Einleitung
In diesem Dokument werden Empfehlungen für die Vermeidung von Fehlern bei der Zuweisung von Hostcan-Token in der sicheren Firewall, die von Passwort-Spray-Angriffen herrühren, beschrieben.
Hintergrundinformationen
Beim Versuch, eine RAVPN-Verbindung mithilfe des Cisco Secure Client (AnyConnect) herzustellen, wird gelegentlich die Fehlermeldung "Verbindung konnte nicht hergestellt werden" angezeigt. Cisco Secure Desktop ist nicht auf dem Client installiert.". Dieses Verhalten tritt in der Regel dann auf, wenn ein Host-Scan-Token nicht über das VPN-Headend, entweder über eine Cisco Secure Firewall Adaptive Security Appliance (ASA) oder über eine Threat Defense (FTD), zugewiesen werden kann. Dieser Fehler bei der Zuweisung korreliert mit Brute-Force-Angriffen auf die Secure Firewall-Infrastruktur und wird derzeit mit äußerster Dringlichkeit unter der Cisco Bug-ID CSCwj45822 behoben.
Beobachtetes Verhalten
Bei aktivierter Firewall-Statusüberprüfung (HostScan) können keine VPN-Verbindungen mit dem Cisco Secure Client (AnyConnect) hergestellt werden
Beim Versuch, eine VPN-Verbindung mit Cisco Secure Client (AnyConnect) herzustellen, können Benutzer unregelmäßig die Fehlermeldung "Verbindung konnte nicht hergestellt werden" erhalten. Cisco Secure Desktop ist nicht auf dem Client installiert." Dieses Problem verhindert den erfolgreichen Abschluss des VPN-Verbindungsprozesses.
Hinweis: Dieses spezielle Verhalten tritt nur auf, wenn Firewall Posture (HostScan) am Headend aktiviert ist, unabhängig von der verwendeten Secure Client- oder AnyConnect-Version.
Erschöpfung des Hostscan-Tokens
Das VPN-Headend Cisco Secure Firewall Adaptive Security Appliance (ASA) oder Threat Defense (FTD) zeigt Symptome von Fehlern bei der Host-Scan-Tokenzuweisung. Führen Sie dazu den Befehl debug menu webvpn 187 0 aus.
ASA# debug menu webvpn 187 0
Allocated Hostscan token = 1000
Hostscan token allocate failure = xxx - - - - > Increments
Hinweis: Das Auftreten dieses Problems ist eine Folge der Angriffe. Die Angelegenheit wird derzeit mit äußerster Dringlichkeit unter der Cisco Bug-ID CSCwj45822 behandelt.
Ungewöhnlich viele Authentifizierungsanforderungen
Das VPN-Headend Cisco Secure Firewall ASA oder FTD zeigt Symptome von Passwort-Spray-Angriffen mit 100-tausenden oder Millionen abgelehnter Authentifizierungsversuche.
Hinweis: Diese ungewöhnlichen Authentifizierungsversuche können entweder an die LOKALE Datenbank oder an externe Authentifizierungsserver weitergeleitet werden.
Die beste Methode, dies zu erkennen, ist der Blick auf das Syslog. Achten Sie auf eine ungewöhnliche Anzahl der nächsten ASA-Syslog-IDs:
%ASA-6-113015: AAA user authentication Rejected : reason = User was not found : local database : user = admin : user IP = x.x.x.x
%ASA-6-113005: AAA user authentication Rejected : reason = Unspecified : server = x.x.x.x : user = ***** : user IP = x.x.x.x
%ASA-6-716039: Group <DfltGrpPolicy> User <admin> IP <x.x.x.x> Authentication: rejected, Session Type: WebVPN.
Der Benutzername wird immer ausgeblendet, bis der Befehl no logging hide username auf der ASA konfiguriert ist.
Hinweis: Überprüfen Sie, ob gültige Benutzer von IP-Adressen mit Sicherheitsverletzungen erstellt wurden oder bekannt sind. Seien Sie jedoch vorsichtig, da die Benutzernamen in den Protokollen angezeigt werden.
Melden Sie sich zur Überprüfung bei der ASA- oder FTD-Befehlszeilenschnittstelle (CLI) an, führen Sie den Befehl show aaa-server aus, und untersuchen Sie die Anzahl der Authentifizierungsanforderungen, die an einen der konfigurierten AAA-Server gesendet wurden, die ungewöhnlich hoch waren und abgelehnt wurden:
ciscoasa# show aaa-server
Server Group: LDAP-SERVER - - - - - >>>> Sprays against external server
Server Protocol: ldap
Server Hostname: ldap-server.example.com
Server Address: 10.10.10.10
Server port: 636
Server status: ACTIVE, Last transaction at unknown
Number of pending requests 0
Average round trip time 0ms
Number of authentication requests 2228536 - - - - - >>>> Unusual increments
Number of authorization requests 0
Number of accounting requests 0
Number of retransmissions 0
Number of accepts 1312
Number of rejects 2225363 - - - - - >>>> Unusual increments / Unusual rejection rate
Number of challenges 0
Number of malformed responses 0
Number of bad authenticators 0
Number of timeouts 1
Number of unrecognized responses 0
Empfehlungen
Zwar gibt es derzeit keine einzige Lösung, um das Risiko vollständig zu eliminieren, Sie können jedoch die nächsten empfohlenen Vorgehensweisen überprüfen und anwenden, die dazu beitragen sollen, die Wahrscheinlichkeit des Auftretens zu verringern und die Auswirkungen dieser Brute-Force-Angriffe auf Ihre RAVPN-Verbindungen zu verringern.
1. Protokollierung aktivieren
Protokollierung ist ein wichtiger Bestandteil der Cybersicherheit, bei dem Ereignisse innerhalb eines Systems aufgezeichnet werden. Das Fehlen detaillierter Protokolle hinterlässt Verständnislücken und verhindert eine klare Analyse der Angriffsmethode. Es wird empfohlen, die Protokollierung an einem Remote-Syslog-Server zu aktivieren, um die Korrelation und Überprüfung von Netzwerk- und Sicherheitsvorfällen auf verschiedenen Netzwerkgeräten zu verbessern.
Weitere Informationen zum Konfigurieren der Protokollierung finden Sie in den folgenden plattformspezifischen Leitfäden:
Cisco ASA Software:
Cisco FTD-Software:
Hinweis: Die Syslog-Meldungs-IDs, die zum Überprüfen der in diesem Dokument beschriebenen Verhaltensweisen (113015, 113005 und 716039) erforderlich sind, müssen auf Informationsebene aktiviert werden (6). Diese IDs gehören zu den Protokollierungsklassen 'auth' und 'webvpn'.
2. Anwendung von Härtungsmaßnahmen für Remote Access-VPN
Um die Auswirkungen dieser Angriffe zu mindern, implementieren Sie die folgenden Härtungsmaßnahmen:
- Deaktivieren Sie die AAA-Authentifizierung in den Standard-WEBVPN- und StandardRAGroup-Verbindungsprofilen (Schritt für Schritt: ASA | FTD verwaltet durch FMC).
- Deaktivieren Sie Secure Firewall Posture (Hostscan) in der DefaultWEBVPNGroup und DefaultRAGroup (Schritt für Schritt: ASA) | FTD verwaltet durch FMC).
- Deaktivieren von Gruppen-Aliasen und Aktivieren von Gruppen-URLs in den übrigen Verbindungsprofilen (Schritt für Schritt: ASA) | FTD verwaltet durch FMC).
Hinweis: Wenn Sie Support für FTD benötigen, das über das lokale Firewall Device Management (FDM) verwaltet wird, wenden Sie sich an das Technical Assistance Center (TAC).
Weitere Informationen finden Sie im Leitfaden zur Implementierung von Härtungsmaßnahmen für Secure Client AnyConnect VPN.
3. Verbindungsversuche aus böswilligen Quellen blockieren
Um Verbindungsversuche von nicht autorisierten Quellen zu verhindern, können Sie eine der folgenden Optionen implementieren:
Implementierung von ACLs auf Schnittstellenebene
Implementieren Sie eine ACL auf Schnittstellenebene auf der ASA/FTD, um nicht autorisierte öffentliche IP-Adressen herauszufiltern und zu verhindern, dass diese Remote-VPN-Sitzungen initiieren.
Verwenden Sie den Befehl "shun".
Dies ist ein unkomplizierter Ansatz zum Blockieren einer schädlichen IP-Adresse. Er muss jedoch manuell durchgeführt werden. Weitere Informationen finden Sie im Abschnitt Alternative Konfiguration zum Blockieren von Angriffen für sichere Firewalls mit dem Befehl "shun".
Konfigurieren der Kontrollebenen-ACL
Implementieren Sie eine ACL auf Kontrollebene auf der ASA/FTD, um nicht autorisierte öffentliche IP-Adressen herauszufiltern und zu verhindern, dass diese Remote-VPN-Sitzungen initiieren. Konfigurieren Sie Zugriffskontrollrichtlinien für die Kontrollebene für die sichere Abwehr von Firewall-Bedrohungen und ASA.
Hinweis: Cisco Talos hat eine Liste mit IP-Adressen und Anmeldedaten veröffentlicht, die mit diesen Angriffen in Verbindung stehen. Einen Link zu ihrem GitHub-Repository finden Sie im Abschnitt "IOCs" ihres Gutachtens. Es ist wichtig zu beachten, dass sich die Quell-IP-Adressen für diesen Datenverkehr wahrscheinlich ändern. Daher müssen Sie die Sicherheitsprotokolle (Syslog) überprüfen, um die problematischen IP-Adressen zu identifizieren. Nach der Identifizierung kann eine der drei Optionen verwendet werden, um sie zu blockieren.
Zusätzliche Sicherungsimplementierungen für RAVPN
Die bisher ausgesprochenen Empfehlungen zielen darauf ab, das Risiko und die Auswirkungen von Angriffen auf RAVPN-Dienste zu verringern. Sie können jedoch zusätzliche Gegenmaßnahmen in Betracht ziehen, die zusätzliche Änderungen an Ihren Bereitstellungen erfordern, um die Sicherheit Ihrer Remote Access-VPN-Bereitstellung zu erhöhen, wie z. B. die zertifikatbasierte Authentifizierung für RAVPN. Detaillierte Konfigurationsanleitungen finden Sie im Dokument Implement Hardening Measures for Secure Client AnyConnect VPN.
Zusätzliche Informationen