Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

Функциональность обнаружения угрозы ASA и конфигурация

25 декабря 2014 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (24 сентября 2014) | Отзыв


Содержание


Введение

Этот документ описывает функциональность и базовую конфигурацию особенности Обнаружения Угрозы Адаптивного прибора безопасности (ASA) Cisco. Обнаружение угрозы предоставляет администраторам брандмауэра необходимые инструменты, чтобы определить, понять, и остановить нападения, прежде чем они достигнут инфраструктуры внутренней сети. Чтобы сделать так, особенность полагается на многие различные спусковые механизмы и статистику, которая описана более подробно в этих секциях.

Обнаружение угрозы может использоваться на любом брандмауэре ASA, который управляет версией программного обеспечения 8.0 (2) или позже. Хотя обнаружение угрозы не является заменой для специального решения IDS/IPS, оно может использоваться в окружающей среде, где IPS не доступен для обеспечения добавленного слоя защиты к основной функциональности ASA.

Примечание: внесенный Майклом Робертсоном, Cisco инженер TAC.

Предпосылки

Требования

Cisco рекомендует иметь знание этих тем:

  • Ряд Cisco ASA 5500 адаптивные приборы безопасности

Используемые компоненты

Информация в этом документе основана на ряду Cisco ASA 5500 Адаптивные Приборы безопасности.

Информация в этом документе была создана из устройств в определенной окружающей среде лаборатории. Все устройства, используемые в этом документе, начали с очищенного (неплатеж) конфигурацию. Если ваша сеть жива, удостоверьтесь, что вы понимаете потенциальное воздействие любой команды.

Соглашения

Направьте в Cisco Технические Соглашения Подсказок для получения дополнительной информации о соглашениях документа.

Функциональность обнаружения угрозы

Особенность обнаружения угрозы имеет три главных компонента:

  1. Основное обнаружение угрозы

  2. Передовое обнаружение угрозы

  3. Просмотр обнаружения угрозы

Каждый из этих компонентов описан подробно в этих секциях.

Основное обнаружение угрозы (системные показатели уровня)

Основное обнаружение угрозы позволено по умолчанию на всем ASAs управление 8.0 (2) и позже.

Основное обнаружение угрозы контролирует ставки, по которым пакеты уронены по различным причинам ASA в целом. Это означает, что статистические данные, произведенные основным обнаружением угрозы только, относятся ко всему прибору и обычно не достаточно гранулированы для предоставления информации об источнике или специфическом характере угрозы. Вместо этого ASA контролирует уроненные пакеты для этих событий:

  • Снижение ACL (acl-снижение) — Пакеты отрицается списками доступа

  • Плохой Pkts (плохое снижение пакета) — Недействительные форматы пакета, который включает L3 и заголовки L4, которые не соответствуют стандартам RFC

  • Предел Коннектикута (conn-limit-drop) — Пакеты, которые превышают формируемый или глобальный предел связи

  • Нападение DoS (снижение DOS) — нападения Отказа в обслуживании (DoS)

  • Брандмауэр (fw-снижение) — Основные проверки безопасности брандмауэра

  • Нападение ICMP (icmp-снижение) — Подозрительные пакеты ICMP

  • Осмотрите (осматривать-снижение) — Опровержение прикладным контролем

  • Интерфейс (интерфейсное снижение) — Пакеты понизился интерфейсными чеками

  • Просмотр (угрозы просмотра) — нападения просмотра Сети/хозяина

  • Нападение SYN (syn-нападение) — Неполные нападения сессии, который включает TCP SYN нападения и сессии UDP без данных

Каждое из этих событий имеет определенный набор спусковых механизмов, которые используются для идентификации угрозы. Большинство спусковых механизмов скреплено к определенным причинам снижения ASP, хотя бесспорный syslogs, и инспекционные действия также рассматривают. Некоторые спусковые механизмы проверены многократными категориями угрозы. Некоторые наиболее распространенные спусковые механизмы обрисованы в общих чертах в этом столе, хотя это не исчерпывающий список:

Основная угроза Спусковой механизм (ы) / Причина (ы) Снижения ASP
acl-снижение
acl-drop
плохое снижение пакета
invalid-tcp-hdr-length
invalid-ip-header
inspect-dns-pak-too-long
inspect-dns-id-not-matched
conn-limit-drop
conn-limit
снижение DOS
sp-security-failed
fw-снижение
inspect-icmp-seq-num-not-matched
inspect-dns-pak-too-long
inspect-dns-id-not-matched
sp-security-failed
acl-drop
icmp-снижение
inspect-icmp-seq-num-not-matched
осматривать-снижение Снижения структуры вызваны инспекционным двигателем
интерфейсное снижение
sp-security-failed
no-route
угроза просмотра
tcp-3whs-failed
tcp-not-syn
sp-security-failed
acl-drop
inspect-icmp-seq-num-not-matched
inspect-dns-pak-too-long
inspect-dns-id-not-matched
syn-нападение %ASA-6-302014 syslog with teardown reason of "SYN Timeout"

Для каждого события основное обнаружение угрозы измеряет ставки, что эти снижения происходят за формируемый промежуток времени. Этот промежуток времени называют интервалом средней нормы (ARI) и может колебаться от 600 секунд до 30 дней. Если число событий, которые происходят в пределах ARI, превышает формируемые пороги уровня, ASA считает эти события угрозой.

Основное обнаружение угрозы имеет два конфигурируемых порога для того, когда оно полагает, что события угроза: средняя норма и скорость передачи пакетов. Средняя норма является просто средним числом снижений в секунду в пределах периода времени формируемого ARI. Например, если порог средней нормы для снижений ACL формируется для 400 с ARI 600 секунд, ASA вычисляет среднее число пакетов, которые были уронены ACLs за прошлые 600 секунд. Если это число, оказывается, больше, чем 400 в секунду, ASA регистрирует угрозу.

Аналогично, скорость передачи пакетов очень подобна, но смотрит на меньшие периоды данных о снимке, названных интервалом скорости передачи пакетов (BRI). BRI всегда меньше, чем ARI. Например, основываясь на предыдущем примере, ARI для снижений ACL является все еще 600 секундами и теперь имеет скорость передачи пакетов 800. С этими ценностями ASA вычисляет среднее число пакетов, уроненных ACLs за прошлые 20 секунд, где 20 секундами является BRI. Если эта расчетная стоимость превышает 800 снижений в секунду, угроза зарегистрирована. Для определения то, что BRI используется, ASA вычисляет ценность 1/30-го из ARI. Поэтому, в примере, ранее используемом, 1/30-м из 600 секунд, 20 секунд. Однако обнаружение угрозы имеет минимальный BRI 10 секунд, поэтому, если 1/30-й ARI меньше чем 10, ASA все еще использует 10 секунд в качестве BRI. Кроме того, важно отметить, что это поведение отличалось в версиях до 8.2 (1), который использовал ценность 1/60-го из ARI вместо 1/30-го. Минимальный BRI 10 секунд является тем же самым для всех версий программного обеспечения.

Когда основная угроза обнаружена, ASA просто производит syslog %ASA-4-733100, чтобы привести в готовность администратора, что была определена потенциальная угроза. Среднее число, ток и общее количество событий для каждой категории угрозы могут быть замечены с выставочной командой процента раскрытых преступлений угрозы. Основное обнаружение угрозы не принимает мер, чтобы остановить незаконное движение или предотвратить будущие нападения. В этом смысле основное обнаружение угрозы является чисто информационным и может использоваться в качестве контроля или сообщения о механизме.

Передовое обнаружение угрозы (Статистика уровня объекта и вершина N)

В отличие от Основного Обнаружения Угрозы, Передовое Обнаружение Угрозы может использоваться для прослеживания статистики для большего количества гранулированных объектов. Поддержки ASA, отслеживающие статистику для хозяина IPs, порты, протоколы, ACLs и серверы, защищены точкой пересечения TCP. Передовое Обнаружение Угрозы только позволено по умолчанию для статистики ACL.

Для хозяина, порта и объектов протокола, Обнаружение Угрозы отслеживает число пакетов, байтов и снижений, которые и послал и получил тот объект в пределах определенного периода времени. Для ACLs Обнаружение Угрозы отслеживает лучшие 10 ACEs (и разрешают и отрицают), которые были поражены больше всего в пределах определенного периода времени.

Периоды времени, прослеженные во всех этих случаях, составляют 20 минут, 1 час, 8 часов и 24 часа. В то время как сами периоды времени не конфигурируемы, число периодов, которые прослежены за объект, может быть приспособлено с ключевым словом 'числа уровня'. Посмотрите секцию Конфигурации для получения дополнительной информации. Например, если 'число уровня' установлено в 2, вы видите всю статистику в течение 20 минут, 1 часа и 8 часов. если 'число уровня' установлено в 1, вы видите всю статистику в течение 20 минут, 1 часа. Независимо от того, что, всегда показывается 20-минутный уровень.

Когда точка пересечения TCP позволена, Обнаружение Угрозы может отслеживать лучшие 10 серверов, которые, как полагают, являются под атакой и защищены точкой пересечения TCP. Статистические данные для точки пересечения TCP подобны Основному Обнаружению Угрозы в том смысле, что пользователь может формировать измеренный интервал уровня наряду с определенным средним числом (ARI) и разорвать (BRI) ставки. Передовые статистические данные Обнаружения Угрозы для точки пересечения TCP только доступны в ASA 8.0 (4) и позже.

Передовые статистические данные Обнаружения Угрозы рассматриваются через выставочную статистику обнаружения угрозы и показывают команды вершины статистики обнаружения угрозы. Это - также особенность, ответственная за заселение "главных" графов на приборной панели брандмауэра ASDM. Единственные syslogs, которые произведены Передовым Обнаружением Угрозы, являются %ASA-4-733104 и %ASA-4-733105, которые вызваны, когда средние нормы и скорость передачи пакетов (соответственно) превышены для статистики точки пересечения TCP.

Как Основное Обнаружение Угрозы, Передовое Обнаружение Угрозы является чисто информационным. Никакие меры не приняты для блокирования движения, основанного на Передовой статистике Обнаружения Угрозы.

Просмотр обнаружения угрозы

Просмотр Обнаружения Угрозы используется для отслеживания подозреваемых нападавших, которые создают связи слишком много хозяев в подсети или много портов на хозяине/подсети. Просмотр Обнаружения Угрозы отключен по умолчанию.

Просмотр Обнаружения Угрозы основывается на понятии Основного Обнаружения Угрозы, которое уже определяет категорию угрозы для нападения просмотра. Поэтому, интервал уровня, средняя норма (ARI) и скорость передачи пакетов (BRI) параметры настройки разделен между Основным и Просматривающим Обнаружением Угрозы. Различие между 2 особенностями - то, что, в то время как Основное Обнаружение Угрозы только указывает, что средняя норма или пороги скорости передачи пакетов были пересечены, Просматривая Обнаружение Угрозы, поддерживает базу данных нападавшего и целевых IP-адресов, которые могут помочь обеспечить больше контекста вокруг хозяев, вовлеченных в просмотр. Кроме того, только движение, которое фактически получено целевым хозяином/подсетью, рассматривают путем Просмотра Обнаружения Угрозы. Даже если движение пропущено ACL, основное Обнаружение Угрозы может все еще вызвать угрозу Просмотра.

Просмотр Обнаружения Угрозы может произвольно реагировать на нападение путем избегания нападавшего IP. Это делает Обнаружение Угрозы Просмотра единственным подмножеством особенности Обнаружения Угрозы, которая может активно затронуть связи через ASA.

Когда Просмотр Обнаружения Угрозы обнаруживает нападение, %ASA-4-733101 зарегистрирован для нападавшего и/или целевого IPs. Если особенность формируется для избегания нападавшего, %ASA-4-733102 зарегистрирован, когда Просмотр Обнаружения Угрозы производит избегание. Когда избегание удалено, %ASA-4-733103 зарегистрирован. Выставочная команда угрозы просмотра обнаружения угрозы может использоваться для просмотра всей базы данных Scanning Threat.

Ограничения

  • Обнаружение угрозы только доступно в ASA 8.0 (2) и позже. Это не поддержано на 1000-вольтовой платформе ASA.

  • Обнаружение угрозы только поддержано в единственном способе контекста.

  • Только угрозы через коробку обнаружены. Движение, посланное в сам ASA, не рассматривает Обнаружение Угрозы.

  • Попытки связи TCP, которые перезагружены предназначенным сервером, не посчитаны как угроза нападения или Просмотра SYN.

Конфигурация

Основное обнаружение угрозы

Основное Обнаружение Угрозы позволено с командой основной угрозы обнаружения угрозы.

ciscoasa(config)# threat-detection basic-threat

Ставки по умолчанию могут быть рассмотрены с шоу, управляют всей командой обнаружения угрозы.

ciscoasa(config)# sh run all threat-detection
threat-detection rate dos-drop rate-interval 600 average-rate 100 
burst-rate 400
threat-detection rate dos-drop rate-interval 3600 average-rate 80 
burst-rate 320
threat-detection rate bad-packet-drop rate-interval 600 average-rate 100 
burst-rate 400
threat-detection rate bad-packet-drop rate-interval 3600 average-rate 80 
burst-rate 320
threat-detection rate acl-drop rate-interval 600 average-rate 400 
burst-rate 800
threat-detection rate acl-drop rate-interval 3600 average-rate 320 
burst-rate 640
threat-detection rate conn-limit-drop rate-interval 600 average-rate 100 
burst-rate 400
threat-detection rate conn-limit-drop rate-interval 3600 average-rate 80 
burst-rate 320
threat-detection rate icmp-drop rate-interval 600 average-rate 100 
burst-rate 400
threat-detection rate icmp-drop rate-interval 3600 average-rate 80 
burst-rate 320
threat-detection rate scanning-threat rate-interval 600 average-rate 5 
burst-rate 10
threat-detection rate scanning-threat rate-interval 3600 average-rate 4 
burst-rate 8
threat-detection rate syn-attack rate-interval 600 average-rate 100 
burst-rate 200
threat-detection rate syn-attack rate-interval 3600 average-rate 80 
burst-rate 160
threat-detection rate fw-drop rate-interval 600 average-rate 400 
burst-rate 1600
threat-detection rate fw-drop rate-interval 3600 average-rate 320 
burst-rate 1280
threat-detection rate inspect-drop rate-interval 600 average-rate 400 
burst-rate 1600
threat-detection rate inspect-drop rate-interval 3600 average-rate 320 
burst-rate 1280
threat-detection rate interface-drop rate-interval 600 average-rate 2000 
burst-rate 8000
threat-detection rate interface-drop rate-interval 3600 average-rate 1600 
burst-rate 6400

Для настройки этих ставок с таможенными ценностями просто повторно формируйте команду процента раскрытых преступлений угрозы для соответствующей категории угрозы.

ciscoasa(config)# threat-detection rate acl-drop rate-interval 1200 
average-rate 250 burst-rate 550

Каждая категория угрозы может иметь максимум 3 различных определенных ставок (с уровнем IDs уровня 1, уровень 2 и уровень 3). На особый уровень ID, который превышен, ссылаются в %ASA-4-733100 syslog.

В предыдущем примере обнаружение угрозы создает syslog 733100 только, когда число снижений ACL превышает 250 снижений/секунда более чем 1200 секунд или 550 снижений/секунда более чем 40 секунд.

Передовое обнаружение угрозы

Используйте команду статистики обнаружения угрозы для предоставления возможности Передового Обнаружения Угрозы. Если никакое определенное ключевое слово особенности не обеспечено, команда позволяет отследить для всей статистики.

ciscoasa(config)# threat-detection statistics ?

configure mode commands/options:
 access-list      Keyword to specify access-list statistics
 host            Keyword to specify IP statistics
 port            Keyword to specify port statistics
 protocol       Keyword to specify protocol statistics
 tcp-intercept   Trace tcp intercept statistics
 <cr>

Для формирования числа интервалов уровня, которые прослежены для хозяина, порта, протокола, или статистики ACL, используют ключевое слово числа уровня.

ciscoasa(config)# threat-detection statistics host number-of-rate 2

Ключевое слово числа уровня формирует Обнаружение Угрозы для прослеживания только самого короткого n числа интервалов.

Для предоставления возможности статистики точки пересечения TCP используйте команду tcp-точки-пересечения статистики обнаружения угрозы.

ciscoasa(config)# threat-detection statistics tcp-intercept

Для формирования таможенных ставок для статистики точки пересечения TCP используйте интервал уровня, среднюю норму и ключевые слова скорости передачи пакетов.

ciscoasa(config)# threat-detection statistics tcp-intercept 
rate-interval 45 burst-rate 400 average-rate 100

Просмотр обнаружения угрозы

Чтобы позволить Просмотреть Обнаружение Угрозы, используйте команду угрозы просмотра обнаружения угрозы.

ciscoasa(config)# threat-detection scanning-threat

Для наладки ставок для угрозы просмотра используйте ту же самую команду процента раскрытых преступлений угрозы, используемую Основным Обнаружением Угрозы.

ciscoasa(config)# threat-detection rate scanning-threat rate-interval 1200 
average-rate 250 burst-rate 550

Чтобы позволить ASA избегать нападавшего просмотра IP, добавьте избегать ключевое слово к команде угрозы просмотра обнаружения угрозы.

ciscoasa(config)# threat-detection scanning-threat shun

Это позволяет Просматривать Обнаружение Угрозы для создания одного часа, избегают для нападавшего. Для наладки продолжительности избегания использования, угроза просмотра обнаружения угрозы избегает команды продолжительности.

ciscoasa(config)# threat-detection scanning-threat shun duration 1000

В некоторых случаях можно все еще хотеть препятствовать тому, чтобы ASA избежал определенного IPs. Чтобы сделать это, создайте исключение с угрозой просмотра обнаружения угрозы, избегают кроме команды.

ciscoasa(config)# threat-detection scanning-threat shun except ip-address 
10.1.1.1 255.255.255.255
ciscoasa(config)# threat-detection scanning-threat shun except object-group no-shun

Работа

Основное Обнаружение Угрозы оказывает очень мало исполнительного влияния на ASA. Передовое и Просматривающее Обнаружение Угрозы является намного большим количеством ресурса, интенсивного, потому что они должны отслеживать различную статистику в памяти. Только Просмотр Обнаружения Угрозы с избегать позволенной функцией может активно повлиять на движение, которое иначе было бы позволено.

В то время как версии программного обеспечения ASA прогрессировали, использование памяти Обнаружения Угрозы было значительно оптимизировано. Однако заботу нужно соблюдать для контроля использования памяти ASA прежде и после того, как будет позволено Обнаружение Угрозы. В некоторых случаях может быть лучше только позволить определенную статистику (например, статистику хозяина) временно, активно расследуя конкретный вопрос.

Для более подробного вида использования памяти Обнаружения Угрозы всем заправляйте обнаружение угрозы тайника приложения памяти [деталь] команда.

Рекомендуемые действия

Когда основной темп снижения превышен, и %ASA-4-733100 произведен

Определите определенную категорию угрозы, упомянутую в %ASA-4-733100 syslog, и коррелируйте это с продукцией выставочного процента раскрытых преступлений угрозы. С этой информацией проверьте продукцию выставочного снижения гадюки для определения причин, почему пропускается движение.

Для более подробного вида движения, которое пропущено по определенной причине, используйте захват снижения ASP с рассматриваемой причиной для наблюдения всех пакетов, которые уронены. Например, если угрозы Снижения ACL регистрируются, захват на причине снижения ASP acl-снижения:

ciscoasa# capture drop type asp-drop acl-drop

ciscoasa# show capture drop

1 packet captured

   1: 18:03:00.205189 10.10.10.10.60670 > 192.168.1.100.53:  udp 34 
      Drop-reason: (acl-drop) Flow is denied by configured rule

Этот захват показывает, что уроненный пакет является пакетом UDP/53 от 10.10.10.10 до 192.168.1.100.

Если %ASA-4-733100 сообщает об угрозе Просмотра, может также быть полезно временно позволить Просмотреть Обнаружение Угрозы. Это позволяет ASA отслеживать источник и место назначения IPs, вовлеченный в нападение.

Так как Основное Обнаружение Угрозы главным образом контролирует движение, которое уже пропускается ASP, никакое прямое действие не требуется, чтобы останавливать потенциальную угрозу. Исключения к этому являются Нападениями SYN и угрозами Просмотра, которые включают движение, проходящее через ASA.

Если снижения, замеченные в захвате снижения ASP, законны и/или ожидаются для сетевой среды, настроить интервалы тарифной ставки на более соответствующую стоимость.

Если снижения показывают незаконное движение, меры должны быть приняты для блокирования или ограничение скорости движение, прежде чем это достигнет ASA. Это может включать ACLs и QoS на восходящих устройствах.

Для нападений SYN движение может быть заблокировано в ACL на ASA. Точка пересечения TCP могла также формироваться для защиты предназначенного сервера (ов), но это могло просто привести к угрозе Предела Коннектикута, зарегистрированной вместо этого.

Для Просмотра угроз движение может также быть заблокировано в ACL на ASA. Просмотру Обнаружения Угрозы с избегать выбором можно позволить позволить ASA заранее блокировать все пакеты от нападавшего в течение определенного промежутка времени.

Когда угроза просмотра обнаружена, и %ASA-4-733101 зарегистрирован

%ASA-4-733101 должен перечислить или целевого хозяина/подсеть или IP-адрес нападавшего. Для полного списка целей и нападавших, проверьте продукцию выставочной угрозы просмотра обнаружения угрозы.

Захваты пакета в интерфейсах ASAs, стоящих перед нападавшим и/или целью (ями), могут также помочь разъяснить природу нападения.

Если обнаруженный просмотр не ожидается, меры должны быть приняты для блокирования или ограничение скорости движение, прежде чем это достигнет ASA. Это может включать ACLs и QoS на восходящих устройствах. Добавление избегать выбор к Обнаружению Угрозы Просмотра config может также позволить ASA заранее уронить все пакеты от нападавшего IP в течение определенного промежутка времени. Как последнее прибежище движение может также быть заблокировано вручную на ASA через ACL или политику точки пересечения TCP.

Если обнаруженный просмотр является ложным положительным, приспособьте интервалы темпа Угрозы Просмотра к более соответствующей стоимости для сетевой среды.

Когда нападавшего избегают, и %ASA-4-733102 зарегистрирован

%ASA-4-733102 перечисляет IP-адрес нападавшего, которого избегают. Использование выставочное обнаружение угрозы избегает команды для просмотра полного списка нападавших, которых избежало Обнаружение Угрозы определенно. Использование шоу избегает команды для просмотра полного списка всего IPs, которого активно избегает ASA (включая из источников кроме Обнаружения Угрозы).

Если избегание является частью законного нападения, никакие дальнейшие действия не требуются. Однако это было бы выгодно для ручного блокирования движения нападавшего максимально далеко вверх по течению к источнику. Это может быть сделано через ACLs и QoS. Это гарантирует, чтобы промежуточные устройства не должны были тратить впустую ресурсы, обрабатывающие незаконное движение.

Если угроза Просмотра, которая вызвала избегание, была ложным положительным, вручную удалите избегание с четким обнаружением угрозы, избегают [IP_address] команды.

Когда зарегистрированы %ASA-4-733104 и/или %ASA-4-733105

%ASA-4-733104 и %ASA-4-733105 перечисляют хозяина, предназначенного нападением, которое в настоящее время защищается точкой пересечения TCP. Для получения дополнительной информации о коэффициентах заболеваемости и защищенных серверах, проверьте продукцию выставочной tcp-точки-пересечения вершины статистики обнаружения угрозы.

ciscoasa# show threat-detection statistics top tcp-intercept
Top 10 protected servers under attack (sorted by average rate)
Monitoring window size: 30 mins    Sampling interval: 30 secs 
----------------------------------------------------------------------------------
1    192.168.1.2:5000 inside 1249 9503 2249245  Last: 10.0.0.3 (0 secs ago)
2    192.168.1.3:5000 inside 10 10 6080 10.0.0.200 (0 secs ago)
3    192.168.1.4:5000 inside 2 6 560 10.0.0.200 (59 secs ago)
4    192.168.1.5:5000 inside 1 5 560 10.0.0.200 (59 secs ago)
5    192.168.1.6:5000 inside 1 4 560 10.0.0.200 (59 secs ago)
6    192.168.1.7:5000 inside 0 3 560 10.0.0.200 (59 secs ago)
7    192.168.1.8:5000 inside 0 2 560 10.0.0.200 (59 secs ago)
8    192.168.1.9:5000 inside 0 1 560 10.0.0.200 (59 secs ago)
9    192.168.1.10:5000 inside 0 0 550 10.0.0.200 (2 mins ago)
10   192.168.1.11:5000 inside 0 0 550 10.0.0.200 (5 mins ago)

Когда Передовое Обнаружение Угрозы обнаруживает нападение этой природы, ASA уже защищает предназначенный сервер через точку пересечения TCP. Проверьте формируемые пределы связи, чтобы гарантировать, чтобы они обеспечили надлежащую защиту для природы и темпа нападения. Кроме того, это было бы выгодно для ручного блокирования движения нападавшего максимально далеко вверх по течению к источнику. Это может быть сделано через ACLs и QoS. Это гарантирует, чтобы промежуточные устройства не должны были тратить впустую ресурсы, обрабатывающие незаконное движение.

Если обнаруженное нападение является ложным положительным, приспособьте ставки для нападения точки пересечения TCP к более соответствующей стоимости с командой tcp-точки-пересечения статистики обнаружения угрозы.

Как вручную вызвать угрозу

Для тестирования и поиска неисправностей целей, может быть полезно вручную вызвать различные угрозы. Эта секция содержит советы для вызова нескольких общих типов угрозы.

Основная угроза — снижение ACL, брандмауэр и просмотр

Для вызова особой Основной Угрозы обратитесь к столу в предыдущей секции Функциональности. Выберите определенное снижение ASP рассуждают и посылают движение через ASA, который был бы пропущен соответствующей причиной снижения ASP.

Например, Снижение ACL, Брандмауэр и угрозы Просмотра все рассматривают уровень пакетов, уроненных acl-снижением. Закончите эти шаги для вызова этих угроз одновременно:

  1. Создайте ACL во внешнем интерфейсе ASA, который явно уронил все пакеты TCP, посланные в целевой сервер на внутренней части ASA (10.11.11.11):

    access-list outside_in extended line 1 deny tcp any host 
    10.11.11.11
    access-list outside_in extended permit ip any any
    access-group outside_in in interface outside
  2. От нападавшего за пределами ASA (10.10.10.10), используйте nmap для управления TCP SYN просмотр против каждого порта на целевом сервере:

    nmap -sS -T5 -p1-65535 -Pn 10.11.11.11

    Примечание: -T5 формирует nmap для управления просмотром максимально быстро. В зависимости от ресурсов нападавшего PC это все еще может не быть достаточно быстро для вызова некоторых ставок по умолчанию. Если это верно, просто понизьте формируемые ставки для угрозы, которую вы хотите видеть. Урегулирование ARI и BRI к 0 причинам Основное Обнаружение Угрозы, чтобы всегда вызвать угрозу независимо от уровня.

  3. Обратите внимание на то, что Основные Угрозы обнаружены для Снижения ACL, Брандмауэра и угроз Просмотра:

    %ASA-1-733100: [ Scanning] drop rate-1 exceeded. Current burst rate 
    is 19 per second, max configured rate is 10; Current average rate is 9 
    per second, max configured rate is 5; Cumulative total count is 5538
    %ASA-1-733100: [ ACL drop] drop rate-1 exceeded. Current burst rate is 19 
    per second, max configured rate is 0; Current average rate is 2 per second, 
    max configured rate is 0; Cumulative total count is 1472
    %ASA-1-733100: [ Firewall] drop rate-1 exceeded. Current burst rate is 18 
    per second, max configured rate is 0; Current average rate is 2 per second, max 
    configured rate is 0; Cumulative total count is 1483

    Примечание: В этом примере снижении ACL и Брандмауэре ARIs и BRIs были установлены в 0, таким образом, они всегда вызывают угрозу. Это - то, почему макс. формируемые ставки перечислены как 0.

Продвинутая угроза — точка пересечения TCP

Закончите эти шаги:

  1. Создайте ACL во внешнем интерфейсе, который разрешает все пакеты TCP, посланные в целевой сервер на внутренней части ASA (10.11.11.11):

    access-list outside_in extended line 1 permit tcp any host 10.11.11.11
    access-group outside_in in interface outside
  2. Если целевой сервер фактически не существует, или он перезагружает попытки связи нападавшего, формируйте поддельный вход ARP на ASA к blackhole движение нападения внутренний интерфейс:

    arp inside 10.11.11.11 dead.dead.dead
  3. Создайте простую политику точки пересечения TCP по ASA:

    access-list tcp extended permit tcp any any
    class-map tcp
      match access-list tcp
    policy-map global_policy
      class tcp
        set connection conn-max 2
    service-policy global_policy global
  4. От нападавшего за пределами ASA (10.10.10.10), используйте nmap для управления TCP SYN просмотр против каждого порта на целевом сервере:

    nmap -sS -T5 -p1-65535 -Pn 10.11.11.11
  5. Обратите внимание на то, что Обнаружение Угрозы отслеживает защищенный сервер:

    ciscoasa(config)#  show threat-detection statistics top tcp-intercept
    Top 10 protected servers under attack (sorted by average rate)
    Monitoring window size: 30 mins    Sampling interval: 30 secs
          
    --------------------------------------------------------------------------------
    1    10.11.11.11:18589 outside 0 0 1 10.10.10.10 (36 secs ago)
    2    10.11.11.11:47724 outside 0 0 1 10.10.10.10 (36 secs ago)
    3    10.11.11.11:46126 outside 0 0 1  Last: 10.10.10.10 (6 secs ago)
    4    10.11.11.11:3695 outside 0 0 1  Last: 10.10.10.10 (6 secs ago)

Просмотр угрозы

Закончите эти шаги:

  1. Создайте ACL во внешнем интерфейсе, который разрешает все пакеты TCP, посланные в целевой сервер на внутренней части ASA (10.11.11.11):

    access-list outside_in extended line 1 permit tcp any host 
    10.11.11.11
    access-group outside_in in interface outside

    Примечание: Для Просмотра Обнаружения Угрозы для прослеживания цели и нападавшего IPs движение должно быть разрешено через ASA.

  2. Если целевой сервер фактически не существует, или он перезагружает попытки связи нападавшего, формируйте поддельный вход ARP на ASA к blackhole движение нападения внутренний интерфейс:

    arp inside 10.11.11.11 dead.dead.dead

    Примечание: Связи, которые перезагружены целевым сервером, не посчитаны как часть угрозы.

  3. От нападавшего за пределами ASA (10.10.10.10), используйте nmap для управления TCP SYN просмотр против каждого порта на целевом сервере:

    nmap -sS -T5 -p1-65535 -Pn 10.11.11.11

    Примечание: -T5 формирует nmap для управления просмотром максимально быстро. В зависимости от ресурсов нападавшего PC это все еще может не быть достаточно быстро для вызова некоторых ставок по умолчанию. Если это верно, просто понизьте формируемые ставки для угрозы, которую вы хотите видеть. Урегулирование ARI и BRI к 0 причинам Основное Обнаружение Угрозы, чтобы всегда вызвать угрозу независимо от уровня.

  4. Обратите внимание на то, что угроза Просмотра обнаружена, IP нападавшего прослежен, и нападавшего избегают:

    %ASA-1-733100: [ Scanning] drop rate-1 exceeded. Current 
    burst rate is 17 per second, max configured rate is 10; Current average 
    rate is 0 per second, max configured rate is 5; Cumulative total count is 404
    %ASA-4-733101: Host 10.10.10.10 is attacking. Current burst rate is 17 
    per second, max configured rate is 10; Current average rate is 0 per second, 
    max configured rate is 5; Cumulative total count is 700
    %ASA-4-733102: Threat-detection adds host 10.10.10.10 to shun list

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Соответствующая информация


Document ID: 113685