يصف هذا المستند التوصيات التي يجب أخذها في الاعتبار ضد هجمات رش كلمة المرور الموجهة إلى خدمات VPN للوصول عن بعد في جدار الحماية الآمن.
هجمات رش كلمة المرور هي نوع من هجوم القوة الغاشمة حيث يحاول المهاجم الحصول على وصول غير مصرح به إلى حسابات مستخدمين متعددين عن طريق الاستخدام المنهجي لكلمات المرور القليلة المستخدمة بشكل شائع عبر العديد من الحسابات. يمكن أن تؤدي الهجمات الناجحة برش كلمة المرور إلى الوصول غير المصرح به إلى المعلومات الحساسة، وخرق البيانات، والتنازلات المحتملة لسلامة الشبكة
علاوة على ذلك، يمكن لهذه الهجمات، حتى في حالة فشلها في محاولة الوصول، إستهلاك موارد حسابية من جدار الحماية الآمن ومنع المستخدمين الصحيحين من الاتصال بخدمات VPN للوصول عن بعد.
عندما يتم إستهداف جدار الحماية الآمن لديك بواسطة هجمات رش كلمة المرور في خدمات VPN للوصول عن بعد، يمكنك تحديد هذه الهجمات من خلال مراقبة syslog وتشغيل أوامر show معينة. وتتضمن أكثر السلوكيات شيوعا للبحث عنها ما يلي:
يبدي وحدة الاستقبال والبث الخاصة بشبكة VPN Cisco Secure Firewall ASA أو FTD أعراض هجمات رش كلمة المرور بمعدل غير معتاد لمحاولات المصادقة المرفوضة.
أفضل طريقة لاكتشاف هذا من خلال النظر إلى syslog. ابحث عن رقم غير عادي من أي من معرفات ASA syslog التالية:
%ASA-6-113015: AAA user authentication Rejected : reason = User was not found : local database : user = admin : user IP = x.x.x.x
%ASA-6-113005: AAA user authentication Rejected : reason = Unspecified : server = x.x.x.x : user = ***** : user IP = x.x.x.x
%ASA-6-716039: Group <DfltGrpPolicy> User <admin> IP <x.x.x.x> Authentication: rejected, Session Type: WebVPN.
اسم المستخدم مخفي دائما حتى يتم تكوين الأمر no logging hide username على ASA.
للتحقق، قم بتسجيل الدخول إلى واجهة سطر الأوامر (CLI) ل ASA أو FTD وقم بتشغيل الأمر show aaa-server. تحقق من عدد غير عادي من طلبات المصادقة التي تمت المحاولة عليها أو رفضها لأي من خوادم AAA التي تم تكوينها:
ciscoasa# show aaa-server
Server Group: LDAP-SERVER - - - - - >>>> Sprays against external server
Server Protocol: ldap
Server Hostname: ldap-server.example.com
Server Address: 10.10.10.10
Server port: 636
Server status: ACTIVE, Last transaction at unknown
Number of pending requests 0
Average round trip time 0ms
Number of authentication requests 2228536 - - - - - >>>> Unusual increments
Number of authorization requests 0
Number of accounting requests 0
Number of retransmissions 0
Number of accepts 1312
Number of rejects 2225363 - - - - - >>>> Unusual increments / Unusual rejection rate
Number of challenges 0
Number of malformed responses 0
Number of bad authenticators 0
Number of timeouts 1
Number of unrecognized responses 0
النظر في التوصيات المبينة وتطبيقها:
التسجيل هو جزء مهم من أمن الإنترنت الذي يتضمن تسجيل الأحداث التي تحدث داخل النظام. ويترك عدم وجود سجلات مفصلة ثغرات في فهم طريقة الهجوم وتعطيلها تحليلا واضحا. يوصى بتمكين التسجيل إلى خادم syslog عن بعد لتحسين إرتباط ومراجعة حوادث الشبكة والأمان عبر أجهزة الشبكة المختلفة.
للحصول على معلومات حول كيفية تكوين التسجيل، ارجع إلى هذه الأدلة الخاصة بالنظام الأساسي:
برامج Cisco ASA:
برنامج FTD من Cisco:
للمساعدة في تخفيف التأثير وتقليل أحتمالية حدوث هجمات القوة الغاشمة هذه على إتصالات الشبكة المحلية الظاهرية (RAPN) لديك، يمكنك مراجعة خيارات التكوين التالية وتطبيقها:
تساعد مميزات اكتشاف التهديدات للوصول عن بعد لخدمات VPN في منع هجمات رفض الخدمة (DoS) من عناوين IPv4 عن طريق حظر المضيف (عنوان IP) الذي يتجاوز الحدود التي تم تكوينها لمنع مزيد من المحاولات حتى تقوم بإزالة فجوة عنوان IP يدويا. هناك خدمات منفصلة متاحة لهذه الأنواع من الهجمات:
يتم دعم ميزات اكتشاف التهديدات هذه حاليا في إصدارات جدار الحماية الآمن من Cisco المدرجة في القائمة التالية:
برامج ASA:
برنامج FTD:
للحصول على التفاصيل الكاملة والمساعدة في التكوين، ارجع إلى أدلة الوثائق:
إذا لم تكن ميزات اكتشاف التهديدات لخدمات VPN للوصول عن بعد مدعومة في إصدار جدار الحماية الآمن الخاص بك، فعليك تنفيذ تدابير تشديد لتقليل مخاطر التأثير من هذه الهجمات:
للحصول على مزيد من التفاصيل، ارجع إلى دليل تنفيذ تدابير التعزيز لبروتوكول AnyConnect VPN الخاص بالعميل الآمن.
يمكن للمستخدمين تجربة عدم القدرة على إنشاء إتصالات VPN مع عميل Cisco الآمن (AnyConnect) عند تمكين وضع جدار الحماية (HostScan) على جدار الحماية الآمن. يمكن أن يواجه بشكل متقطع رسالة خطأ تذكر، "يتعذر إكمال الاتصال. لم يتم تثبيت "سطح المكتب الآمن من Cisco" على العميل."

هذا السلوك هو نتيجة الاستغلال الناجح للضعف الذي ستواجهه مكافحة التطرف العنيف 2024-20481 والمبين لاحقا.
وتنشأ نقطة الضعف هذه من إستهلاك الموارد بسبب هجمات رش كلمة المرور حيث يرسل المهاجمون العديد من طلبات مصادقة VPN إلى الجهاز المستهدف. ويمكن أن يؤدي الاستغلال الناجح إلى الحرمان من الخدمة في خدمة RAVPN. أحد الأعراض الرئيسية لهذا الاستغلال هو عندما يواجه المستخدمون على نحو متقطع "عدم القدرة على إكمال الاتصال. لم يتم تثبيت "سطح المكتب الآمن من Cisco" على العميل." رسالة خطأ عند محاولة إنشاء اتصال RAPN باستخدام Cisco Secure Client.
ولإصلاح هذه الثغرة، من الضروري الترقية إلى إصدارات البرامج المدرجة في إرشادات الأمان. وبالإضافة إلى ذلك، يوصى بتمكين ميزات اكتشاف التهديدات للشبكة الخاصة الظاهرية (VPN) للوصول عن بعد بعد بعد ترقية جدار الحماية الآمن إلى هذه الإصدارات للحماية من هجمات رفض الخدمة (DoS) الموجهة إلى خدمات الشبكة الخاصة الظاهرية (RAVPN).
ارجع إلى إخطار أمان ضعف الخدمة لبروتوكول VPN Remote Access VPN Brute من Cisco ASA و FTD Software للحصول على تفاصيل كاملة.
للحصول على مساعدة إضافية، اتصل ب cisco TAC. يلزم عقد دعم صالح: جهات اتصال دعم Cisco في جميع أنحاء العالم.
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
8.0 |
01-Jul-2026
|
عنوان المقالة المحدث، المقدمة، التدقيق الإملائي، المسافات، النص البديل، تنبيهات CCW، وعناوين الربط URL. |
7.0 |
26-Oct-2024
|
تم تحديث قسم "السلوكيات ذات الصلة" لإضافة نقطة ضعف حديثة متعلقة بهذا المستند. |
6.0 |
20-Sep-2024
|
تم تحديث الإصدارات المدعومة من ميزات "اكتشاف التهديدات" لشبكة VPN الخاصة بالوصول عن بعد. |
5.0 |
06-Sep-2024
|
تمت إضافة التوصية "تكوين اكتشاف التهديدات للوصول عن بعد إلى VPN". |
4.0 |
22-Apr-2024
|
استكمل الفرعان "معلومات أساسية" و "توصيات". |
3.0 |
15-Apr-2024
|
أضاف Cisco BUG CSCwj45822 المرتبط، ال "hostscan Token Exhaustion" قسم، يضيف "عمليات تنفيذ التعزيز الإضافية ل RAPN" |
2.0 |
01-Apr-2024
|
استكمل عنوان الوثيقة، وأعاد تسمية قسم "IoCS" ليصبح "الأنماط غير العادية التي لوحظت"، ثم أضاف مزيدا من التفاصيل تحت قسم "التوصيات". |
1.0 |
26-Mar-2024
|
الإصدار الأولي |