توصيات ضد هجمات رش كلمة المرور التي تؤثر على خدمات VPN للوصول عن بعد

خيارات التنزيل

  • PDF     (316.6 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (111.7 KB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (93.3 KB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٢٢ أبريل ٢٠٢٤
معرّف المستند:221806

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا المستند التوصيات التي يجب مراعاتها مقابل حالات فشل تخصيص رمز المضيف المميز في جدار الحماية الآمن، المشتقة من هجمات رش كلمة المرور.

    معلومات أساسية

    عند محاولة إنشاء اتصال RAPN باستخدام عميل Cisco الآمن (AnyConnect)، يمكن للمستخدمين مواجهة رسالة خطأ بشكل متقطع تذكر، "غير قادر على إكمال الاتصال. لم يتم تثبيت "سطح المكتب الآمن من Cisco" على العميل.". ينشأ هذا السلوك عادة عندما يكون هناك فشل في تخصيص رمز مميز للمسح الضوئي بواسطة وحدة الاستقبال والبث الخاصة بالشبكة الخاصة الظاهرية (VPN)، إما جهاز الأمان القابل للتكيف (ASA) أو الدفاع عن التهديد (FTD) لجدار الحماية الآمن من Cisco. وبشكل ملحوظ، يرتبط فشل التخصيص هذا بحالات هجمات عنيفة للقوة تستهدف البنية التحتية لجدار الحماية الآمن ويتم التعامل معه حاليا بأقصى درجة من الاستعجال بموجب معرف تصحيح الأخطاء من Cisco CSCwj45822.

    السلوكيات التي تمت ملاحظتها

    يتعذر إنشاء إتصالات VPN مع عميل Cisco الآمن (AnyConnect) عند تمكين وضع جدار الحماية (HostScan)

    عند محاولة إنشاء اتصال VPN باستخدام عميل Cisco الآمن (AnyConnect)، يمكن للمستخدمين مواجهة رسالة خطأ بشكل متقطع تذكر، تعذر إكمال الاتصال. لم يتم تثبيت "سطح المكتب الآمن من Cisco" على العميل." يمنع هذا إصدار الإكمال الناجح من ال VPN توصيل عملية.

    خطأ secure_client_error

    ملاحظة: لا يحدث هذا السلوك المحدد إلا عند تمكين وضع جدار الحماية (HostScan) عند وحدة الاستقبال والبث، بغض النظر عن إستخدام Secure Client أو إصدار AnyConnect.

    إستهلاك رمز Hostscan Token

    يعرض جهاز الاستقبال والبث الخاص بشبكة VPN Cisco Secure Firewall Adaptive Security Appliance (ASA) أو Threat Defense (FTD) أعراض حالات فشل تخصيص الرمز المميز للتحميل. للتحقق من ذلك، قم بتشغيل الأمر debug list webVPN 187 0.

    ASA# debug menu webvpn 187 0 
    Allocated Hostscan token = 1000
    Hostscan token allocate failure = xxx - - - - > Increments

    ملاحظة: يأتي حدوث هذه المسألة نتيجة للهجمات. يتم حاليا معالجة المسألة بأقصى سرعة بموجب معرف تصحيح الأخطاء من Cisco CSCwj45822.

    مبلغ غير عادي لطلبات المصادقة

    تظهر وحدة الاستقبال والبث الخاصة بشبكة VPN Cisco Secure Firewall ASA أو FTD أعراض هجمات رش كلمة المرور باستخدام 100-آلاف أو الملايين من محاولات المصادقة المرفوضة. 

    ملاحظة: يمكن توجيه هذه المحاولات غير العادية للمصادقة إما إلى قاعدة البيانات المحلية أو إلى خوادم المصادقة الخارجية.

    أفضل طريقة لاكتشاف هذا من خلال النظر إلى syslog. ابحث عن رقم غير عادي من أي من معرفات ASA syslog التالية:

    • ٪ASA-6-113015
    %ASA-6-113015: AAA user authentication Rejected : reason = User was not found : local database : user = admin : user IP = x.x.x.x

    • ٪ASA-6-113005
    %ASA-6-113005: AAA user authentication Rejected : reason = Unspecified : server = x.x.x.x : user = ***** : user IP = x.x.x.x

    • ٪ASA-6-716039
    %ASA-6-716039: Group <DfltGrpPolicy> User <admin> IP <x.x.x.x> Authentication: rejected, Session Type: WebVPN.

    اسم المستخدم مخفي دائما حتى يتم تكوين الأمر no logging hide username على ASA.

    ملاحظة: هذا يعطي فكرة عن التحقق من إنشاء المستخدمين الصحيحين أو معرفتهم عن طريق الإساءة إلى عناوين IP، الرجاء توخي الحذر حيث أن أسماء المستخدمين ستكون مرئية في السجلات.

    للتحقق، قم بتسجيل الدخول إلى واجهة سطر الأوامر (CLI) ASA أو FTD، ثم قم بتشغيل الأمر show aaa-server ، وتحقق من وجود عدد غير عادي من طلبات المصادقة التي تم المحاولة عليها أو رفضها إلى أي من خوادم AAA التي تم تكوينها:

    ciscoasa# show aaa-server

    Server Group: LDAP-SERVER - - - - - >>>> Sprays against external server
    Server Protocol: ldap
    Server Hostname: ldap-server.example.com
    Server Address: 10.10.10.10
    Server port: 636
    Server status: ACTIVE, Last transaction at unknown
    Number of pending requests 0
    Average round trip time 0ms
    Number of authentication requests 2228536 - - - - - >>>> Unusual increments
    Number of authorization requests 0
    Number of accounting requests 0
    Number of retransmissions 0
    Number of accepts 1312
    Number of rejects 2225363 - - - - - >>>> Unusual increments / Unusual rejection rate
    Number of challenges 0
    Number of malformed responses 0
    Number of bad authenticators 0
    Number of timeouts 1
    Number of unrecognized responses 0 

    توصيات

    في حين أنه لا يوجد حاليا حل واحد للقضاء بشكل كامل على الخطر، إلا أنه يمكنك مراجعة وتطبيق الممارسات التالية الموصى بها، والتي تم تصميمها للمساعدة في تقليل أحتمالية حدوث ذلك والحد من تأثير هذه الهجمات العنيفة على إتصالات RAVPN الخاصة بك.

    1. تمكين التسجيل

    التسجيل هو جزء مهم من أمن الإنترنت الذي يتضمن تسجيل الأحداث التي تحدث داخل النظام. ويترك عدم وجود سجلات مفصلة ثغرات في الفهم، مما يعوق إجراء تحليل واضح لطريقة الهجوم. يوصى بتمكين التسجيل إلى خادم syslog عن بعد لتحسين إرتباط ومراجعة حوادث الشبكة والأمان عبر أجهزة الشبكة المختلفة.

    للحصول على معلومات حول كيفية تكوين التسجيل، راجع الأدلة التالية الخاصة بالنظام الأساسي:

    برامج Cisco ASA:

    برنامج FTD من Cisco:

    ملاحظة: يجب تمكين معرفات رسائل syslog اللازمة للتحقق من السلوكيات الموضحة في هذا المستند (113015 و 113005 و 716039) على مستوى المعلومات (6). وتندرج هذه المعرفات ضمن فئات التسجيل "المصادقة" و"webVPN".

    2. تطبيق تدابير التعزيز للوصول عن بعد إلى VPN

    للتخفيف من أثر هذه الهجمات، قم بتنفيذ تدابير التعزيز التالية:

    1. تعطيل مصادقة AAA في DefaultWebVPN وتوصيفات توصيل DefaultRagGroup (خطوة بخطوة: ASA | تتم إدارة برنامج الإرسال فائق السرعة (FTD) بواسطة FMC).
    2. تعطيل وضع جدار الحماية الآمن (Hostscan) من DefaultWEBvpngGroup و DefaultRAGgroup (خطوة بخطوة: ASA | تتم إدارة برنامج الإرسال فائق السرعة (FTD) بواسطة FMC).
    3. تعطيل أسماء المجموعات المستعارة وتمكين عناوين URL الخاصة بالمجموعات في باقي ملفات تعريف الاتصال (خطوة بخطوة: ASA | تتم إدارة برنامج الإرسال فائق السرعة (FTD) بواسطة FMC).

    ملاحظة: إذا كنت بحاجة إلى دعم من خلال برنامج الإرسال فائق السرعة (FTD) الذي تتم إدارته من خلال إدارة أجهزة جدار الحماية المحلية (FDM)، فيرجى الاتصال بمركز المساعدة التقنية (TAC) للحصول على إرشادات الخبراء.

    للحصول على مزيد من التفاصيل، يرجى الرجوع إلى دليل تنفيذ تدابير التعزيز لبروتوكول AnyConnect VPN الآمن الخاص بالعميل.

    3. حظر محاولات الاتصال من المصادر الضارة

    من أجل منع محاولات الاتصال من مصادر غير مصرح لها، يمكنك تنفيذ أي من الخيارات المدرجة أدناه:

    تنفيذ قوائم التحكم في الوصول (ACL) على مستوى الواجهة

    قم بتنفيذ قائمة التحكم في الوصول (ACL) على مستوى الواجهة على ASA/FTD لتصفية عناوين IP العامة غير المصرح بها ومنعها من بدء جلسات عمل VPN البعيدة.

    أستخدم الأمر "تغاضي"

    هذا أسلوب واضح لحظر بروتوكول الإنترنت خبيث، ولكن، يجب أن يتم يدويا. الرجاء قراءة المقطع التكوين البديل لحظر الهجمات على جدار الحماية الآمن باستخدام الأمر 'shun' للحصول على مزيد من التفاصيل. 

    تكوين قائمة التحكم في الوصول إلى مستوى التحكم

    تطبيق قائمة التحكم في الوصول (ACL) على ASA/FTD لتصفية عناوين IP العامة غير المصرح بها ومنعها من بدء جلسات عمل VPN البعيدة. تكوين سياسات التحكم في الوصول إلى مستوى التحكم للدفاع الآمن عن تهديد جدار الحماية و ASA.

    ملاحظة: قام Cisco Talos بنشر قائمة بعناوين IP وبيانات الاعتماد المرتبطة بهذه الهجمات. يمكن العثور على رابط لمستودع GitHub الخاص بهم في قسم "IOCs" من الاستشارات الخاصة بهم. من المهم ملاحظة أن عناوين IP للمصدر لحركة المرور هذه من المرجح أن تتغير، لذلك، يجب عليك مراجعة سجلات الأمان (syslog) لتحديد عناوين IP التي تحتوي على مشاكل. عند تحديد الهوية، يمكن إستخدام أي من الخيارات الثلاثة لحظرها.

    تطبيقات التعزيز الإضافية ل RAVPN

    وتهدف التوصيات المقدمة حتى الآن إلى تقليل مخاطر وأثر الهجمات على خدمات الشبكة. ومع ذلك، يمكنك التفكير في إتخاذ تدابير مضادة إضافية تتطلب تغييرات إضافية على عمليات النشر الخاصة بك لتعزيز أمان نشر الشبكة الخاصة الظاهرية (VPN) للوصول عن بعد، مثل اعتماد مصادقة قائمة على الشهادة ل RAPN. يرجى الرجوع إلى مستند تنفيذ تدابير التعزيز لعميل AnyConnect VPN الآمن للحصول على إرشادات التكوين التفصيلية.

    معلومات إضافية

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    4.0
    22-Apr-2024
    استكمل الفرعان "معلومات أساسية" و "توصيات".
    3.0
    15-Apr-2024
    أضاف Cisco BUG CSCwj45822 المرتبط، ال "hostscan Token Exhaustion" قسم، يضيف "عمليات تنفيذ التعزيز الإضافية ل RAPN"
    2.0
    01-Apr-2024
    استكمل عنوان الوثيقة، وأعاد تسمية قسم "IoCS" ليصبح "الأنماط غير العادية التي لوحظت"، ثم أضاف مزيدا من التفاصيل تحت قسم "التوصيات".
    1.0
    26-Mar-2024
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Angel Ortiz
      TAC Technical Leader
    • Kirollos Mikhail
      Engineering Technical Leader

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات