セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

ASA の脅威検出機能および設定

2015 年 6 月 29 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2013 年 6 月 28 日) | 英語版 (2015 年 4 月 23 日) | フィードバック


目次


概要

このドキュメントでは、Cisco 適応型セキュリティ アプライアンス(ASA)の脅威検出機能の機能性および基本設定について説明します。 脅威検出機能を使用することで、ファイアウォール管理者は、攻撃が内部ネットワーク インフラストラクチャに到達する前に攻撃を特定、認識および停止できます。 そのため、この機能では、さまざまな多くのトリガおよび統計情報が使用されます。これらについては、このセクションの後半で詳しく説明します。

脅威検出機能は、ソフトウェア バージョン 8.0(2) 以降を実行する ASA ファイアウォールで使用できます。 脅威検出は、専用 IDS/IPS ソリューションの代わりには使用できませんが、IPS が ASA のコア機能の保護を強化できない環境で使用できます。

注: ミハエル Robertson によって貢献される、Cisco TAC エンジニア。

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス

使用するコンポーネント

このドキュメントの情報は、Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンスに基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

脅威検出機能

脅威検出機能には、次の 3 つのメイン コンポーネントがあります。

  1. 基本的な脅威の検出

  2. 高度な脅威の検出

  3. スキャン脅威の検出

これらの各コンポーネントは、このセクションで詳しく説明します。

基本的な脅威の検出(システム レベル レート)

基本的な脅威の検出は、デフォルトで 8.0(2) 以降を実行するすべての ASA でイネーブルです。

基本的な脅威の検出は、さまざまな理由で ASA によりパケットがドロップされるレートを監視します。 つまり、基本的な脅威の検出により生成される統計情報は、アプライアンス全体を対象とするだけで、一般的には、脅威の発信元または固有の性質に関する情報を提供するだけの詳細は含まれません。 ただし、ASA は、次のイベントでドロップされるパケットを監視します。

  • ACL Drop(acl-drop):アクセス リストにより拒否されるパケット

  • Bad Pkts(bad-packet-drop):RFC 標準に準拠しない L3 および L4 ヘッダーを含む、無効なパケット形式

  • Conn Limit(conn-limit-drop):設定済みまたはグローバル接続制限を超えるパケット

  • DoS Attack(dos-drop):サービス拒否(DoS)攻撃

  • ファイアウォール(fw-drop):基本的なファイアウォール セキュリティ チェック

  • ICMP 攻撃(icmp-drop):疑わしい ICMP パケット

  • 検査(inspect-drop):アプリケーション検査による拒否

  • インターフェイス(interface-drop)インターフェイス チェックによりドロップされるパケット

  • スキャン(scanning-threat):ネットワーク/ホスト スキャン攻撃

  • SYN 攻撃(syn-attack):TCP SYN 攻撃およびデータのない UDP セッションを含む不完全セッション攻撃

これらの各イベントには、脅威の特定に使用されるトリガの特定のセットが含まれます。 ほとんどのトリガは、特定の ASP ドロップの理由に関連付けられますが、特定の syslog および検査アクションも考慮されます。 一部のトリガは、複数の脅威カテゴリで監視されます。 次の表に示すトリガは、一般的なトリガのすべてではなく、一部のみです。

基本的な脅威 トリガ/ASP ドロップの理由
acl-drop
acl-drop
bad-packet-drop
invalid-tcp-hdr-length
invalid-ip-header
inspect-dns-pak-too-long
inspect-dns-id-not-matched
conn-limit-drop
conn-limit
dos-drop
sp-security-failed
fw-drop
inspect-icmp-seq-num-not-matched
inspect-dns-pak-too-long
inspect-dns-id-not-matched
sp-security-failed
acl-drop
icmp-drop
inspect-icmp-seq-num-not-matched
inspect-drop インスペクション エンジンでトリガされるフレーム ドロップ
interface-drop
sp-security-failed
no-route
scanning-threat
tcp-3whs-failed
tcp-not-syn
sp-security-failed
acl-drop
inspect-icmp-seq-num-not-matched
inspect-dns-pak-too-long
inspect-dns-id-not-matched
syn-attack 解放の理由が「SYN タイムアウト」である %ASA-6-302014 syslog

各イベントに対して、基本的な脅威の検出は、設定期間でドロップが発生するレートを測定します。 この期間は、平均レート間隔(ARI)と呼ばれ、600 秒~ 30 日の範囲を指定できます。 ARI 内で発生するイベント数が、設定されているレートしきい値を超えると、ASA は、これらのイベントを脅威と見なします。

基本的な脅威の検出では、イベントが脅威と見なされる 2 種類のしきい値を設定できます。 これらは、平均レートバースト レートです。 平均レートは、設定 ARI の期間内における 1 秒あたりの平均ドロップ数です。 たとえば、ARI が 600 秒で、ACL ドロップの平均レートしきい値が 400 に設定されている場合、ASA は、最後の 600 秒で ACL によりドロップされた平均パケット数を計算します。 この数値が 1 秒あたり 400 を超えると、ASA は脅威を記録します。

バースト レートも非常に似ていますが、バースト レート間隔(BRI)と呼ばれる、より短い期間のスナップショット データを使用します。 BRI は常に ARI 未満です。 たとえば、前述の例に基づき、ACL ドロップの ARI が 600 秒、バースト レートが 800 の場合について説明します。 この場合、ASA は、20 秒の BRI で、最後の 20 秒で ACL によりドロップされた平均パケット数を計算します。 この計算された値が 1 秒あたり 800 ドロップを超えると、脅威が記録されます。 使用される BRI については、ASA は、ARI の 30 分の 1 の値を使用します。 そのため、前述の例では、600 秒の 30 分の 1 の 20 秒が使用されます。 ただし、脅威検出の最小 BRI は 10 秒なので、ARI の 30 分の 1 の値が 10 未満の場合、ASA は BRI として 10 秒を使用します。 また、8.2(1) よりも前のバージョンでは、この動作が異なるので注意してください。これらのバージョンでは、ARI の 30 分の 1 ではなく、60 分の 1 の値が使用されます。 最小 BRI は、すべてのソフトウェア バージョンで 10 秒です。

基本的な脅威が検出されると、ASA は、syslog %ASA-4-733100 を生成し、潜在的な脅威が特定されたことを管理者に警告します。 show threat-detection rate コマンドを使用すると、各脅威カテゴリのイベントの平均数、現在の数、合計数を表示できます。 基本的な脅威の検出では、攻撃トラフィックを停止したり、今後の攻撃を防ぐことはありません。 そのため、基本的な脅威の検出は、情報提供のみを目的として、監視またはレポート メカニズムとして使用できます。

高度な脅威の検出(オブジェクト レベルの統計情報と上位 N 個)

基本的な脅威の検出と同様、高度な脅威の検出は、より詳細なオブジェクトを対象とした統計情報の追跡に使用できます。 ASA は、ホスト IP、ポート、プロトコル、ACL、および TCP インターセプトで保護されるサーバの統計情報追跡をサポートします。 高度な脅威の検出は、デフォルトで、ACL 統計情報のみでイネーブルにされます。

ホスト、ポートおよびプロトコル オブジェクトについて、脅威検出は、特定期間内でオブジェクトにより送受信されたパケット数、バイト数、ドロップ数を追跡します。 ACL に対して、脅威検出は、特定期間内で最も発生した上位 10 の ACE(許可と拒否の両方)を追跡します。

すべての状況における追跡期間は、20 分、1 時間、8 時間、24 時間です。 これらの期間は設定できませんが、オブジェクトごとの追跡期間は、「number-of-rate」キーワードを使用して調整できます。 詳細については、「コンフィギュレーション」セクションを参照してください。 たとえば、「number-of-rate」が 2 に設定されている場合、20 分、1 時間、8 時間ですべての統計情報を表示できます。 「number-of-rate」が 1 に設定されている場合、20 分、1 時間ですべての統計情報を表示できます。 20 分のレートは必ず表示されます。

TCP インターセプトがイネーブルの場合、脅威検出は、攻撃を受けていると見なされ、TCP インターセプトで保護される上位 10 のサーバを追跡できます。 TCP インターセプトの統計情報は、測定レート間隔と特定の平均(ARI)およびバースト(BRI)レートを設定できるという点では、基本的な脅威の検出に似ています。 TCP インターセプトの高度な脅威の検出統計情報は、ASA 8.0(4) 以降のみで使用できます。

高度な脅威の検出の統計情報は、show threat-detection statistics および show threat-detection statistics top コマンドを介して表示されます。 これは、ASDM のファイアウォール ダッシュボードの「上位」グラフに使用される機能でもあります。 高度な脅威の検出により生成される syslog は、%ASA-4-733104 および %ASA-4-733105 のみです。これは、TCP インターセプトの統計情報で、それぞれ平均およびバースト レートを超えるとトリガされます。

基本的な脅威の検出と同様、高度な脅威の検出も情報を提供するだけです。 高度な脅威の検出の統計情報に基づいてトラフィックをブロックすることはありません。

スキャン脅威の検出

スキャン脅威の検出は、サブネットの大量のホストまたはホスト/サブネットの大量のポートと接続する、疑わしい攻撃者を追跡するために使用されます。 スキャン脅威の検出は、デフォルトでディセーブルです。

スキャン脅威の検出は、スキャン攻撃の脅威のカテゴリをすでに定義している、基本的な脅威の検出の概念に基づいています。 そのため、レート間隔、平均レート(ARI)およびバースト レート(BRI)設定は、基本的な脅威の検出およびスキャン脅威の検出間で共有されます。 これらの 2 つの機能間の違いは、基本的な脅威の検出は、平均またはバースト レートしきい値の情報を示すだけですが、スキャン脅威の検出は、スキャン対象のホストでより詳細な情報を提供できる攻撃者およびターゲット IP アドレスのデータベースを保守します。 また、ターゲット ホスト/サブネットで実際に受信されるトラフィックだけが、スキャン脅威の検出と見なされます。 基本的な脅威の検出は、トラフィックが ACL によりドロップされる場合でも、スキャン脅威をトリガできます。

スキャン脅威の検出は、オプションで、攻撃者 IP 排除により攻撃者に対応できます。 このため、スキャン脅威の検出は、ASA を介した接続にアクティブに影響する脅威検出機能の唯一のサブセットです。

スキャン脅威の検出により攻撃が検出されると、攻撃者およびターゲット IP で %ASA-4-733101 が記録されます。 攻撃者を排除するように設定されている場合、スキャン脅威の検出で排除が生成されると、%ASA-4-733102 が記録されます。 %ASA-4-733103 は、排除が削除されると記録されます。 show threat-detection scanning-threat コマンドは、スキャンの脅威のデータベース全体を表示するときに使用されます。

制限事項

  • 脅威検出は、ASA 8.0(2) 以降のみで使用できます。 これは、ASA 1000V プラットフォームではサポートされません。

  • 脅威検出は、シングル コンテキスト モードのみでサポートされます。

  • through-the-box 脅威のみが検出されます。 ASA 自体に送信されるトラフィックは、脅威検出のみで考慮されます。

  • ターゲットにされたサーバでリセットされる TCP 接続は、SYN 攻撃またはスキャン脅威としてカウントされません。

設定

基本的な脅威の検出

基本的な脅威の検出は、threat-detection basic-threat コマンドを使用してイネーブルにされます。

ciscoasa(config)# threat-detection basic-threat

デフォルト レートは、show run all threat-detection コマンドを使用して表示できます。

ciscoasa(config)# sh run all threat-detection
threat-detection rate dos-drop rate-interval 600 average-rate 100 
burst-rate 400
threat-detection rate dos-drop rate-interval 3600 average-rate 80 
burst-rate 320
threat-detection rate bad-packet-drop rate-interval 600 average-rate 100 
burst-rate 400
threat-detection rate bad-packet-drop rate-interval 3600 average-rate 80 
burst-rate 320
threat-detection rate acl-drop rate-interval 600 average-rate 400 
burst-rate 800
threat-detection rate acl-drop rate-interval 3600 average-rate 320 
burst-rate 640
threat-detection rate conn-limit-drop rate-interval 600 average-rate 100 
burst-rate 400
threat-detection rate conn-limit-drop rate-interval 3600 average-rate 80 
burst-rate 320
threat-detection rate icmp-drop rate-interval 600 average-rate 100 
burst-rate 400
threat-detection rate icmp-drop rate-interval 3600 average-rate 80 
burst-rate 320
threat-detection rate scanning-threat rate-interval 600 average-rate 5 
burst-rate 10
threat-detection rate scanning-threat rate-interval 3600 average-rate 4 
burst-rate 8
threat-detection rate syn-attack rate-interval 600 average-rate 100 
burst-rate 200
threat-detection rate syn-attack rate-interval 3600 average-rate 80 
burst-rate 160
threat-detection rate fw-drop rate-interval 600 average-rate 400 
burst-rate 1600
threat-detection rate fw-drop rate-interval 3600 average-rate 320 
burst-rate 1280
threat-detection rate inspect-drop rate-interval 600 average-rate 400 
burst-rate 1600
threat-detection rate inspect-drop rate-interval 3600 average-rate 320 
burst-rate 1280
threat-detection rate interface-drop rate-interval 600 average-rate 2000 
burst-rate 8000
threat-detection rate interface-drop rate-interval 3600 average-rate 1600 
burst-rate 6400

カスタム値を使用してこれらのレートを調整するには、該当する脅威カテゴリで threat-detection rate コマンドを再設定します。

ciscoasa(config)# threat-detection rate acl-drop rate-interval 1200 
average-rate 250 burst-rate 550

各脅威カテゴリには、最大 3 種類のレートを定義できます(レート ID、レート 1、レート 2、レート 3)。 超過した特定のレート ID は、%ASA-4-733100 syslog で参照されます。

前述の例では、脅威検出は、1200 秒間で 1 秒あたりの ACL ドロップ数が 250 を超える、または 40 秒間で 1 秒値のドロップ数が 550 を超える場合のみ syslog 733100 を作成します。

高度な脅威の検出

高度な脅威の検出をイネーブルにするには、threat-detection statistics コマンドを使用します。 特定の機能キーワードを提供しない場合、すべての統計情報の追跡がイネーブルになります。

ciscoasa(config)# threat-detection statistics ?

configure mode commands/options:
 access-list      Keyword to specify access-list statistics
 host            Keyword to specify IP statistics
 port            Keyword to specify port statistics
 protocol       Keyword to specify protocol statistics
 tcp-intercept   Trace tcp intercept statistics
 <cr>

ホスト、ポート、プロトコルまたは ACL 統計情報で追跡されるレート間隔を設定するには、number-of-rate キーワードを使用します。

ciscoasa(config)# threat-detection statistics host number-of-rate 2

number-of-rate キーワードは、脅威追跡を設定して、間隔の最も短い n のみを追跡します。

TCP インターセプト統計情報をイネーブルにするには、threat-detection statistics tcp-intercept コマンドを使用します。

ciscoasa(config)# threat-detection statistics tcp-intercept

TCP インターセプト統計情報のカスタム レートを設定するには、rate-intervalaverage-rateburst-rate キーワードを使用します。

ciscoasa(config)# threat-detection statistics tcp-intercept 
rate-interval 45 burst-rate 400 average-rate 100

スキャン脅威の検出

スキャン脅威の検出をイネーブルにするには、threat-detection scanning-threat コマンドを使用します。

ciscoasa(config)# threat-detection scanning-threat

スキャン脅威のレートを調整するには、基本的な脅威の検出により使用される threat-detection rate コマンドを使用します。

ciscoasa(config)# threat-detection rate scanning-threat rate-interval 1200 
average-rate 250 burst-rate 550

ASA でスキャン攻撃者 IP を排除できるようにするには、shun キーワードを threat-detection scanning-threat コマンドに追加します。

ciscoasa(config)# threat-detection scanning-threat shun

これにより、スキャン脅威の検出で、攻撃者を 1 時間排除できます。 排除の期間を調整するには、threat-detection scanning-threat shun duration コマンドを使用します。

ciscoasa(config)# threat-detection scanning-threat shun duration 1000

場合によっては、ASA による特定の IP 排除を回避できます。 このようにするには、threat-detection scanning-threat shun except コマンドで例外を作成します。

ciscoasa(config)# threat-detection scanning-threat shun except ip-address 
10.1.1.1 255.255.255.255
ciscoasa(config)# threat-detection scanning-threat shun except object-group no-shun

パフォーマンス

基本的な脅威の検出が ASA のパフォーマンスに与える影響はごくわずかです。 高度な脅威の検出およびスキャン脅威の検出は、メモリでさまざまな統計情報を追跡する必要があるので、多くのリソースを消費します。 許可されるトラフィックにアクティブに影響するのは、shun 機能をイネーブルにしたスキャン脅威の検出のみです。

ASA ソフトウェア バージョンが上がるにつれ、脅威検出のメモリ使用率は大幅に最適化されています。 ただし、脅威検出をイネーブルにする前後で、ASA のメモリ使用率を注意して監視する必要があります。 場合によっては、特定の問題をアクティブにトラブルシューティングするために、一時的に特定の統計情報(たとえば、ホスト統計情報)をイネーブルにする必要があります。

脅威検出のメモリ使用率の詳細を表示するには、show memory app-cache threat-detection [detail] コマンドを使用します。

推奨される対処法

基本ドロップ レートを超えて %ASA-4-733100 が生成された場合

%ASA-4-733100 syslog に示されている特定の脅威カテゴリを判別して、これを show threat-detection rate の出力と関連付けます。 この情報を使用して、show asp drop の出力をチェックし、トラフィックがドロップされる理由を調べます。

特定の理由でドロップされるトラフィックの詳細を示すために、その理由で ASP ドロップ キャプチャを使用して、ドロップされるすべてのパケットを表示します。 たとえば、ACL ドロップ脅威が記録される場合、ASP ドロップの理由を acl-drop としてキャプチャします。

ciscoasa# capture drop type asp-drop acl-drop

ciscoasa# show capture drop

1 packet captured

   1: 18:03:00.205189 10.10.10.10.60670 > 192.168.1.100.53:  udp 34 
      Drop-reason: (acl-drop) Flow is denied by configured rule

このキャプチャにより、10.10.10.10 から 192.168.1.100 の UDP/53 パケットがドロップされることがわかります。

%ASA-4-733100 がスキャン脅威を報告する場合、一時的にスキャン脅威の検出をイネーブルにすることもできます。 これにより、ASA は、攻撃に関連する送信元および宛先 IP を追跡できます。

基本的な脅威の検出は、通常、ASP によりドロップされるトラフィックを監視するので、潜在的な脅威を停止するために必要な操作はありません。 ただし、SYN 攻撃およびスキャン脅威は例外で、これらは ASA を介して送受信されるトラフィックと関連します。

ASP ドロップ キャプチャに示されるドロップが、ネットワーク環境で許可または予測されている場合、基本レート間隔を適切な値に調整します。

ドロップが不正なトラフィックを示す場合、ASA に到着する前にトラフィックをブロックまたはレート制限する必要があります。 これにはアップストリーム デバイスの ACL や QoS が含まれます。

SYN 攻撃では、トラフィックは ASA の ACL でブロックできます。 TCP インターセプトは、ターゲットにされたサーバを保護するように設定できますが、この場合、接続制限脅威が記録されるだけです。

スキャン攻撃では、トラフィックは ASA の ACL でブロックできます。 shun オプションを使用したスキャン脅威の検出をイネーブルにして、ASA が一定期間で攻撃者からのすべてのパケットをプロアクティブにブロックできます。

スキャン脅威が検出されて %ASA-4-733101 がログに記録された場合

%ASA-4-733101 は、ターゲット ホスト/サブネットまたは攻撃者 IP アドレスのいずれかをリストします。 ターゲットおよび攻撃者の詳細なリストについては、show threat-detection scanning-threat の出力をチェックします。

攻撃者およびターゲットに接する ASA インターフェイスのパケット キャプチャも、攻撃の性質の解明に役に立ちます。

検出されたスキャンが予定外の場合、ASA に到着する前にトラフィックをブロックまたはレート制限する必要があります。 これにはアップストリーム デバイスの ACL や QoS が含まれます。 スキャン脅威の検出設定に shun オプションを追加すると、ASA は、一定期間で攻撃者 IP からすべてのパケットをプロアクティブにドロップできるようになります。 最終的な手段として、ACL または TCP インターセプト ポリシーを介して ASA でトラフィックを手動でブロックすることもできます。

検出されたスキャンが誤検出の場合、ネットワーク環境に合わせてスキャン脅威のレート間隔を適切な値に調整します。

攻撃者が排除されて %ASA-4-733102 がログに記録された場合

%ASA-4-733102 は、排除された攻撃者の IP アドレスをリストします。 show threat-detection shun コマンドを使用して、脅威検出により明確に排除された攻撃者の完全なリストを表示します。 show shun コマンドを使用して、ASA によりアクティブに排除されるすべての IP の完全なリストを表示します(脅威検出以外の送信元も含む)。

shun が正当な攻撃の一部である場合、処置は必要ありません。 ただし、できるだけ送信元のアップストリームで、攻撃者のトラフィックを手動でブロックすることをお勧めします。 これは ACL や QoS で実施できます。 これにより、中間デバイスが不正トラフィックの処理にリソースを浪費しなくなります。

shun をトリガしたスキャンの脅威が誤検出の場合、clear threat-detection shun [IP_address] コマンドを使用して shun を手動で削除します。

%ASA-4-733104 または %ASA-4-733105 がログに記録された場合

%ASA-4-733104 および %ASA-4-733105 は、TCP インターセプトで現在保護されている攻撃のターゲットとされるホストをリストします。 攻撃レートおよび保護サーバの詳細については、show threat-detection statistics top tcp-intercept の出力をチェックしてください。

ciscoasa# show threat-detection statistics top tcp-intercept
Top 10 protected servers under attack (sorted by average rate)
Monitoring window size: 30 mins    Sampling interval: 30 secs 
----------------------------------------------------------------------------------
1    192.168.1.2:5000 inside 1249 9503 2249245  Last: 10.0.0.3 (0 secs ago)
2    192.168.1.3:5000 inside 10 10 6080 10.0.0.200 (0 secs ago)
3    192.168.1.4:5000 inside 2 6 560 10.0.0.200 (59 secs ago)
4    192.168.1.5:5000 inside 1 5 560 10.0.0.200 (59 secs ago)
5    192.168.1.6:5000 inside 1 4 560 10.0.0.200 (59 secs ago)
6    192.168.1.7:5000 inside 0 3 560 10.0.0.200 (59 secs ago)
7    192.168.1.8:5000 inside 0 2 560 10.0.0.200 (59 secs ago)
8    192.168.1.9:5000 inside 0 1 560 10.0.0.200 (59 secs ago)
9    192.168.1.10:5000 inside 0 0 550 10.0.0.200 (2 mins ago)
10   192.168.1.11:5000 inside 0 0 550 10.0.0.200 (5 mins ago)

高度な脅威の検出がこのような攻撃を検出した場合、ターゲットにされたサーバは、ASA により TCP インターセプトを介して保護されています。 設定されている接続制限を参照して、攻撃の性質およびレートが適切に保護されているか確認します。 また、できるだけ送信元のアップストリームで、攻撃者のトラフィックを手動でブロックすることをお勧めします。 これは ACL や QoS で実施できます。 これにより、中間デバイスが不正トラフィックの処理にリソースを浪費しなくなります。

検出された攻撃が誤検出の場合、threat-detection statistics tcp-intercept コマンドを使用して、TCP インターセプト攻撃のレートを適切な値に調整します。

脅威を手動でトリガする方法

テストおよびトラブルシューティングのために、さまざまな脅威を手動でトリガすることをお勧めします。 このセクションでは、いくつかの基本的な脅威のタイプのトリガに関するヒントについて説明します。

基本的な脅威:ACL ドロップ、ファイアウォール、およびスキャニング

特定の基本的な脅威をトリガするには、前述の「機能」セクションの表を参照してください。 特定の ASP ドロップの理由を選択して、適切な ASP ドロップの理由によりドロップされるトラフィックを ASA を介して送信します。

たとえば、ACL ドロップ、ファイアウォールおよびスキャン脅威はすべて、acl-drop でドロップされるパケットのレートです。 これらの脅威を同時にトリガするには、次の手順を実行します。

  1. ASA(10.11.11.11)内部でターゲット サーバに送信されるすべての TCP パケットを明示的にドロップする ACL を ASA の外部インターフェイスで作成します。

    access-list outside_in extended line 1 deny tcp any host 
    10.11.11.11
    access-list outside_in extended permit ip any any
    access-group outside_in in interface outside
  2. ASA(10.10.10.10)の外側の攻撃者が nmap を使用してターゲット サーバのすべてのポートに対して TCP SYN スキャンを実行します。

    nmap -sS -T5 -p1-65535 -Pn 10.11.11.11

    注: -T5 は、可能な限り高速にスキャンを実行するように nmap を設定します。 攻撃者 PC のリソースによっては、これでも一部のデフォルト レートをトリガするのに十分な速度を得られない場合があります。 この場合は単純に確認したい脅威の設定されたレートを下げます。 ARI と BRI を 0 に設定すると、基本的な脅威の検出はレートとは無関係に常に脅威をトリガします。

  3. 基本的な権威は ACL ドロップ、ファイアウォールおよびスキャン脅威で検出されます。

    %ASA-1-733100: [ Scanning] drop rate-1 exceeded. Current burst rate 
    is 19 per second, max configured rate is 10; Current average rate is 9 
    per second, max configured rate is 5; Cumulative total count is 5538
    %ASA-1-733100: [ ACL drop] drop rate-1 exceeded. Current burst rate is 19 
    per second, max configured rate is 0; Current average rate is 2 per second, 
    max configured rate is 0; Cumulative total count is 1472
    %ASA-1-733100: [ Firewall] drop rate-1 exceeded. Current burst rate is 18 
    per second, max configured rate is 0; Current average rate is 2 per second, max 
    configured rate is 0; Cumulative total count is 1483

    注: この例では、ACL ドロップおよびファイアウォールの ARI および BRI は、0 に設定されているので常に脅威がトリガされます。 このため、最大設定レートが 0 としてリストされます。

高度な脅威:TCP インターセプト

次の手順を実行します。

  1. 外部インターフェイスで ACL を作成し、ASA(10.11.11.11)の内側にあるターゲット サーバへ送信されるすべての TCP パケットを許可します。

    access-list outside_in extended line 1 permit tcp any host 10.11.11.11
    access-group outside_in in interface outside
  2. ターゲット サーバが実際には存在しない場合、または攻撃者からの接続の試みに対してリセットを行う場合は、ASA で偽装 ARP エントリを設定して内側のインターフェイスから送信される攻撃トラフィックを吸い込みます。

    arp inside 10.11.11.11 dead.dead.dead
  3. 単純な TCP インターセプト ポリシーを ASA で作成します。

    access-list tcp extended permit tcp any any
    class-map tcp
      match access-list tcp
    policy-map global_policy
      class tcp
        set connection conn-max 2
    service-policy global_policy global
  4. ASA(10.10.10.10)の外側の攻撃者が nmap を使用してターゲット サーバのすべてのポートに対して TCP SYN スキャンを実行します。

    nmap -sS -T5 -p1-65535 -Pn 10.11.11.11
  5. 脅威検出は、保護サーバを追跡します。

    ciscoasa(config)#  show threat-detection statistics top tcp-intercept
    Top 10 protected servers under attack (sorted by average rate)
    Monitoring window size: 30 mins    Sampling interval: 30 secs
          
    --------------------------------------------------------------------------------
    1    10.11.11.11:18589 outside 0 0 1 10.10.10.10 (36 secs ago)
    2    10.11.11.11:47724 outside 0 0 1 10.10.10.10 (36 secs ago)
    3    10.11.11.11:46126 outside 0 0 1  Last: 10.10.10.10 (6 secs ago)
    4    10.11.11.11:3695 outside 0 0 1  Last: 10.10.10.10 (6 secs ago)

スキャン脅威

次の手順を実行します。

  1. 外部インターフェイスで ACL を作成し、ASA(10.11.11.11)の内側にあるターゲット サーバへ送信されるすべての TCP パケットを許可します。

    access-list outside_in extended line 1 permit tcp any host 
    10.11.11.11
    access-group outside_in in interface outside

    注: スキャン脅威の検出によりターゲットおよび攻撃者の IP を追跡するには、ASA を介してトラフィックを許可する必要があります。

  2. ターゲット サーバが実際には存在しない場合、または攻撃者からの接続の試みに対してリセットを行う場合は、ASA で偽装 ARP エントリを設定して内側のインターフェイスから送信される攻撃トラフィックを吸い込みます。

    arp inside 10.11.11.11 dead.dead.dead

    注: ターゲット サーバでリセットされる接続は、脅威の一部としてカウントされません。

  3. ASA(10.10.10.10)の外側の攻撃者が nmap を使用してターゲット サーバのすべてのポートに対して TCP SYN スキャンを実行します。

    nmap -sS -T5 -p1-65535 -Pn 10.11.11.11

    注: -T5 は、可能な限り高速にスキャンを実行するように nmap を設定します。 攻撃者 PC のリソースによっては、これでも一部のデフォルト レートをトリガするのに十分な速度を得られない場合があります。 この場合は単純に確認したい脅威の設定されたレートを下げます。 ARI と BRI を 0 に設定すると、基本的な脅威の検出はレートとは無関係に常に脅威をトリガします。

  4. スキャン脅威が検出され、攻撃者の IP が追跡され、攻撃者が排除されます。

    %ASA-1-733100: [ Scanning] drop rate-1 exceeded. Current 
    burst rate is 17 per second, max configured rate is 10; Current average 
    rate is 0 per second, max configured rate is 5; Cumulative total count is 404
    %ASA-4-733101: Host 10.10.10.10 is attacking. Current burst rate is 17 
    per second, max configured rate is 10; Current average rate is 0 per second, 
    max configured rate is 5; Cumulative total count is 700
    %ASA-4-733102: Threat-detection adds host 10.10.10.10 to shun list

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 113685