Empfehlungen gegen Passwort-Spray-Angriffe mit Auswirkungen auf Remote-Access-VPN-Services

Download-Optionen

  • PDF     (307.2 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (117.4 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (98.4 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:22. April 2024
Dokument-ID:221806

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument werden Empfehlungen für die Vermeidung von Fehlern bei der Zuweisung von Hostcan-Token in der sicheren Firewall, die von Passwort-Spray-Angriffen herrühren, beschrieben.

    Hintergrundinformationen

    Beim Versuch, eine RAVPN-Verbindung mithilfe des Cisco Secure Client (AnyConnect) herzustellen, wird gelegentlich die Fehlermeldung "Verbindung konnte nicht hergestellt werden" angezeigt. Cisco Secure Desktop ist nicht auf dem Client installiert.". Dieses Verhalten tritt in der Regel dann auf, wenn ein Host-Scan-Token nicht über das VPN-Headend, entweder über eine Cisco Secure Firewall Adaptive Security Appliance (ASA) oder über eine Threat Defense (FTD), zugewiesen werden kann. Dieser Fehler bei der Zuweisung korreliert mit Brute-Force-Angriffen auf die Secure Firewall-Infrastruktur und wird derzeit mit äußerster Dringlichkeit unter der Cisco Bug-ID CSCwj45822 behoben.

    Beobachtetes Verhalten

    Bei aktivierter Firewall-Statusüberprüfung (HostScan) können keine VPN-Verbindungen mit dem Cisco Secure Client (AnyConnect) hergestellt werden

    Beim Versuch, eine VPN-Verbindung mit Cisco Secure Client (AnyConnect) herzustellen, können Benutzer unregelmäßig die Fehlermeldung "Verbindung konnte nicht hergestellt werden" erhalten. Cisco Secure Desktop ist nicht auf dem Client installiert." Dieses Problem verhindert den erfolgreichen Abschluss des VPN-Verbindungsprozesses.

    secure_client_error

    Hinweis: Dieses spezielle Verhalten tritt nur auf, wenn Firewall Posture (HostScan) am Headend aktiviert ist, unabhängig von der verwendeten Secure Client- oder AnyConnect-Version.

    Erschöpfung des Hostscan-Tokens

    Das VPN-Headend Cisco Secure Firewall Adaptive Security Appliance (ASA) oder Threat Defense (FTD) zeigt Symptome von Fehlern bei der Host-Scan-Tokenzuweisung. Führen Sie dazu den Befehl debug menu webvpn 187 0 aus.

    ASA# debug menu webvpn 187 0 
    Allocated Hostscan token = 1000
    Hostscan token allocate failure = xxx - - - - > Increments

    Hinweis: Das Auftreten dieses Problems ist eine Folge der Angriffe. Die Angelegenheit wird derzeit mit äußerster Dringlichkeit unter der Cisco Bug-ID CSCwj45822 behandelt.

    Ungewöhnlich viele Authentifizierungsanforderungen

    Das VPN-Headend Cisco Secure Firewall ASA oder FTD zeigt Symptome von Passwort-Spray-Angriffen mit 100-tausenden oder Millionen abgelehnter Authentifizierungsversuche. 

    Hinweis: Diese ungewöhnlichen Authentifizierungsversuche können entweder an die LOKALE Datenbank oder an externe Authentifizierungsserver weitergeleitet werden.

    Die beste Methode, dies zu erkennen, ist der Blick auf das Syslog. Achten Sie auf eine ungewöhnliche Anzahl der nächsten ASA-Syslog-IDs:

    • %ASA-6-113015
    %ASA-6-113015: AAA user authentication Rejected : reason = User was not found : local database : user = admin : user IP = x.x.x.x

    • %ASA-6-113005
    %ASA-6-113005: AAA user authentication Rejected : reason = Unspecified : server = x.x.x.x : user = ***** : user IP = x.x.x.x

    • %ASA-6-716039
    %ASA-6-716039: Group <DfltGrpPolicy> User <admin> IP <x.x.x.x> Authentication: rejected, Session Type: WebVPN.

    Der Benutzername wird immer ausgeblendet, bis der Befehl no logging hide username auf der ASA konfiguriert ist.

    Hinweis: Überprüfen Sie, ob gültige Benutzer von IP-Adressen mit Sicherheitsverletzungen erstellt wurden oder bekannt sind. Seien Sie jedoch vorsichtig, da die Benutzernamen in den Protokollen angezeigt werden.

    Melden Sie sich zur Überprüfung bei der ASA- oder FTD-Befehlszeilenschnittstelle (CLI) an, führen Sie den Befehl show aaa-server aus, und untersuchen Sie die Anzahl der Authentifizierungsanforderungen, die an einen der konfigurierten AAA-Server gesendet wurden, die ungewöhnlich hoch waren und abgelehnt wurden:

    ciscoasa# show aaa-server

    Server Group: LDAP-SERVER - - - - - >>>> Sprays against external server
    Server Protocol: ldap
    Server Hostname: ldap-server.example.com
    Server Address: 10.10.10.10
    Server port: 636
    Server status: ACTIVE, Last transaction at unknown
    Number of pending requests 0
    Average round trip time 0ms
    Number of authentication requests 2228536 - - - - - >>>> Unusual increments
    Number of authorization requests 0
    Number of accounting requests 0
    Number of retransmissions 0
    Number of accepts 1312
    Number of rejects 2225363 - - - - - >>>> Unusual increments / Unusual rejection rate
    Number of challenges 0
    Number of malformed responses 0
    Number of bad authenticators 0
    Number of timeouts 1
    Number of unrecognized responses 0 

    Empfehlungen

    Zwar gibt es derzeit keine einzige Lösung, um das Risiko vollständig zu eliminieren, Sie können jedoch die nächsten empfohlenen Vorgehensweisen überprüfen und anwenden, die dazu beitragen sollen, die Wahrscheinlichkeit des Auftretens zu verringern und die Auswirkungen dieser Brute-Force-Angriffe auf Ihre RAVPN-Verbindungen zu verringern.

    1. Protokollierung aktivieren

    Protokollierung ist ein wichtiger Bestandteil der Cybersicherheit, bei dem Ereignisse innerhalb eines Systems aufgezeichnet werden. Das Fehlen detaillierter Protokolle hinterlässt Verständnislücken und verhindert eine klare Analyse der Angriffsmethode. Es wird empfohlen, die Protokollierung an einem Remote-Syslog-Server zu aktivieren, um die Korrelation und Überprüfung von Netzwerk- und Sicherheitsvorfällen auf verschiedenen Netzwerkgeräten zu verbessern.

    Weitere Informationen zum Konfigurieren der Protokollierung finden Sie in den folgenden plattformspezifischen Leitfäden:

    Cisco ASA Software:

    Cisco FTD-Software:

    Hinweis: Die Syslog-Meldungs-IDs, die zum Überprüfen der in diesem Dokument beschriebenen Verhaltensweisen (113015, 113005 und 716039) erforderlich sind, müssen auf Informationsebene aktiviert werden (6). Diese IDs gehören zu den Protokollierungsklassen 'auth' und 'webvpn'.

    2. Anwendung von Härtungsmaßnahmen für Remote Access-VPN

    Um die Auswirkungen dieser Angriffe zu mindern, implementieren Sie die folgenden Härtungsmaßnahmen:

    1. Deaktivieren Sie die AAA-Authentifizierung in den Standard-WEBVPN- und StandardRAGroup-Verbindungsprofilen (Schritt für Schritt: ASA | FTD verwaltet durch FMC).
    2. Deaktivieren Sie Secure Firewall Posture (Hostscan) in der DefaultWEBVPNGroup und DefaultRAGroup (Schritt für Schritt: ASA) | FTD verwaltet durch FMC).
    3. Deaktivieren von Gruppen-Aliasen und Aktivieren von Gruppen-URLs in den übrigen Verbindungsprofilen (Schritt für Schritt: ASA) | FTD verwaltet durch FMC).

    Hinweis: Wenn Sie Support für FTD benötigen, das über das lokale Firewall Device Management (FDM) verwaltet wird, wenden Sie sich an das Technical Assistance Center (TAC).

    Weitere Informationen finden Sie im Leitfaden zur Implementierung von Härtungsmaßnahmen für Secure Client AnyConnect VPN.

    3. Verbindungsversuche aus böswilligen Quellen blockieren

    Um Verbindungsversuche von nicht autorisierten Quellen zu verhindern, können Sie eine der folgenden Optionen implementieren:

    Implementierung von ACLs auf Schnittstellenebene

    Implementieren Sie eine ACL auf Schnittstellenebene auf der ASA/FTD, um nicht autorisierte öffentliche IP-Adressen herauszufiltern und zu verhindern, dass diese Remote-VPN-Sitzungen initiieren.

    Verwenden Sie den Befehl "shun".

    Dies ist ein unkomplizierter Ansatz zum Blockieren einer schädlichen IP-Adresse. Er muss jedoch manuell durchgeführt werden. Weitere Informationen finden Sie im Abschnitt Alternative Konfiguration zum Blockieren von Angriffen für sichere Firewalls mit dem Befehl "shun". 

    Konfigurieren der Kontrollebenen-ACL

    Implementieren Sie eine ACL auf Kontrollebene auf der ASA/FTD, um nicht autorisierte öffentliche IP-Adressen herauszufiltern und zu verhindern, dass diese Remote-VPN-Sitzungen initiieren. Konfigurieren Sie Zugriffskontrollrichtlinien für die Kontrollebene für die sichere Abwehr von Firewall-Bedrohungen und ASA.

    Hinweis: Cisco Talos hat eine Liste mit IP-Adressen und Anmeldedaten veröffentlicht, die mit diesen Angriffen in Verbindung stehen. Einen Link zu ihrem GitHub-Repository finden Sie im Abschnitt "IOCs" ihres Gutachtens. Es ist wichtig zu beachten, dass sich die Quell-IP-Adressen für diesen Datenverkehr wahrscheinlich ändern. Daher müssen Sie die Sicherheitsprotokolle (Syslog) überprüfen, um die problematischen IP-Adressen zu identifizieren. Nach der Identifizierung kann eine der drei Optionen verwendet werden, um sie zu blockieren.

    Zusätzliche Sicherungsimplementierungen für RAVPN

    Die bisher ausgesprochenen Empfehlungen zielen darauf ab, das Risiko und die Auswirkungen von Angriffen auf RAVPN-Dienste zu verringern. Sie können jedoch zusätzliche Gegenmaßnahmen in Betracht ziehen, die zusätzliche Änderungen an Ihren Bereitstellungen erfordern, um die Sicherheit Ihrer Remote Access-VPN-Bereitstellung zu erhöhen, wie z. B. die zertifikatbasierte Authentifizierung für RAVPN. Detaillierte Konfigurationsanleitungen finden Sie im Dokument Implement Hardening Measures for Secure Client AnyConnect VPN.

    Zusätzliche Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    4.0
    22-Apr-2024
    Aktualisierung der Abschnitte "Hintergrundinformationen" und "Empfehlungen".
    3.0
    15-Apr-2024
    Linked Cisco Bug-ID CSCwj45822, hat den Unterabschnitt "Hostscan Token Exhaustion" und den Abschnitt "Additional Hardening Implementations for RAVPN" hinzugefügt
    2.0
    01-Apr-2024
    Dokumenttitel aktualisiert, Abschnitt "IoCs" in "Beobachtete ungewöhnliche Muster" umbenannt und unter "Empfehlungen" weitere Details hinzugefügt.
    1.0
    26-Mar-2024
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Angel Ortiz
      TAC Technical Leader
    • Kirollos Mikhail
      Engineering Technical Leader

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.