅適用於掃描威脅檢測。

要閱讀與遠端訪問VPN的威脅檢測服務相關的每個命令輸出和可用syslog消息的所有詳細資訊，請參閱Cisco安全防火牆ASA CLI配置指南9.20。 章節：威脅檢測文檔。

相關資訊

• 如需其他幫助，請聯絡技術支援中心(TAC)。需有有效的支援合約：思科全球支援聯絡人。
• 您還可以訪問Cisco VPN Communityhere。