تكوين اكتشاف التهديدات للوصول عن بعد إلى خدمات VPN على ASA لجدار الحماية الآمن

خيارات التنزيل

  • PDF     (269.8 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
تم التحديث:٢٢ أبريل ٢٠٢٦
معرّف المستند:222315

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

المقدمة

يصف هذا المستند عملية تكوين إمكانيات اكتشاف التهديدات ل VPN للوصول عن بعد على Cisco Secure Firewall ASA.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

  • أجهزة الأمان المعدلة Cisco Secure Firewall Adaptive Security Appliance (ASA)
  • الوصول عن بعد لشبكة VPN (RAVPN) على ASA

يتم دعم ميزات اكتشاف التهديدات هذه في إصدارات Cisco Secure Firewall ASA التالية:

  • قطار الإصدار 9.16 > مدعوم من الإصدار 9.16(4)67 والإصدارات الأحدث داخل هذا القطار المحدد.
  • قطار الإصدار 9.17 > مدعوم من الإصدار 9.17(1)45 والإصدارات الأحدث داخل هذا القطار المحدد.
  • قطار الإصدار 9.18 > مدعوم من الإصدار 9.18(4)40 والإصدارات الأحدث داخل هذا القطار المحدد.
  • قطار الإصدار 9.19 > مدعوم من الإصدار 9.19(1).37 والإصدارات الأحدث داخل هذا القطار المحدد.
  • قطار الإصدار 9. 20 > مدعوم من الإصدار 9. 20 (3) والإصدارات الأحدث داخل هذا القطار المحدد.
  • قطار الإصدار 9.22 > مدعوم من الإصدار 9.22(1.1) وأي إصدارات أحدث.

ملاحظة: لم يتم إصدار الإصدار 9.22(1). وكان الإصدار الأول 9.22(1.1).

المكونات المستخدمة

أسست المعلومة يصف في هذا وثيقة على هذا جهاز وبرمجية صيغة:

  • Cisco Secure Firewall ASA، الإصدار 9.20(3)

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

تساعد ميزات اكتشاف التهديدات الخاصة بخدمات VPN للوصول عن بعد في منع هجمات رفض الخدمة (DoS) من عناوين IPv4 عن طريق حظر المضيف (عنوان IP) الذي يتجاوز الحدود التي تم تكوينها تلقائيا، لمنع مزيد من المحاولات حتى تقوم بإزالة فجوة عنوان IP يدويا. تتوفر خدمات منفصلة للأنواع التالية من الهجمات:

  • محاولات المصادقة الفاشلة المتكررة للوصول عن بعد إلى خدمات VPN (هجمات المسح الضوئي لاسم مستخدم/كلمة المرور بالقوة).
  • هجمات بدء العميل، حيث يبدأ المهاجم ولكنه لا يكمل محاولات الاتصال للوصول عن بعد إلى وحدة الاستقبال والبث الخاصة بالشبكة الخاصة الظاهرية (VPN) مرات متكررة من مضيف واحد.
  • يحاول الاتصال الوصول إلى خدمات VPN للوصول عن بعد غير صالحة. أي عندما يحاول المهاجمين الاتصال بمجموعات أنفاق مدمجة معينة الغرض منها فقط هو التشغيل الداخلي للجهاز. لا يمكن لنقاط النهاية الشرعية ابدا ان تحاول الاتصال بمجموعات الانفاق هذه.

يمكن لهذه الهجمات، حتى عند فشلها في محاولة الوصول، إستهلاك موارد حسابية ومنع المستخدمين الحقيقيين من الاتصال بخدمات VPN للوصول عن بعد.

عند تمكين هذه الخدمات، يتجنب جدار الحماية الآمن المضيف (عنوان IP) الذي يتجاوز الحدود التي تم تكوينها تلقائيا، لمنع مزيد من المحاولات حتى تقوم بإزالة فجوة عنوان IP يدويا.

ملاحظة: يتم تعطيل جميع خدمات اكتشاف التهديدات للوصول عن بعد إلى VPN بشكل افتراضي.

التكوين

سجل الدخول إلى واجهة سطر أوامر (CLI) جدار الحماية الآمن في وضع التكوين العام وقم بتمكين خدمة واحدة أو أكثر من خدمات اكتشاف التهديدات المتوفرة للوصول عن بعد VPN:

اكتشاف التهديدات لمحاولات الاتصال بخدمات VPN الداخلية (غير الصالحة) فقط

لتمكين هذه الخدمة، قم بتشغيل الأمر invalid-vpn-access لخدمة اكتشاف التهديدات.

اكتشاف التهديدات لهجمات بدء عميل شبكة VPN للوصول عن بعد

لتمكين هذه الخدمة، قم بتشغيل أمر <count>عتبة <count>عمليات بدء تشغيل خدمة الكشف عن التهديد من بعد للوصول إلى العميل، حيث:

  • يحدد الإيقاف المؤقت <minutes> الفترة بعد آخر محاولة بدء يتم خلالها حساب محاولات الاتصال المتتالية. إذا كان عدد محاولات الاتصال المتتالية يفي بالعتبة التي تم تكوينها خلال هذه الفترة، فسيتم تجنب عنوان IPv4 الخاص بالمهاجم. يمكنك تعيين هذه النقطة بين 1 و 1440 دقيقة.
  • يقصد ب Threshold <count> عدد محاولات الاتصال المطلوبة خلال فترة الانتظار لتشغيل تجنب. يمكنك تعيين العتبة بين 5 و100.

على سبيل المثال، إذا كانت فترة التعليق هي 10 دقائق والعتبة هي 20، فسيتم تجنب عنوان IPv4 تلقائيا إذا كانت هناك 20 محاولة توصيل متتالية في أي مدى 10 دقائق.

ملاحظة: عند تعيين قيم الحد المسموح به وقيم الحد الأدنى، ضع إستخدام NAT في الاعتبار. إن يستعمل أنت ضرب، أي يسمح كثير طلب من ال نفسه عنوان، راعي قيمة أعلى. وهذا يضمن حصول المستخدمين الصحيحين على وقت كاف للاتصال. على سبيل المثال، في الفندق، يمكن للعديد من المستخدمين محاولة الاتصال في فترة قصيرة.

اكتشاف التهديدات لفشل مصادقة VPN للوصول عن بعد

لتمكين هذه الخدمة، قم بتشغيل أمر <count>الحد الأدنى لمصادقة الوصول عن بعد لخدمة اكتشاف التهديدات"، حيث:

  • يحدد الإيقاف المؤقت <minutes> الفترة بعد آخر محاولة فاشلة يتم خلالها حساب حالات الفشل المتتالية. وإذا كان عدد حالات فشل المصادقة المتتالية يستوفي الحد الذي تم تكوينه خلال هذه الفترة، فسيتم تجنب عنوان IPv4 للمهاجم. يمكنك تعيين هذه النقطة بين 1 و 1440 دقيقة.
  • يقصد ب Threshold <count> عدد محاولات المصادقة الفاشلة المطلوبة خلال فترة الانتظار لتشغيل تجنب. يمكنك تعيين العتبة بين 1 و 100.

على سبيل المثال، إذا كانت فترة التعليق هي 10 دقائق والعتبة هي 20، فسيتم تجنب عنوان IPv4 تلقائيا إذا كان هناك 20 فشل مصادقة متتابع في أي مدى 10 دقائق.

ملاحظة: عند تعيين قيم الحد المسموح به وقيم الحد الأدنى، ضع إستخدام NAT في الاعتبار. إن يستعمل أنت ضرب، أي يسمح كثير طلب من ال نفسه عنوان، راعي قيمة أعلى. وهذا يضمن حصول المستخدمين الصحيحين على وقت كاف للاتصال. على سبيل المثال، في الفندق، يمكن للعديد من المستخدمين محاولة الاتصال في فترة قصيرة.

ملاحظة: حالات فشل المصادقة عبر SAML غير مدعومة حتى الآن. 

ويتيح مثال التكوين التالي خدمات اكتشاف التهديدات الثلاثة المتوفرة لشبكة VPN الخاصة بالوصول عن بعد مع فترة توقف تبلغ 10 دقائق وعتبة تبلغ 20 لبدء العميل ومحاولات المصادقة الفاشلة. 

threat-detection service invalid-vpn-access
threat-detection service remote-access-client-initiations hold-down 10 threshold 20
threat-detection service remote-access-authentication hold-down 10 threshold 20

التحقق من الصحة

لعرض إحصائيات لخدمات WAPN الخاصة بكشف التهديدات، قم بتشغيل الأمر show Threat-detection service [service] [entries|details]. حيث يمكن أن تكون الخدمة: مصادقة الوصول عن بعد أو عمليات بدء عميل الوصول عن بعد أو الوصول إلى VPN غير صالح.

يمكنك الحد من طريقة العرض عن طريق إضافة هذه المعلمات:

  • الإدخالات — اعرض فقط الإدخالات التي يتم تعقبها بواسطة خدمة كشف التهديدات. على سبيل المثال، عناوين IP التي فشلت محاولات المصادقة.
  • التفاصيل — عرض كل من تفاصيل الخدمة وإدخالات الخدمة.

قم بتشغيل الأمر show threat-detection service لعرض إحصائيات جميع خدمات اكتشاف التهديدات التي تم تمكينها.

ciscoasa# show threat-detection service
Service: invalid-vpn-access
    State     : Enabled
    Hold-down : 1 minutes
    Threshold : 1
    Stats:
        failed      :          0
        blocking    :          0
        recording   :          0
        unsupported :          0
        disabled    :          0
    Total entries: 0
Service: remote-access-authentication
    State     : Enabled
    Hold-down : 10 minutes
    Threshold : 20
    Stats:
        failed      :          0
        blocking    :          1
        recording   :          4
        unsupported :          0
        disabled    :          0
    Total entries: 2
Name: remote-access-client-initiations
    State     : Enabled
    Hold-down : 10 minutes
    Threshold : 20
    Stats:
        failed      :          0
        blocking    :          0
        recording   :          0
        unsupported :          0
        disabled    :          0
    Total entries: 0

لعرض مزيد من تفاصيل المهاجمين المحتملين الذين يتم تعقبهم لخدمة مصادقة الوصول عن بعد، قم بتشغيل الأمر show threat-detection service <service> entries.

ciscoasa# show threat-detection service remote-access-authentication entries
Service: remote-access-authentication
    Total entries: 2

Idx Source              Interface            Count          Age        Hold-down
--- ------------------- -------------------- -------------- ---------- ---------
  1 192.168.100.101/ 32              outside              1        721         0
  2 192.168.100.102/ 32              outside              2        486       114
Total number of IPv4 entries: 2

NOTE: Age is in seconds since last reported. Hold-down is in seconds remaining.

لعرض الإحصائيات العامة والتفاصيل الخاصة بخدمة الوصول عن بعد إلى VPN الخاصة بالكشف عن تهديدات معينة، قم بتشغيل الأمر show threat-detection service <service> details.

ciscoasa# show threat-detection service remote-access-authentication details
Service: remote-access-authentication
    State     : Enabled
    Hold-down : 10 minutes
    Threshold : 20
    Stats:
        failed      :          0
        blocking    :          1
        recording   :          4
        unsupported :          0
        disabled    :          0
     Total entries: 2

Idx Source              Interface            Count          Age        Hold-down
--- ------------------- -------------------- -------------- ---------- ---------
  1 192.168.100.101/ 32              outside              1        721         0
  2 192.168.100.102/ 32              outside              2        486       114
Total number of IPv4 entries: 2

NOTE: Age is in seconds since last reported. Hold-down is in seconds remaining.

ملاحظة: تعرض الإدخالات عناوين IP التي يتم تعقبها بواسطة خدمة اكتشاف التهديدات فقط. إذا كان عنوان IP قد استوفى الشروط المطلوب تجنبها، يزداد عدد الحظر ولا يعرض عنوان IP كإدخال.

وبالإضافة إلى ذلك، أنت يستطيع راقبت رفض يطبق ب VPN خدمة، وأزال رفض لعنوان وحيد أو كل عنوان ال IP مع الأمر التالي:

  • [عرض تجاهل [ip_address

يظهر البيئات المضيفة المبعدة، بما في ذلك تلك التي تم تجاهلها تلقائيا بواسطة كشف التهديد لخدمات VPN، أو يدويا باستخدام أمر الإحجام. يمكنك تحديد طريقة العرض إختياريا إلى عنوان IP محدد.

  • لا يوجد تجاهل ip_address [interface if_name]

إزالة إزالة إزالة مطبق على عنوان IP المحدد.

إذا تم تجنب عنوان IP على واجهات متعددة ولم يتم ذكر واجهة معينة، فإن الأمر يزيل التجاهل من واجهة واحدة فقط. يستند تحديد هذه الواجهة إلى بحث مسار لعنوان IP المهمل. لإزالة المبعدة من الواجهات الإضافية، يجب عليك تحديد الواجهة بشكل صريح.

  • تجاهل واضح

إزالة التجاوز من جميع عناوين IP وجميع الواجهات.

ملاحظة: لا تظهر عناوين IP التي تم تجاهلها بواسطة اكتشاف التهديدات لخدمات VPN في أمر show threat-detection، والذي ينطبق على مسح اكتشاف التهديدات فقط.

لقراءة جميع التفاصيل لكل إخراج أمر ورسائل syslog المتاحة المتعلقة بخدمات اكتشاف التهديدات للوصول عن بعد إلى VPN، يرجى الرجوع إلى دليل تكوين واجهة سطر الأوامر (CLI) لجدار الحماية الآمن ل Cisco ASA Firewall، الإصدار 9.20. الفصل: وثيقة اكتشاف التهديد.

معلومات ذات صلة

محفوظات المراجعة

المراجعة تاريخ النشر التعليقات
3.0
22-Apr-2026
تم تحديث الترجمة والتنسيق الآلية.
2.0
25-Oct-2024
معلومات أساسية محدثة من أجل مزيد من الوضوح.
1.0
27-Aug-2024
الإصدار الأولي
TAC Authored

تمت المساهمة بواسطة مهندسو Cisco

  • Angel Ortiz Jimenez
    Security Technical Leader

هل كان هذا المستند مفيدًا؟

Feedbackالتعليقات

اتصل بنا

ينطبق هذا المستند على هذه المنتجات