De functionaliteit en configuratie van ASA Threat Detection controleren

Inleiding

In dit document worden de drie belangrijkste onderdelen van de functionaliteit en configuratie voor bedreigingsdetectie beschreven.

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

Dit document is niet beperkt tot specifieke software- en hardware-versies.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

Dit document beschrijft de functionaliteit en basisconfiguratie van de functie voor het opsporen van bedreigingen van de Cisco Adaptive Security Appliance (ASA). Threat Detection biedt firewallbeheerders de nodige tools om aanvallen te identificeren, te begrijpen en te stoppen voordat ze de interne netwerkinfrastructuur bereiken. Om dit te doen, vertrouwt de functie op een aantal verschillende triggers en statistieken, die in deze secties nader worden beschreven.

Dreigingsdetectie kan worden gebruikt op elke ASA-firewall waarop een softwareversie van 8.0(2) of hoger wordt uitgevoerd. Hoewel bedreigingsdetectie geen vervanging is voor een speciale IDS/IPS-oplossing, kan het worden gebruikt in omgevingen waar geen IPS beschikbaar is om een extra beschermingslaag te bieden aan de kernfunctionaliteit van ASA.

Functionaliteit voor het opsporen van bedreigingen

De detectiefunctie voor bedreigingen bestaat uit drie hoofdonderdelen:

1. Basisdetectie van bedreigingen
2. Geavanceerde detectie van bedreigingen
3. Scanning Threat Detection

Elk van deze componenten wordt in detail beschreven in deze secties.

Basisdetectie van bedreigingen (systeemniveaus)

Basisdetectie van bedreigingen is standaard ingeschakeld op alle ASA's die 8.0(2) en hoger uitvoeren. 

Basisdetectie van bedreigingen bewaakt de snelheid waarmee pakketten om verschillende redenen door de ASA als geheel worden gedropt. Dit betekent dat de statistieken die worden gegenereerd door basisdetectie van bedreigingen alleen van toepassing zijn op het hele apparaat en over het algemeen niet gedetailleerd genoeg zijn om informatie te verstrekken over de bron of de specifieke aard van de bedreiging. In plaats daarvan dropten de ASA-monitoren pakketten voor deze gebeurtenissen:

• ACL Drop (acl-drop) - Pakketten worden geweigerd door toegangslijsten.
• Bad Pkts (bad-packet-drop) - Ongeldige pakketformaten, waaronder L3- en L4-headers die niet voldoen aan RFC-standaarden.
• Conn Limit (conn-limit-drop) - Pakketten die een geconfigureerde of globale verbindingslimiet overschrijden.
• DoS-aanval (dos-drop) - Denial of Service (DoS)-aanvallen.
• Firewall (fw-drop) - Basisbeveiligingscontroles van de firewall.
• ICMP-aanval (icmp-drop) - Verdachte ICMP-pakketten.
• Inspecteren (inspect-drop) - Ontkenning door inspectie van de toepassing.
• Interface (interface-drop) - Pakketten die door interfacecontroles zijn verwijderd.
• Scannen (scanning-threat) - Aanvallen van netwerk-/hostscanning.
• SYN-aanval (syn-attack) - Onvolledige sessieaanvallen, waaronder TCP SYN-aanvallen en unidirectionele UDP-sessies zonder retourgegevens.

Elk van deze gebeurtenissen heeft een specifieke reeks triggers die worden gebruikt om de dreiging te identificeren. De meeste triggers zijn gekoppeld aan specifieke ASP-drop-redenen, hoewel bepaalde syslogs en inspectieacties ook worden overwogen. Sommige triggers worden gemonitord door meerdere bedreigingscategorieën. Enkele van de meest voorkomende triggers worden in deze tabel beschreven, hoewel het geen uitputtende lijst is:

Voor elke gebeurtenis meet de basisdetectie van bedreigingen de snelheid waarmee deze dalingen gedurende een geconfigureerde periode plaatsvinden. Deze periode wordt het gemiddelde snelheidsinterval (ARI) genoemd en kan variëren van 600 seconden tot 30 dagen. Als het aantal gebeurtenissen binnen de ARI de geconfigureerde drempelwaarden overschrijdt, beschouwt de ASA deze gebeurtenissen als een bedreiging.

Basisdetectie van bedreigingen heeft twee configureerbare drempels voor wanneer gebeurtenissen als een bedreiging worden beschouwd: het gemiddelde percentage en de burstrate. De gemiddelde snelheid is gewoon het gemiddelde aantal druppels per seconde binnen de tijdsperiode van de geconfigureerde ARI. Als de gemiddelde drempelwaarde voor ACL-dalingen bijvoorbeeld is geconfigureerd voor 400 met een ARI van 600 seconden, berekent de ASA het gemiddelde aantal pakketten dat in de laatste 600 seconden door ACL's is gedropt. Als dit aantal groter blijkt te zijn dan 400 per seconde, registreert de ASA een bedreiging.

Ook de burst rate is zeer vergelijkbaar, maar kijkt naar kleinere periodes van snapshot gegevens, genaamd de burst rate interval (BRI). De BRI is altijd kleiner dan de ARI. Bijvoorbeeld, voortbouwend op het vorige voorbeeld, de ARI voor ACL druppels is nog steeds 600 seconden en heeft nu een burst rate van 800. Met deze waarden berekent de ASA het gemiddelde aantal pakketten dat ACL's in 20 seconden hebben laten vallen, waarbij 20 seconden de BRI is. Als deze berekende waarde meer dan 800 druppels per seconde bedraagt, wordt een bedreiging geregistreerd. Om te bepalen welke BRI wordt gebruikt, berekent de ASA de waarde van 1/30e van de ARI. Daarom is in het voorbeeld dat eerder werd gebruikt, 1/30e van 600 seconden 20 seconden. Dreigingsdetectie heeft echter een minimale BRI van 10 seconden, dus als 1/30e van de ARI minder dan 10 is, gebruikt de ASA nog steeds 10 seconden als de BRI. Het is ook belangrijk op te merken dat dit gedrag anders was in versies voorafgaand aan 8.2(1), die een waarde van 1/60th van de ARI gebruikten, in plaats van 1/30th. De minimale BRI van 10 seconden is hetzelfde voor alle softwareversies.

Wanneer een basisbedreiging wordt gedetecteerd, genereert de ASA eenvoudig syslog %ASA-4-733100 om de beheerder te waarschuwen dat een potentiële bedreiging is geïdentificeerd. Het gemiddelde, huidige en totale aantal gebeurtenissen voor elke bedreigingscategorie kan worden gezien met de opdracht bedreigingsdetectiesnelheid weergeven. Het totale aantal cumulatieve gebeurtenissen is de som van het aantal gebeurtenissen in de laatste 30 BRI-monsters.

De burst rate in syslog wordt berekend op basis van het aantal pakketten dat tot nu toe is gedaald in de huidige BRI. De berekening wordt periodiek uitgevoerd in een BRI. Zodra een inbreuk plaatsvindt, wordt een syslog verhoogd. Het is beperkt dat slechts één syslog wordt gegenereerd in een BRI. De burst rate in "show threat-detection rate" wordt berekend op basis van het aantal pakketten dat in de laatste BRI is gevallen. Het ontwerp voor het verschil is dat syslog tijdgevoelig is, dus als er een inbreuk plaatsvindt in het huidige BRI, zou het een kans hebben om te worden vastgelegd. "Toon dreiging-detectiesnelheid" is minder tijdgevoelig, dus het nummer van de laatste BRI wordt gebruikt. 

Fundamentele dreigingsdetectie onderneemt geen acties om het afwijkende verkeer te stoppen of toekomstige aanvallen te voorkomen. In deze zin is de detectie van bedreigingen puur informatief en kan deze worden gebruikt als monitoring- of rapportagemechanisme.

Geavanceerde detectie van bedreigingen (statistieken op objectniveau en top N)

In tegenstelling tot Basic Threat Detection, kan Advanced Threat Detection worden gebruikt om statistieken te volgen voor meer gedetailleerde objecten. De ASA ondersteunt trackingstatistieken voor host-IP's, poorten, protocollen, ACL's en servers die worden beschermd door TCP-interceptie. Advanced Threat Detection is standaard alleen ingeschakeld voor ACL-statistieken.

Voor host-, poort- en protocolobjecten houdt Threat Detection het aantal pakketten, bytes en drops bij dat binnen een bepaalde periode door dat object is verzonden en ontvangen. Voor ACL's houdt Threat Detection de top 10 ACE's (zowel vergunning als weigering) bij die het meest zijn getroffen binnen een specifieke periode.

De tijdsperioden die in al deze gevallen worden gevolgd, zijn 20 minuten, 1 uur, 8 uur en 24 uur. Hoewel de tijdsperioden zelf niet configureerbaar zijn, kan het aantal perioden dat per object wordt bijgehouden worden aangepast met het zoekwoord 'number-of-rate'. Zie het gedeelte Configuratie voor meer informatie. Als 'number-of-rate' bijvoorbeeld is ingesteld op 2, zie je alle statistieken voor 20 minuten, 1 uur en 8 uur. Als 'number-of-rate' is ingesteld op 1, zie je alle statistieken voor 20 minuten, 1 uur. Het maakt niet uit wat, de 20 minuten tarief wordt altijd weergegeven.

Wanneer TCP-interceptie is ingeschakeld, kan Threat Detection de top 10-servers bijhouden die worden beschouwd als aangevallen en beschermd door TCP-interceptie. Statistieken voor TCP-interceptie zijn vergelijkbaar met Basic Threat Detection in de zin dat de gebruiker het gemeten snelheidsinterval kan configureren samen met specifieke gemiddelde (ARI) en burst (BRI) -snelheden. Geavanceerde Threat Detection statistieken voor TCP onderschepping zijn alleen beschikbaar in ASA 8.0(4) en hoger.

Geavanceerde statistieken voor bedreigingsdetectie worden bekeken via de statistieken voor bedreigingsdetectie en tonen topopdrachten voor bedreigingsdetectiestatistieken. Dit is ook de functie die verantwoordelijk is voor de populatie van de "bovenste" grafieken op het firewall-dashboard van ASDM. De enige syslogs die worden gegenereerd door Advanced Threat Detection zijn %ASA-4-733104 en %ASA-4-733105, die worden geactiveerd wanneer de gemiddelde en burst rates (respectievelijk) worden overschreden voor TCP onderscheppingsstatistieken.

Net als bij Basic Threat Detection is de Advanced Threat Detection puur informatief. Er worden geen acties ondernomen om verkeer te blokkeren op basis van de statistieken voor geavanceerde bedreigingsdetectie.

Scanning Threat Detection

Scanning Threat Detection wordt gebruikt om verdachte aanvallers bij te houden die verbindingen maken met te veel hosts in een subnet, of veel poorten op een host/subnet. Het scannen van bedreigingsdetectie is standaard uitgeschakeld.

Scanning Threat Detection bouwt voort op het concept Basic Threat Detection, dat al een bedreigingscategorie definieert voor een scanaanval. Daarom worden de instellingen rate-interval, average rate (ARI) en burst rate (BRI) gedeeld tussen Basic en Scanning Threat Detection. Het verschil tussen de 2 functies is dat terwijl Basic Threat Detection alleen aangeeft dat de gemiddelde of burst rate drempels werden overschreden, Scanning Threat Detection onderhoudt een database van aanvaller en doel IP-adressen die kunnen helpen meer context rond de hosts die betrokken zijn bij de scan. Bovendien wordt alleen verkeer dat daadwerkelijk door de doelhost/het doelsubnet wordt ontvangen, door Scanning Threat Detection in aanmerking genomen. Basic Threat Detection kan nog steeds een Scanning-dreiging activeren, zelfs als het verkeer wordt weggelaten door een ACL.

Scanning Threat Detection kan optioneel reageren op een aanval door de IP van de aanvaller te mijden. Dit maakt Scanning Threat Detection de enige subset van de Threat Detection-functie die actief verbindingen kan beïnvloeden via de ASA.

Wanneer Scanning Threat Detection een aanval detecteert, wordt %ASA-4-733101 geregistreerd voor de aanvaller en/of doel-IP's. Als de functie is geconfigureerd om de aanvaller te mijden, wordt %ASA-4-733102 geregistreerd wanneer Scanning Threat Detection een shun genereert. %ASA-4-733103 wordt geregistreerd wanneer de shun wordt verwijderd. De opdracht scannen-bedreiging weergeven kan worden gebruikt om de volledige database voor scannen van bedreigingen weer te geven.

Beperkingen

• Threat Detection is alleen beschikbaar in ASA 8.0(2) en hoger. Het wordt niet ondersteund op het ASA 1000V-platform.
• Dreigingsdetectie wordt alleen ondersteund in de modus voor één context.
• Alleen door-the-box bedreigingen worden gedetecteerd. Verkeer dat naar de ASA zelf wordt verzonden, wordt niet in aanmerking genomen door Threat Detection.
• TCP-verbindingspogingen die door de beoogde server worden gereset, worden niet geteld als een SYN-aanval of Scanning-dreiging.

Configuratie

Basisdetectie van bedreigingen

Basisdetectie van bedreigingen is ingeschakeld met de opdracht Basisdetectie van bedreigingen.

ciscoasa(config)# threat-detection basic-threat

De standaardpercentages kunnen worden weergegeven met de opdracht show run all threat detection (Alle bedreigingsdetectie uitvoeren).

ciscoasa(config)# show run all threat-detection
threat-detection rate dos-drop rate-interval 600 average-rate 100 burst-rate 400
threat-detection rate dos-drop rate-interval 3600 average-rate 80 burst-rate 320
threat-detection rate bad-packet-drop rate-interval 600 average-rate 100 burst-rate 400
threat-detection rate bad-packet-drop rate-interval 3600 average-rate 80 burst-rate 320
threat-detection rate acl-drop rate-interval 600 average-rate 400 burst-rate 800
threat-detection rate acl-drop rate-interval 3600 average-rate 320 burst-rate 640
threat-detection rate conn-limit-drop rate-interval 600 average-rate 100 burst-rate 400
threat-detection rate conn-limit-drop rate-interval 3600 average-rate 80 burst-rate 320
threat-detection rate icmp-drop rate-interval 600 average-rate 100 burst-rate 400
threat-detection rate icmp-drop rate-interval 3600 average-rate 80 burst-rate 320
threat-detection rate scanning-threat rate-interval 600 average-rate 5 burst-rate 10
threat-detection rate scanning-threat rate-interval 3600 average-rate 4 burst-rate 8
threat-detection rate syn-attack rate-interval 600 average-rate 100 burst-rate 200
threat-detection rate syn-attack rate-interval 3600 average-rate 80 burst-rate 160
threat-detection rate fw-drop rate-interval 600 average-rate 400 burst-rate 1600
threat-detection rate fw-drop rate-interval 3600 average-rate 320 burst-rate 1280
threat-detection rate inspect-drop rate-interval 600 average-rate 400 burst-rate 1600
threat-detection rate inspect-drop rate-interval 3600 average-rate 320 burst-rate 1280
threat-detection rate interface-drop rate-interval 600 average-rate 2000 burst-rate 8000
threat-detection rate interface-drop rate-interval 3600 average-rate 1600 burst-rate 6400

Om deze tarieven af te stemmen op aangepaste waarden, configureert u eenvoudig de opdracht Threat Detection Rate voor de betreffende bedreigingscategorie.

ciscoasa(config)# threat-detection rate acl-drop rate-interval 1200 average-rate 250 burst-rate 550

Elke bedreigingscategorie kan maximaal 3 verschillende tarieven hebben gedefinieerd (met ID's van snelheid 1, tarief 2 en tarief 3). De specifieke snelheid-ID die wordt overschreden, wordt vermeld in de %ASA-4-733100 syslog.

In het vorige voorbeeld creëert bedreigingsdetectie syslog 733100 alleen wanneer het aantal ACL-dalingen meer dan 250 druppels / seconde over 1200 seconden of 550 druppels / seconde over 40 seconden overschrijdt.

Geavanceerde detectie van bedreigingen

Gebruik de opdracht Statistieken voor bedreigingsdetectie om Geavanceerde bedreigingsdetectie in te schakelen. Als er geen specifiek trefwoord is opgegeven, maakt de opdracht het bijhouden van alle statistieken mogelijk.

ciscoasa(config)# threat-detection statistics ?

configure mode commands/options:
 access-list      Keyword to specify access-list statistics
 host            Keyword to specify IP statistics
 port            Keyword to specify port statistics
 protocol       Keyword to specify protocol statistics
 tcp-intercept   Trace tcp intercept statistics
 <cr>

Om het aantal snelheidsintervallen te configureren dat wordt bijgehouden voor host-, poort-, protocol- of ACL-statistieken, gebruikt u het trefwoord number-of-rate.

ciscoasa(config)# threat-detection statistics host number-of-rate 2

Het gereserveerde woord number-of-rate configureert Threat Detection om alleen het kortste n aantal intervallen te volgen.

Om TCP-interceptiestatistieken in te schakelen, gebruikt u de opdracht tcp-intercept voor bedreigingsdetectiestatistieken.

ciscoasa(config)# threat-detection statistics tcp-intercept

Om aangepaste tarieven voor TCP-interceptiestatistieken te configureren, gebruikt u de trefwoorden rate-interval, average-rate en burst-rate.

ciscoasa(config)# threat-detection statistics tcp-intercept rate-interval 45 burst-rate 400 average-rate 100

Scanning Threat Detection

Gebruik de opdracht threat-detection scanning-threat om het scannen van bedreigingen mogelijk te maken.

ciscoasa(config)# threat-detection scanning-threat

Als u de tarieven voor een scandreiging wilt aanpassen, gebruikt u dezelfde opdracht voor bedreigingsdetectie die wordt gebruikt door Basic Threat Detection.

ciscoasa(config)# threat-detection rate scanning-threat rate-interval 1200 average-rate 250 burst-rate 550

Om de ASA in staat te stellen een IP-scanaanvaller te mijden, voegt u het shun-zoekwoord toe aan de opdracht threat-detection scanning-threat.

ciscoasa(config)# threat-detection scanning-threat shun

Hierdoor kan Scanning Threat Detection een één uur durende shun voor de aanvaller maken. Om de duur van de shun aan te passen, gebruikt u het commando threat-detection scanning-threat shun duration.

ciscoasa(config)# threat-detection scanning-threat shun duration 1000

In sommige gevallen kunt u voorkomen dat de ASA bepaalde IP's schuwt. Maak hiervoor een uitzondering met de opdracht threat-detection scanning-threat shun except.

ciscoasa(config)# threat-detection scanning-threat shun except ip-address 10.1.1.1 255.255.255.255
ciscoasa(config)# threat-detection scanning-threat shun except object-group no-shun

Prestaties

Basic Threat Detection heeft zeer weinig invloed op de prestaties van de ASA. Advanced Scanning en Threat Detection zijn veel meer resource-intensief omdat ze verschillende statistieken in het geheugen moeten bijhouden. Alleen het scannen van bedreigingsdetectie met de functie schuwen ingeschakeld kan actief verkeer beïnvloeden dat anders zou zijn toegestaan.

Naarmate de versies van de ASA-software vorderden, is het geheugengebruik van Threat Detection aanzienlijk geoptimaliseerd. Er moet echter voor worden gezorgd dat het geheugengebruik van ASA wordt gecontroleerd voordat en nadat de detectie van bedreigingen is ingeschakeld. In sommige gevallen is het beter om bepaalde statistieken (bijvoorbeeld hoststatistieken) tijdelijk in te schakelen terwijl u actief een specifiek probleem oplost.

Voor een meer gedetailleerde weergave van het gebruik van Threat Detection-geheugen voert u de opdracht show memory app-cache threat-detection [detail] uit.

Aanbevolen acties 

In deze secties worden enkele algemene aanbevelingen gegeven voor acties die kunnen worden ondernomen wanneer zich verschillende voorvallen voordoen die verband houden met de detectie van bedreigingen.

Wanneer een basispercentage wordt overschreden en %ASA-4-733100 wordt gegenereerd

Bepaal de specifieke bedreigingscategorie vermeld in de %ASA-4-733100 syslog en correleer dit met de output vanshow threat-detection rate. Met deze informatie controleert u de uitvoer vanshow asp dropom de redenen te bepalen waarom het verkeer is weggevallen.

Voor een meer gedetailleerde weergave van het verkeer dat om een specifieke reden wordt gedropt, gebruikt u een ASP-dropcapture met de reden in kwestie om alle pakketten te zien die worden gedropt. Als bijvoorbeeld ACL Drop-bedreigingen worden geregistreerd, legt u de ASP-dropreden vast vanacl-drop:

ciscoasa# capture drop type asp-drop acl-drop

ciscoasa# show capture drop

1 packet captured

   1: 18:03:00.205189 10.10.10.10.60670 > 192.168.1.100.53:  udp 34 Drop-reason:
 (acl-drop) Flow is denied by configured rule

Deze opname laat zien dat het gedropte pakket een UDP/53-pakket is van 10.10.10 tot 192.168.1.100.

Als %ASA-4-733100 een scandreiging meldt, kan het ook nuttig zijn om tijdelijk de scandetectie van bedreigingen in te schakelen. Dit stelt de ASA in staat om bij te houden van de bron en de bestemming IP's die betrokken zijn bij de aanval.

Aangezien Basic Threat Detection voornamelijk verkeer monitort dat al door de ASP is gedropt, is er geen directe actie nodig om een potentiële dreiging te stoppen. Uitzonderingen hierop zijn SYN-aanvallen en scanbedreigingen, waarbij het gaat om verkeer dat door de ASA gaat.

Als de dalingen in de ASP-valopname legitiem zijn en/of worden verwacht voor de netwerkomgeving, stemt u de basissnelheidsintervallen af op een geschiktere waarde.

Als de druppels illegaal verkeer vertonen, moeten er maatregelen worden genomen om het verkeer te blokkeren of te beperken voordat het de ASA bereikt. Dit kan ACL's en QoS op upstream-apparaten omvatten.

Voor SYN-aanvallen kan het verkeer worden geblokkeerd in een ACL op de ASA. TCP-interceptie kan ook worden geconfigureerd om de beoogde server(s) te beschermen, maar dit kan eenvoudig resulteren in een Conn Limit-dreiging die in plaats daarvan wordt geregistreerd.

Voor het scannen van bedreigingen kan het verkeer ook worden geblokkeerd in een ACL op de ASA. Het scannen van bedreigingsdetectie met deshunoptie kan worden ingeschakeld om de ASA in staat te stellen proactief alle pakketten van de aanvaller voor een bepaalde periode te blokkeren. 

Wanneer een scandreiging wordt gedetecteerd en %ASA-4-733101 wordt geregistreerd

%ASA-4-733101 moet het doelhost/subnet of het IP-adres van de aanvaller vermelden. Voor de volledige lijst van doelen en aanvallers, controleer de output vanshow threat-detection scanning-threataanvallen.

Packet captures op de ASAs-interfaces waarmee de aanvaller en / of het doelwit (en) worden geconfronteerd, kunnen ook helpen de aard van de aanval te verduidelijken.

Als de gedetecteerde scan niet wordt verwacht, moeten maatregelen worden genomen om het verkeer te blokkeren of te beperken voordat het de ASA bereikt. Dit kan ACL's en QoS op upstream-apparaten omvatten. Wanneer deshunoptie wordt toegevoegd aan de Scanning Threat Detection-configuratie, kan de ASA alle pakketten proactief gedurende een bepaalde periode van het IP-adres van de aanvaller laten vallen. Als laatste redmiddel kan het verkeer ook handmatig worden geblokkeerd op de ASA via een ACL- of TCP-interceptiebeleid.

Als de gedetecteerde scan vals positief is, past u de Scanning Threat Rate-intervallen aan naar een meer geschikte waarde voor de netwerkomgeving.

Wanneer een aanvaller wordt gemeden en %ASA-4-733102 wordt gelogd

%ASA-4-733102 vermeldt het IP-adres van de gewisselde aanvaller. Gebruik de opdrachtshow threat-detection shunom een volledige lijst met aanvallers te bekijken die specifiek door Threat Detection zijn gemeden. Gebruik de opdrachtshow shunom de volledige lijst te bekijken van alle IP's die actief worden gemeden door de ASA (dit geldt ook voor andere bronnen dan Threat Detection).

Als de shun deel uitmaakt van een legitieme aanval, is geen verdere actie vereist. Het zou echter nuttig zijn om het verkeer van de aanvaller zo ver mogelijk stroomopwaarts naar de bron handmatig te blokkeren. Dit kan via ACL’s en QoS. Dit zorgt ervoor dat tussenliggende apparaten geen middelen hoeven te verspillen aan illegaal verkeer.

Als de Scanning-dreiging die de shun veroorzaakte vals positief was, verwijdert u de shun handmatig met hetclear threat-detection shun [IP_address]commando.

Wanneer %ASA-4-733104 en/of %ASA-4-733105 is geregistreerd

%ASA-4-733104 en %ASA-4-733105 vermelden de host die het doelwit is van de aanval die momenteel wordt beschermd door TCP-onderschepping. Voor meer informatie over de aanvalssnelheden en beveiligde servers, controleer de uitvoer vanshow threat-detection statistics top tcp-intercept.

ciscoasa# show threat-detection statistics top tcp-intercept
Top 10 protected servers under attack (sorted by average rate)
Monitoring window size: 30 mins    Sampling interval: 30 secs 
----------------------------------------------------------------------------------
1    192.168.1.2:5000 inside 1249 9503 2249245  Last: 10.0.0.3 (0 secs ago)
2    192.168.1.3:5000 inside 10 10 6080 10.0.0.200 (0 secs ago)
3    192.168.1.4:5000 inside 2 6 560 10.0.0.200 (59 secs ago)
4    192.168.1.5:5000 inside 1 5 560 10.0.0.200 (59 secs ago)
5    192.168.1.6:5000 inside 1 4 560 10.0.0.200 (59 secs ago)
6    192.168.1.7:5000 inside 0 3 560 10.0.0.200 (59 secs ago)
7    192.168.1.8:5000 inside 0 2 560 10.0.0.200 (59 secs ago)
8    192.168.1.9:5000 inside 0 1 560 10.0.0.200 (59 secs ago)
9    192.168.1.10:5000 inside 0 0 550 10.0.0.200 (2 mins ago)
10   192.168.1.11:5000 inside 0 0 550 10.0.0.200 (5 mins ago)

Wanneer Advanced Threat Detection een dergelijke aanval detecteert, beschermt de ASA de beoogde server al via TCP-interceptie. Controleer de geconfigureerde verbindingslimieten om te garanderen dat ze voldoende bescherming bieden voor de aard en snelheid van de aanval. Het zou ook nuttig zijn om het verkeer van de aanvaller zo ver mogelijk stroomopwaarts naar de bron handmatig te blokkeren. Dit kan via ACL’s en QoS. Dit zorgt ervoor dat tussenliggende apparaten geen middelen hoeven te verspillen aan illegaal verkeer.

Als de gedetecteerde aanval een fout-positief is, past u de tarieven voor een TCP-onderscheppingsaanval aan naar een meer geschikte waarde met dethreat-detection statistics tcp-interceptopdracht.

Hoe handmatig een bedreiging te activeren

Om te testen en problemen op te lossen, kan het nuttig zijn om handmatig verschillende bedreigingen te activeren. Deze sectie bevat tips over het activeren van een aantal veelvoorkomende soorten bedreigingen.

Basisdreiging - ACL Drop, Firewall en Scannen

Als u een bepaalde basisdreiging wilt activeren, raadpleegt u de tabel in de vorige sectie Functionaliteit. Kies een specifieke ASP-valreden en stuur verkeer door de ASA dat zou worden weggelaten door de juiste ASP-valreden.

Bijvoorbeeld, ACL Drop, Firewall en Scanning bedreigingen alle rekening houden met de snelheid van de pakketten gedaald door acl-drop. Voer deze stappen uit om deze bedreigingen tegelijkertijd te activeren:

1. Maak een ACL op de buiteninterface van de ASA die expliciet alle TCP-pakketten naar een doelserver aan de binnenkant van de ASA laat vallen (10.11.11.11):

   access-list outside_in extended line 1 deny tcp any host 10.11.11.11
   access-list outside_in extended permit ip any any
   access-group outside_in in interface outside

2. Gebruik nmap vanaf een aanvaller aan de buitenkant van de ASA (10.10.10.10) om een TCP SYN-scan uit te voeren tegen elke poort op de doelserver:

   nmap -sS -T5 -p1-65535 -Pn 10.11.11.11

   Opmerking: T5 configureert nmap om de scan zo snel mogelijk uit te voeren. Op basis van de bronnen van de aanvaller-pc is dit nog steeds niet snel genoeg om enkele van de standaardtarieven te activeren. Als dit het geval is, verlaagt u gewoon de geconfigureerde tarieven voor de dreiging die u wilt zien. Wanneer u de ARI en BRI op 0 instelt, zorgt Basic Threat Detection ervoor dat de dreiging altijd wordt geactiveerd, ongeacht de snelheid.

3. Basisbedreigingen worden gedetecteerd voor ACL Drop-, Firewall- en Scanning-bedreigingen:

   %ASA-1-733100: [ Scanning] drop rate-1 exceeded. Current burst rate is 19 per second,
    max configured rate is 10; Current average rate is 9 per second,
    max configured rate is 5; Cumulative total count is 5538
   %ASA-1-733100: [ ACL drop] drop rate-1 exceeded. Current burst rate is 19 per second,
    max configured rate is 0; Current average rate is 2 per second,
    max configured rate is 0; Cumulative total count is 1472
   %ASA-1-733100: [ Firewall] drop rate-1 exceeded. Current burst rate is 18 per second,
    max configured rate is 0; Current average rate is 2 per second,
    max configured rate is 0; Cumulative total count is 1483

   Opmerking: in dit voorbeeld zijn de ACL-drop en Firewall ARI's en BRI's ingesteld op 0, zodat ze altijd een bedreiging veroorzaken. Dit is de reden waarom de maximaal geconfigureerde tarieven worden vermeld als 0.

Geavanceerde dreiging - TCP-onderschepping

1. Maak een ACL op de externe interface die alle TCP-pakketten toestaat die naar een doelserver aan de binnenkant van de ASA worden verzonden (10.11.11.11):

   access-list outside_in extended line 1 permit tcp any host 10.11.11.11
   access-group outside_in in interface outside

2. Als de doelserver niet echt bestaat, of als deze de verbindingspogingen van de aanvaller reset, configureer dan een nep-ARP-vermelding op de ASA om het aanvalsverkeer in de interne interface te blokkeren:

   arp inside 10.11.11.11 dead.dead.dead

3. Maak een eenvoudig TCP-interceptiebeleid op de ASA:

   access-list tcp extended permit tcp any any
   class-map tcp
     match access-list tcp
   policy-map global_policy
     class tcp
       set connection conn-max 2
   service-policy global_policy global

   Vanaf een aanvaller aan de buitenkant van de ASA (10.10.10.10) gebruikt u nmap om een TCP SYN-scan uit te voeren tegen elke poort op de doelserver:

   nmap -sS -T5 -p1-65535 -Pn 10.11.11.11

   Merk op dat Threat Detection de beveiligde server bijhoudt:

   ciscoasa(config)#  show threat-detection statistics top tcp-intercept
   Top 10 protected servers under attack (sorted by average rate)
   Monitoring window size: 30 mins    Sampling interval: 30 secs
         
   --------------------------------------------------------------------------------
   1    10.11.11.11:18589 outside 0 0 1 10.10.10.10 (36 secs ago)
   2    10.11.11.11:47724 outside 0 0 1 10.10.10.10 (36 secs ago)
   3    10.11.11.11:46126 outside 0 0 1  Last: 10.10.10.10 (6 secs ago)
   4    10.11.11.11:3695 outside 0 0 1  Last: 10.10.10.10 (6 secs ago)

Scanning Threat

1. Maak een ACL op de externe interface die alle TCP-pakketten toestaat die naar een doelserver aan de binnenkant van de ASA worden verzonden (10.11.11.11):

   access-list outside_in extended line 1 permit tcp any host 10.11.11.11
   access-group outside_in in interface outside

   Opmerking: om de IP's van het doelwit en de aanvaller te kunnen volgen, moet het verkeer via de ASA worden toegestaan.

2. Als de doelserver niet echt bestaat, of als deze de verbindingspogingen van de aanvaller reset, configureer dan een nep-ARP-vermelding op de ASA om het aanvalsverkeer in de interne interface te blokkeren:

   arp inside 10.11.11.11 dead.dead.dead

   Opmerking: Verbindingen die door de doelserver worden gereset, worden niet meegeteld als onderdeel van de bedreiging.

3. Vanaf een aanvaller aan de buitenkant van de ASA (10.10.10.10) gebruikt u nmap om een TCP SYN-scan uit te voeren tegen elke poort op de doelserver:

   nmap -sS -T5 -p1-65535 -Pn 10.11.11.11

   Opmerking: T5 configureert nmap om de scan zo snel mogelijk uit te voeren. Op basis van de bronnen van de aanvaller-pc is dit nog steeds niet snel genoeg om enkele van de standaardtarieven te activeren. Als dit het geval is, verlaagt u gewoon de geconfigureerde tarieven voor de dreiging die u wilt zien. Wanneer u de ARI en BRI op 0 instelt, zorgt Basic Threat Detection ervoor dat de dreiging altijd wordt geactiveerd, ongeacht de snelheid.

4. Merk op dat een Scanning-dreiging wordt gedetecteerd, het IP-adres van de aanvaller wordt bijgehouden en de aanvaller wordt gemeden:

   %ASA-1-733100: [ Scanning] drop rate-1 exceeded. Current burst rate is 17 per second,
   max configured rate is 10; Current average rate is 0 per second,
    max configured rate is 5; Cumulative total count is 404
   %ASA-4-733101: Host 10.10.10.10 is attacking. Current burst rate is 17 per second,
    max configured rate is 10; Current average rate is 0 per second,
    max configured rate is 5; Cumulative total count is 700
   %ASA-4-733102: Threat-detection adds host 10.10.10.10 to shun list
   
   

Gerelateerde informatie

• ASA-configuratiehandleiding
• ASA-opdrachtverwijzing
• Cisco Secure Firewall ASA-reeks Syslog-berichten
• Cisco Technical Support en downloads