針對安全防火牆中遠端訪問VPN服務的口令噴霧攻擊建議

下載選項

  • PDF     (457.2 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (107.5 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (86.7 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2024 年 10 月 26 日
文件 ID:221806

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本文檔介紹針對安全防火牆中的遠端訪問VPN服務應考慮的口令噴霧攻擊建議。

    背景資訊

    密碼噴霧攻擊是一種暴力攻擊,攻擊者試圖透過系統性地嘗試多個帳戶中的幾個常用密碼,獲得對多個使用者帳戶的未經授權的訪問。 成功的密碼噴霧攻擊會導致對敏感資訊的未經授權的訪問、資料洩露以及網路完整性的潛在危害

    此外,這些攻擊,即使嘗試訪問失敗,也會消耗來自安全防火牆的計算資源,並阻止有效使用者連線到遠端訪問VPN服務。

    觀察到的行為

    當您的安全防火牆成為遠端訪問VPN服務中的密碼噴霧攻擊的目標時,您可以透過監控系統日誌和使用特定的show命令來辨識這些攻擊。要查詢的最常見行為包括:

    拒絕的身份驗證請求數量異常

    VPN頭端Cisco安全防火牆ASA或FTD顯示口令噴霧攻擊的症狀,並且身份驗證嘗試被拒絕的比率非常高。 

    注意:這些不尋常的身份驗證嘗試可能定向到LOCAL資料庫或外部身份驗證伺服器。

    檢測此情況的最佳方式是檢視系統日誌。查詢任何下一個ASA系統日誌ID的不尋常數量:

    • %ASA-6-113015
    %ASA-6-113015: AAA user authentication Rejected : reason = User was not found : local database : user = admin : user IP = x.x.x.x

    • %ASA-6-113005
    %ASA-6-113005: AAA user authentication Rejected : reason = Unspecified : server = x.x.x.x : user = ***** : user IP = x.x.x.x

    • %ASA-6-716039
    %ASA-6-716039: Group <DfltGrpPolicy> User <admin> IP <x.x.x.x> Authentication: rejected, Session Type: WebVPN.

    在ASA上配置了no logging hide username命令之前,使用者名稱始終是隱藏的。

    注意:這可讓您深入瞭解是否透過違規的IP生成或獲知了有效使用者。但是,請謹慎操作,因為使用者名稱會顯示在日誌中。

    要進行驗證,請登入ASA或FTD命令列介面(CLI),運行show aaa-server命令,並調查嘗試的和拒絕的對任何已配置AAA伺服器的身份驗證請求的不尋常數量:

    ciscoasa# show aaa-server

    Server Group: LDAP-SERVER - - - - - >>>> Sprays against external server
    Server Protocol: ldap
    Server Hostname: ldap-server.example.com
    Server Address: 10.10.10.10
    Server port: 636
    Server status: ACTIVE, Last transaction at unknown
    Number of pending requests 0
    Average round trip time 0ms
    Number of authentication requests 2228536 - - - - - >>>> Unusual increments
    Number of authorization requests 0
    Number of accounting requests 0
    Number of retransmissions 0
    Number of accepts 1312
    Number of rejects 2225363 - - - - - >>>> Unusual increments / Unusual rejection rate
    Number of challenges 0
    Number of malformed responses 0
    Number of bad authenticators 0
    Number of timeouts 1
    Number of unrecognized responses 0 

    行動

    考慮並應用以下建議。

    1. 啟用記錄。

    記錄是網路安全的重要組成部分,涉及記錄系統中發生的事件。缺少詳細日誌會導致瞭解空白,從而妨礙對攻擊方法的明確分析。建議您啟用遠端系統日誌伺服器日誌記錄,以改進各種網路裝置之間的網路和安全事件的關聯和審計。

    有關如何配置日誌記錄的資訊,請參閱以下平台特定指南:

    Cisco ASA軟體:

    Cisco FTD軟體:

    注意:驗證本文所述行為(113015、113005和716039)所需的系統日誌消息ID必須在資訊級別(6)啟用。這些ID屬於「auth」和「webvpn」日誌記錄類。

    2. 配置遠端訪問VPN的威脅檢測功能或強化措施。

    為了幫助減輕這些暴力攻擊對RAVPN連線的影響並降低其發生的可能性,您可以檢視並應用以下配置選項:

    選項1(推薦):配置遠端訪問VPN服務的威脅檢測。

    針對遠端訪問VPN服務的威脅檢測功能透過自動阻止超過所配置閾值的主機(IP地址)來防止來自IPv4地址的拒絕服務(DoS)攻擊,從而防止進一步的嘗試,直到您手動刪除IP地址的shun為止。以下型別的攻擊有單獨的可用服務:

    • 遠端訪問VPN服務的身份驗證嘗試反覆失敗(暴力使用者名稱/密碼掃描攻擊)。
    • 客戶端啟動攻擊,即攻擊者開始嘗試連線遠端訪問VPN頭端,但未能從單個主機重複嘗試連線。
    • 嘗試連線無效的遠端訪問VPN服務。也就是說,當攻擊者嘗試連線到僅用於裝置內部功能的特定內建隧道組時。合法終端絕不應嘗試連線到這些隧道組。

    以下列出的思科安全防火牆版本當前支援這些威脅檢測功能:

    ASA軟體:

    • 此特定系列中的9.16(4)67和更新版本支援9.16版本系列->
    • 此特定系列中的9.17(1)45和更新版本支援9.17版本系列->
    • 此特定系列中的9.18(4)40和更新版本支援9.18版本系列->
    • 9.19版本系列->在此特定系列中支援9.19(1)。37和更新版本。
    • 9.20版本系列->在此特定系列中支援9.20(3)和更新版本。
    • 9.22版本系列->受9.22(1.1)及任何更新版本的支援。

    FTD軟體:

    • 此特定系列中的7.0版本系列->支援7.0.6.3及更高版本。
    • 7.2版本系列->在此特定系列中支援7.2.9和更新版本。
    • 7.4版本系列->在此特定系列中支援7.4.2.1及更高版本。
    • 7.6版本系列->受7.6.0及任何更新版本的支援。

    注意:這些功能目前在7.1或7.3版系列中不受支援

    有關完整的詳細資訊和配置指南,請參閱以下文檔:

    選項2:對遠端訪問VPN應用強化措施。

    注意:這些措施只能幫助降低風險,並不能防範針對RAVPN服務的DoS攻擊。

    如果您的安全防火牆版本不支援遠端訪問VPN服務的威脅檢測功能,請實施以下強化措施來降低這些攻擊帶來的風險:

    1. 停用DefaultWEBVPN和DefaultRAGroup連線配置檔案中的AAA身份驗證(分步操作:ASA|FTD managed by FMC)。
    2. 從DefaultWEBVPNGroup和DefaultRAGroup停用Secure Firewall Posture (Hostscan)(分步操作:ASA|FTD managed by FMC)。
    3. 在連線配置檔案的其餘部分停用組別名並啟用組URL(分步操作:FMC管理的ASA|FTD)。

    附註:如果您需要透過本機防火牆裝置管理(FDM)管理的FTD支援,請連絡技術支援中心(TAC)以取得專家指導。

    有關更多詳細資訊,請參閱安全客戶端AnyConnect VPN實施強化措施指南。

    相關行為

    在安全防火牆上啟用防火牆狀態(HostScan)時,使用者可能會遇到無法與思科安全客戶端(AnyConnect)建立VPN連線的情況。它們可能會間歇性地遇到以下錯誤消息:「Unable to complete connection.客戶端上未安裝Cisco Secure Desktop。」。 

    secure_client_error

    此行為是成功利用漏洞CVE-2024-20481的結果(見下文)。

    思科漏洞ID CSCwj45822 Cisco ASA和FTD軟體遠端訪問VPN蠻力拒絕服務漏洞(CVE-2024-20481)

    此漏洞源於密碼噴霧攻擊導致的資源耗盡,攻擊者向目標裝置傳送了許多VPN身份驗證請求。成功利用此漏洞可導致RAVPN服務出現拒絕服務(DoS)。此漏洞的一個關鍵症狀是,使用者間歇性地遇到「Unable to complete connection.Cisco Secure Desktop not installed on the client.」錯誤消息。

    要解決此漏洞,必須升級到安全建議中列出的軟體版本。此外,建議您在安全防火牆升級到這些版本後啟用遠端訪問VPN的威脅檢測功能,以防止其受到針對RAVPN服務的DoS攻擊。

    有關完整詳細資訊,請參閱Cisco ASA和FTD軟體遠端訪問VPN暴力拒絕服務漏洞安全建議。

    其他資訊

    修訂記錄

    修訂 發佈日期 意見
    7.0
    26-Oct-2024
    已更新「相關行為」部分,以增加與本文檔相關的最新漏洞。
    6.0
    20-Sep-2024
    已更新遠端接入VPN的威脅檢測功能支援的版本。
    5.0
    06-Sep-2024
    增加了「配置遠端訪問VPN的威脅檢測」建議。
    4.0
    22-Apr-2024
    更新了「背景資訊」和「建議」部分。
    3.0
    15-Apr-2024
    連結的思科漏洞ID CSCwj45822,增加了「Hostscan Token Exhaustion」子部分,增加了「RAVPN的其他強化實施」部分
    2.0
    01-Apr-2024
    更新了文檔標題,將「IoC」部分重新命名為「觀察到的異常模式」,並在「建議」部分下增加了更多詳細資訊。
    1.0
    26-Mar-2024
    初始版本
    TAC Authored

    由思科工程師貢獻

    • Angel Ortiz Jimenez
      Security Technical Leader
    • Kirollos Mikhail
      Engineering Technical Leader

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您

    本文件適用於這些產品