Funcionalidad y configuración de ASA Threat Detection
Contenido
Introducción
Este documento describe la funcionalidad y la configuración básica de la función de detección de amenazas de Cisco Adaptive Security Appliance (ASA). La detección de amenazas proporciona a los administradores de firewall las herramientas necesarias para identificar, comprender y detener los ataques antes de que lleguen a la infraestructura de red interna. Para ello, la función se basa en varios desencadenadores y estadísticas diferentes, que se describen con más detalle en estas secciones.
La detección de amenazas se puede utilizar en cualquier firewall ASA que ejecute una versión de software de 8.0(2) o posterior. Aunque la detección de amenazas no es un sustituto de una solución IDS/IPS dedicada, se puede utilizar en entornos en los que un IPS no está disponible para proporcionar una capa adicional de protección a la funcionalidad principal de ASA.
Funcionalidad de detección de amenazas
La función de detección de amenazas tiene tres componentes principales:
- Detección básica de amenazas
- Detección avanzada de amenazas
- Análisis de la detección de amenazas
Cada uno de estos componentes se describe en detalle en estas secciones.
Detección básica de amenazas (tasas de nivel del sistema)
La detección de amenazas básica se habilita de forma predeterminada en todos los ASA que ejecutan 8.0(2) y posteriores.
La detección de amenazas básica monitorea las tasas a las que el ASA en su conjunto descarta los paquetes por diversas razones. Esto significa que las estadísticas generadas por la detección básica de amenazas solo se aplican a todo el dispositivo y generalmente no son lo suficientemente granulares como para proporcionar información sobre el origen o la naturaleza específica de la amenaza. En su lugar, ASA monitorea los paquetes descartados para estos eventos:
- ACL Drop (acl-drop): las listas de acceso niegan los paquetes
- Pkts incorrectos (bad-packet-drop): formatos de paquete no válidos, que incluyen encabezados L3 y L4 que no se ajustan a los estándares RFC
- Límite de conn (conn-limit-drop): paquetes que exceden un límite de conexión configurado o global
- Ataque DoS (dos caídas): ataques de denegación de servicio (DoS)
- Firewall (fw-drop): comprobaciones básicas de seguridad del firewall
- Ataque ICMP (ICMP-drop) - Paquetes ICMP sospechosos
- Inspeccionar (inspección-descartar) - Denegación por inspección de la aplicación
- Interfaz (interface-drop) - Paquetes caídos por verificaciones de interfaz
- Escaneo (amenaza de escaneo): ataques de escaneo de host/red
- SYN Attack (syn-attack) - Ataques de sesión incompletos, que incluyen ataques TCP SYN y sesiones UDP unidireccionales que no tienen datos devueltos
Cada uno de estos eventos tiene un conjunto específico de desencadenadores que se utilizan para identificar la amenaza. La mayoría de los desencadenadores se vinculan a motivos de descarte ASP específicos, aunque también se tienen en cuenta ciertos registros del sistema y acciones de inspección. Algunos desencadenadores son supervisados por varias categorías de amenazas. Algunos de los factores desencadenantes más comunes se describen en esta tabla, aunque no es una lista exhaustiva:
| Amenaza básica | Motivos de descarte ASP/desencadenadores |
|---|---|
| acl-drop | acl-drop |
| bad-packet-drop | invalid-tcp-hdr-length invalid-ip-header inspect-dns-pak-too-long inspect-dns-id-not-match |
| conn-limit-drop | conn-limit |
| dos caídas | sp-security-failed |
| fw-drop | inspect-icmp-seq-num-not-match inspect-dns-pak-too-long inspect-dns-id-not-match sp-security-failed acl-drop |
| icmp-drop | inspect-icmp-seq-num-not-match |
| inspección-descarte | Caídas de tramas desencadenadas por un motor de inspección |
| interface-drop | sp-security-failed no-route |
| amenaza de exploración | tcp-3whs-failed tcp-not-syn sp-security-failed acl-drop inspect-icmp-seq-num-not-match inspect-dns-pak-too-long inspect-dns-id-not-match |
| syn-attack | %ASA-6-302014 syslog con motivo de cierre de "tiempo de espera SYN" |
Para cada evento, la detección de amenazas básica mide las tasas que estas caídas se producen durante un período de tiempo configurado. Este período de tiempo se denomina intervalo de velocidad promedio (ARI) y puede oscilar entre 600 segundos y 30 días. Si el número de eventos que ocurren dentro del ARI supera los umbrales de velocidad configurados, el ASA considera estos eventos como una amenaza.
La detección básica de amenazas tiene dos umbrales configurables para cuando considera que los eventos son una amenaza: la tasa media y la tasa de ráfaga. La velocidad promedio es simplemente el número promedio de caídas por segundo dentro del período de tiempo del ARI configurado. Por ejemplo, si el umbral de velocidad promedio para las caídas de ACL se configura para 400 con un ARI de 600 segundos, el ASA calcula el número promedio de paquetes que fueron descartados por las ACL en los últimos 600 segundos. Si este número resulta ser superior a 400 por segundo, ASA registra una amenaza.
Asimismo, la tasa de ráfaga es muy similar, pero se centra en períodos más pequeños de datos de instantánea, llamados intervalo de velocidad de ráfaga (BRI). La BRI es siempre más pequeña que la ARI. Por ejemplo, a partir del ejemplo anterior, el ARI para las caídas de ACL sigue siendo de 600 segundos y ahora tiene una velocidad de ráfaga de 800. Con estos valores, el ASA calcula el número promedio de paquetes descartados por las ACL en los últimos 20 segundos, donde 20 segundos es el BRI. Si este valor calculado supera las 800 caídas por segundo, se registra una amenaza. Para determinar qué BRI se utiliza, el ASA calcula el valor de 1/30 del ARI. Por lo tanto, en el ejemplo usado anteriormente, 1/30 de 600 segundos es 20 segundos. Sin embargo, la detección de amenazas tiene una BRI mínima de 10 segundos, por lo que si 1/30 del ARI es menor de 10, el ASA sigue utilizando 10 segundos como BRI. Además, es importante señalar que este comportamiento fue diferente en las versiones anteriores a 8.2(1), que usaron un valor de 1/60 del ARI, en lugar de 1/30. El BRI mínimo de 10 segundos es el mismo para todas las versiones de software.
Cuando se detecta una amenaza básica, el ASA simplemente genera syslog %ASA-4-733100 para alertar al administrador de que se ha identificado una amenaza potencial. El promedio, el número actual y el número total de eventos para cada categoría de amenaza se puede ver con el comando show threat-detection rate. El número total de eventos acumulados es la suma del número de eventos observados en las últimas 30 muestras BRI.
La detección básica de amenazas no realiza ninguna acción para detener el tráfico ofensivo o evitar futuros ataques. En este sentido, la detección básica de amenazas es puramente informativa y puede utilizarse como mecanismo de supervisión o generación de informes.
Detección avanzada de amenazas (estadísticas de nivel de objeto y N primeros)
A diferencia de la detección básica de amenazas, la detección avanzada de amenazas se puede utilizar para realizar un seguimiento de las estadísticas de objetos más granulares. El ASA admite estadísticas de seguimiento para IP de host, puertos, protocolos, ACL y servidores protegidos por intercepción TCP. La detección de amenazas avanzadas solo está habilitada de forma predeterminada para las estadísticas de ACL.
En el caso de los objetos host, de puerto y de protocolo, la detección de amenazas realiza un seguimiento del número de paquetes, bytes y caídas que ese objeto envió y recibió en un período de tiempo específico. En el caso de las ACL, la detección de amenazas realiza un seguimiento de las 10 ACE principales (tanto permit como deny) que más se alcanzaron en un período de tiempo específico.
Los períodos de tiempo que se siguen en todos estos casos son de 20 minutos, 1 hora, 8 horas y 24 horas. Si bien los propios períodos de tiempo no se pueden configurar, el número de periodos que se siguen por objeto se puede ajustar con la palabra clave 'number-of-rate'. Consulte la sección Configuración para obtener más información. Por ejemplo, si 'number-of-rate' se establece en 2, verá todas las estadísticas para 20 minutos, 1 hora y 8 horas. si 'number-of-rate' se establece en 1, verá todas las estadísticas durante 20 minutos, 1 hora. No importa lo que suceda, siempre se muestra la velocidad de 20 minutos.
Cuando se habilita la intercepción TCP, la Detección de Amenazas puede realizar un seguimiento de los 10 servidores principales que se consideran atacados y protegidos por intercepción TCP. Las estadísticas para la intercepción TCP son similares a la detección de amenazas básicas en el sentido de que el usuario puede configurar el intervalo de velocidad medido junto con las tasas medias específicas (ARI) y de ráfaga (BRI). Las estadísticas de detección de amenazas avanzadas para la intercepción TCP sólo están disponibles en ASA 8.0(4) y posteriores.
Las estadísticas avanzadas de detección de amenazas se visualizan a través de los comandos show threat-detection statistics y show threat-detection statistics top. Esta es también la función responsable de rellenar los gráficos "top" en el panel de firewall del ASDM. Los únicos syslogs generados por la Detección de Amenazas Avanzadas son %ASA-4-733104 y %ASA-4-733105, que se activan cuando se exceden las tasas promedio y ráfaga (respectivamente) para las estadísticas de intercepción TCP.
Al igual que la detección básica de amenazas, la detección avanzada de amenazas es puramente informativa. No se toman medidas para bloquear el tráfico según las estadísticas de detección de amenazas avanzadas.
Análisis de la detección de amenazas
El escaneo de la detección de amenazas se utiliza para realizar un seguimiento de los atacantes sospechosos que crean conexiones con demasiados hosts en una subred o con muchos puertos en un host/subred. El escaneo de la detección de amenazas está desactivado de forma predeterminada.
El análisis de la detección de amenazas se basa en el concepto de detección básica de amenazas, que ya define una categoría de amenaza para un ataque de análisis. Por lo tanto, la configuración de intervalo de velocidad, velocidad media (ARI) y velocidad de ráfaga (BRI) se comparten entre Basic y Scanning Threat Detection. La diferencia entre las 2 funciones es que mientras que la detección básica de amenazas solo indica que se han cruzado los umbrales de velocidad media o de ráfaga, la detección de amenazas de escaneo mantiene una base de datos de direcciones IP objetivo y atacantes que pueden ayudar a proporcionar más contexto alrededor de los hosts involucrados en la exploración. Además, solo el tráfico que recibe realmente el host/subred de destino se tiene en cuenta al analizar la detección de amenazas. La detección básica de amenazas todavía puede desencadenar una amenaza de escaneo incluso si una ACL elimina el tráfico.
La detección de amenazas de escaneo puede reaccionar opcionalmente a un ataque evitando la IP del atacante. Esto hace de la detección de amenazas de escaneo el único subconjunto de la función de detección de amenazas que puede afectar activamente a las conexiones a través del ASA.
Cuando la Detección de Amenazas de Escaneo detecta un ataque, %ASA-4-733101 se registra para el atacante y/o IP de destino. Si la función está configurada para rechazar al atacante, %ASA-4-733102 se registra cuando el escaneo de la detección de amenazas genera un shun. %ASA-4-733103 se registra cuando se elimina el rechazo. El comando show threat-detection scan-threat se puede utilizar para ver toda la base de datos Scanning Threat.
Limitaciones
- La detección de amenazas solo está disponible en ASA 8.0(2) y versiones posteriores. No es compatible con la plataforma ASA 1000V.
- La detección de amenazas solo se admite en el modo de contexto único.
- Sólo se detectan amenazas listas para usar. La detección de amenazas no tiene en cuenta el tráfico enviado al propio ASA.
- Los intentos de conexión TCP restablecidos por el servidor de destino no se cuentan como un ataque SYN ni como una amenaza de escaneo.
Configuración
Detección básica de amenazas
La detección básica de amenazas se habilita con el comando Threat-detection basic-threat.
ciscoasa(config)# threat-detection basic-threat
Las velocidades predeterminadas se pueden ver con el comando show run all threat-detection.
ciscoasa(config)# show run all threat-detection
threat-detection rate dos-drop rate-interval 600 average-rate 100 burst-rate 400
threat-detection rate dos-drop rate-interval 3600 average-rate 80 burst-rate 320
threat-detection rate bad-packet-drop rate-interval 600 average-rate 100 burst-rate 400
threat-detection rate bad-packet-drop rate-interval 3600 average-rate 80 burst-rate 320
threat-detection rate acl-drop rate-interval 600 average-rate 400 burst-rate 800
threat-detection rate acl-drop rate-interval 3600 average-rate 320 burst-rate 640
threat-detection rate conn-limit-drop rate-interval 600 average-rate 100 burst-rate 400
threat-detection rate conn-limit-drop rate-interval 3600 average-rate 80 burst-rate 320
threat-detection rate icmp-drop rate-interval 600 average-rate 100 burst-rate 400
threat-detection rate icmp-drop rate-interval 3600 average-rate 80 burst-rate 320
threat-detection rate scanning-threat rate-interval 600 average-rate 5 burst-rate 10
threat-detection rate scanning-threat rate-interval 3600 average-rate 4 burst-rate 8
threat-detection rate syn-attack rate-interval 600 average-rate 100 burst-rate 200
threat-detection rate syn-attack rate-interval 3600 average-rate 80 burst-rate 160
threat-detection rate fw-drop rate-interval 600 average-rate 400 burst-rate 1600
threat-detection rate fw-drop rate-interval 3600 average-rate 320 burst-rate 1280
threat-detection rate inspect-drop rate-interval 600 average-rate 400 burst-rate 1600
threat-detection rate inspect-drop rate-interval 3600 average-rate 320 burst-rate 1280
threat-detection rate interface-drop rate-interval 600 average-rate 2000 burst-rate 8000
threat-detection rate interface-drop rate-interval 3600 average-rate 1600 burst-rate 6400
Para ajustar estas velocidades con valores personalizados, simplemente reconfigure el comando de velocidad de detección de amenazas para la categoría de amenaza apropiada.
ciscoasa(config)# threat-detection rate acl-drop rate-interval 1200 average-rate 250 burst-rate 550
Cada categoría de amenaza puede tener un máximo de 3 velocidades diferentes definidas (con ID de velocidad de velocidad de velocidad 1, velocidad 2 y velocidad 3). Se hace referencia al ID de velocidad particular que se excede en el syslog %ASA-4-733100.
En el ejemplo anterior, la detección de amenazas crea syslog 733100 solamente cuando el número de caídas de ACL excede 250 caídas/segundo en 1200 segundos o 550 caídas/segundo en 40 segundos.
Detección avanzada de amenazas
Utilice el comando threat-detection statistics para habilitar la detección avanzada de amenazas. Si no se proporciona ninguna palabra clave de característica específica, el comando habilita el seguimiento para todas las estadísticas.
ciscoasa(config)# threat-detection statistics ?
configure mode commands/options:
access-list Keyword to specify access-list statistics
host Keyword to specify IP statistics
port Keyword to specify port statistics
protocol Keyword to specify protocol statistics
tcp-intercept Trace tcp intercept statistics
<cr>
Para configurar el número de intervalos de velocidad que se siguen para las estadísticas de host, puerto, protocolo o ACL, utilice la palabra clave number-of-rate.
ciscoasa(config)# threat-detection statistics host number-of-rate 2
La palabra clave number-of-rate configura Threat Detection para realizar un seguimiento sólo del n número de intervalos más corto.
Para habilitar las estadísticas de intercepción TCP, utilice el comando threat-detection statistics tcp-intercept.
ciscoasa(config)# threat-detection statistics tcp-intercept
Para configurar las velocidades personalizadas para las estadísticas de intercepción TCP, utilice las palabras clave rate-interval, promedio-rate y burst-rate.
ciscoasa(config)# threat-detection statistics tcp-intercept rate-interval 45
burst-rate 400 average-rate 100
Análisis de la detección de amenazas
Para habilitar la Detección de Amenazas de Escaneo, utilice el comando de detección de amenazas-escaneo-amenaza.
ciscoasa(config)# threat-detection scanning-threat
Para ajustar las velocidades para una amenaza de escaneo, utilice el mismo comando Threat-detection rate utilizado por Basic Threat Detection.
ciscoasa(config)# threat-detection rate scanning-threat rate-interval 1200 average-rate 250 burst-rate 550
Para permitir que el ASA evite una IP del atacante de escaneo, agregue la palabra clave shun al comando de detección de amenaza-escaneo-amenaza.
ciscoasa(config)# threat-detection scanning-threat shun
Esto permite que la detección de amenazas de escaneo cree una hora de rechazo para el atacante. Para ajustar la duración del rechazo, utilice el comando de detección de amenazas-escaneo-amenaza shun duration.
ciscoasa(config)# threat-detection scanning-threat shun duration 1000
En algunos casos, es posible que desee evitar que el ASA rechace ciertas IP. Para hacer esto, cree una excepción con el comando threat-detection scan-threat shun excepto.
ciscoasa(config)# threat-detection scanning-threat shun except ip-address 10.1.1.1 255.255.255.255
ciscoasa(config)# threat-detection scanning-threat shun except object-group no-shun
Rendimiento
La detección básica de amenazas tiene muy poco impacto en el rendimiento del ASA. La detección de amenazas avanzada y de exploración requieren muchos más recursos, ya que deben llevar un seguimiento de las distintas estadísticas en la memoria. Solo escanear la detección de amenazas con la función shun activada puede afectar activamente al tráfico que de otra manera se habría permitido.
A medida que avanzan las versiones de software de ASA, la utilización de la memoria de la detección de amenazas se ha optimizado significativamente. Sin embargo, se debe tener cuidado de monitorear el uso de la memoria de ASA antes y después de habilitar la detección de amenazas. En algunos casos, puede ser mejor habilitar sólo ciertas estadísticas (por ejemplo, estadísticas de host) temporalmente mientras se resuelve activamente un problema específico.
Para obtener una vista más detallada del uso de la memoria de Threat Detection, ejecute el comando show memory app-cache threat-detection [detail].
Acciones recomendadas
Estas secciones proporcionan algunas recomendaciones generales para las acciones que se pueden tomar cuando se producen varios eventos relacionados con la detección de amenazas.
Cuando se supera una velocidad de descarte básica y se genera %ASA-4-733100
Determine la categoría de amenaza específica mencionada en el syslog %ASA-4-733100 y correlaciónelo con el resultado de show threat-detection rate. Con esta información, verifique el resultado de show asp drop para determinar las razones por las que se descarta el tráfico.
Para obtener una vista más detallada del tráfico que se descarta por una razón específica, utilice una captura de descarte ASP con la razón en cuestión para ver todos los paquetes que se descartan. Por ejemplo, si se registran las amenazas de ACL Drop, capture en el motivo de caída de ASP el motivo de acl-drop:
ciscoasa# capture drop type asp-drop acl-drop
ciscoasa# show capture drop
1 packet captured
1: 18:03:00.205189 10.10.10.10.60670 > 192.168.1.100.53: udp 34 Drop-reason:
(acl-drop) Flow is denied by configured rule
Esta captura muestra que el paquete que se descarta es un paquete UDP/53 de 10.10.10.10 a 192.168.1.100.
Si %ASA-4-733100 informa de una amenaza de escaneo, también puede ser útil habilitar temporalmente la detección de amenazas de escaneo. Esto permite al ASA realizar un seguimiento de las IP de origen y de destino involucradas en el ataque.
Puesto que la detección básica de amenazas supervisa en su mayoría el tráfico que ya está siendo descartado por ASP, no se requiere ninguna acción directa para detener una amenaza potencial. Las excepciones son los ataques SYN y las amenazas de escaneo, que implican el tráfico que pasa a través del ASA.
Si las caídas observadas en la captura de descarte de ASP son legítimas o esperadas para el entorno de red, ajuste los intervalos de velocidad básicos a un valor más adecuado.
Si las caídas muestran tráfico ilegítimo, se deben tomar medidas para bloquear o limitar la velocidad del tráfico antes de que llegue al ASA. Esto puede incluir ACL y QoS en dispositivos ascendentes.
Para los ataques SYN, el tráfico se puede bloquear en una ACL en el ASA. La intercepción de TCP también se puede configurar para proteger los servidores de destino, pero esto simplemente podría dar como resultado que se registrara una amenaza de límite de conexión.
Para analizar las amenazas, el tráfico también se puede bloquear en una ACL del ASA. El escaneo de la detección de amenazas con la opción shun se puede habilitar para permitir que el ASA bloquee proactivamente todos los paquetes del atacante durante un período de tiempo definido.
Cuando se detecta una amenaza de escaneo y se registra %ASA-4-733101
%ASA-4-733101 debe enumerar el host/subred de destino o la dirección IP del atacante. Para ver la lista completa de objetivos y atacantes, verifique el resultado de show threat-detection scan-threat.
Las capturas de paquetes en las interfaces ASA que se enfrentan al atacante y/o a los objetivos también pueden ayudar a aclarar la naturaleza del ataque.
Si la exploración detectada no se espera, se deben tomar medidas para bloquear o limitar la velocidad del tráfico antes de que llegue al ASA. Esto puede incluir ACL y QoS en dispositivos ascendentes. La adición de la opción shun a la configuración de detección de amenazas de escaneo también puede permitir que el ASA descarte proactivamente todos los paquetes de la IP del atacante durante un período de tiempo definido. Como último recurso, el tráfico también se puede bloquear manualmente en el ASA a través de una política de intercepción ACL o TCP.
Si el escaneo detectado es un falso positivo, ajuste los intervalos de velocidad de escaneo de amenazas a un valor más adecuado para el entorno de red.
Cuando se rechaza un atacante y se registra %ASA-4-733102
%ASA-4-733102 enumera la dirección IP del atacante rechazado. Utilice el comando show threat-detection shun para ver una lista completa de atacantes que han sido rechazados específicamente por Threat Detection. Utilice el comando show shun para ver la lista completa de todas las IP que están siendo rechazadas activamente por el ASA (incluidas las de fuentes distintas de la detección de amenazas).
Si el rechazo es parte de un ataque legítimo, no se requiere ninguna otra acción. Sin embargo, sería beneficioso bloquear manualmente el tráfico del atacante tanto en sentido ascendente hacia el origen como fuera posible. Esto se puede hacer a través de ACL y QoS. Esto garantiza que los dispositivos intermedios no necesiten desperdiciar recursos procesando tráfico ilegítimo.
Si la amenaza de escaneo que desencadenó el rechazo fue un falso positivo, elimine manualmente el rechazo con el comando clear threat-detection shun [IP_address].
Cuando se registra %ASA-4-733104 y/o %ASA-4-733105
%ASA-4-733104 y %ASA-4-733105 enumera el host al que se dirige el ataque que actualmente está protegido por la intercepción TCP. Para obtener más detalles sobre las tasas de ataque y los servidores protegidos, verifique el resultado de show threat-detection statistics top tcp-intercept.
ciscoasa# show threat-detection statistics top tcp-intercept
Top 10 protected servers under attack (sorted by average rate)
Monitoring window size: 30 mins Sampling interval: 30 secs
----------------------------------------------------------------------------------
1 192.168.1.2:5000 inside 1249 9503 2249245 Last: 10.0.0.3 (0 secs ago)
2 192.168.1.3:5000 inside 10 10 6080 10.0.0.200 (0 secs ago)
3 192.168.1.4:5000 inside 2 6 560 10.0.0.200 (59 secs ago)
4 192.168.1.5:5000 inside 1 5 560 10.0.0.200 (59 secs ago)
5 192.168.1.6:5000 inside 1 4 560 10.0.0.200 (59 secs ago)
6 192.168.1.7:5000 inside 0 3 560 10.0.0.200 (59 secs ago)
7 192.168.1.8:5000 inside 0 2 560 10.0.0.200 (59 secs ago)
8 192.168.1.9:5000 inside 0 1 560 10.0.0.200 (59 secs ago)
9 192.168.1.10:5000 inside 0 0 550 10.0.0.200 (2 mins ago)
10 192.168.1.11:5000 inside 0 0 550 10.0.0.200 (5 mins ago)
Cuando la detección de amenazas avanzadas detecta un ataque de esta naturaleza, el ASA ya protege el servidor de destino a través de la intercepción TCP. Verifique los límites de conexión configurados para asegurarse de que proporcionan la protección adecuada para la naturaleza y velocidad del ataque. Además, sería beneficioso bloquear manualmente el tráfico del atacante tanto en sentido ascendente hacia el origen como fuera posible. Esto se puede hacer a través de ACL y QoS. Esto garantiza que los dispositivos intermedios no necesiten desperdiciar recursos procesando tráfico ilegítimo.
Si el ataque detectado es un falso positivo, ajuste las velocidades para un ataque de intercepción TCP a un valor más apropiado con el comando tcp-intercept de estadísticas de detección de amenazas.
Cómo desencadenar manualmente una amenaza
Para propósitos de prueba y solución de problemas, puede ser útil activar manualmente varias amenazas. Esta sección contiene consejos para activar algunos tipos de amenazas comunes.
Amenaza básica: caída de ACL, firewall y análisis
Para activar una amenaza básica determinada, consulte la tabla de la sección de funcionalidad anterior. Elija un motivo de caída de ASP específico y envíe tráfico a través del ASA que se descartaría por el motivo de caída de ASP adecuado.
Por ejemplo, las amenazas de ACL Drop, Firewall y Escaneo consideran la velocidad de paquetes que se descartan mediante acl-drop. Complete estos pasos para activar estas amenazas simultáneamente:
- Cree una ACL en la interfaz exterior del ASA que descarte explícitamente todos los paquetes TCP enviados a un servidor de destino en el interior del ASA (10.11.11.11):
access-list outside_in extended line 1 deny tcp any host 10.11.11.11
access-list outside_in extended permit ip any any
access-group outside_in in interface outside - Desde un atacante en el exterior del ASA (10.10.10.10), utilice nmap para ejecutar un TCP SYN scan en cada puerto del servidor de destino:
nmap -sS -T5 -p1-65535 -Pn 10.11.11.11
- Tenga en cuenta que se detectan amenazas básicas para las amenazas de ACL Drop, Firewall y Escaneo:
%ASA-1-733100: [ Scanning] drop rate-1 exceeded. Current burst rate is 19 per second,
max configured rate is 10; Current average rate is 9 per second,
max configured rate is 5; Cumulative total count is 5538
%ASA-1-733100: [ ACL drop] drop rate-1 exceeded. Current burst rate is 19 per second,
max configured rate is 0; Current average rate is 2 per second,
max configured rate is 0; Cumulative total count is 1472
%ASA-1-733100: [ Firewall] drop rate-1 exceeded. Current burst rate is 18 per second,
max configured rate is 0; Current average rate is 2 per second,
max configured rate is 0; Cumulative total count is 1483
Amenaza avanzada: intercepción TCP
- Cree una ACL en la interfaz exterior que permita todos los paquetes TCP enviados a un servidor de destino en el interior del ASA (10.11.11.11):
access-list outside_in extended line 1 permit tcp any host 10.11.11.11
access-group outside_in in interface outside - Si el servidor de destino no existe realmente, o restablece los intentos de conexión del atacante, configure una entrada ARP falsa en el ASA para filtrar el tráfico de ataque por la interfaz interna:
arp inside 10.11.11.11 dead.dead.dead
- Cree una política de intercepción TCP simple en el ASA:
access-list tcp extended permit tcp any any
class-map tcp
match access-list tcp
policy-map global_policy
class tcp
set connection conn-max 2
service-policy global_policy globalDesde un atacante en el exterior del ASA (10.10.10.10), utilice nmap para ejecutar una exploración TCP SYN en cada puerto del servidor de destino:
nmap -sS -T5 -p1-65535 -Pn 10.11.11.11
Tenga en cuenta que Threat Detection realiza un seguimiento del servidor protegido:
ciscoasa(config)# show threat-detection statistics top tcp-intercept
Top 10 protected servers under attack (sorted by average rate)
Monitoring window size: 30 mins Sampling interval: 30 secs
--------------------------------------------------------------------------------
1 10.11.11.11:18589 outside 0 0 1 10.10.10.10 (36 secs ago)
2 10.11.11.11:47724 outside 0 0 1 10.10.10.10 (36 secs ago)
3 10.11.11.11:46126 outside 0 0 1 Last: 10.10.10.10 (6 secs ago)
4 10.11.11.11:3695 outside 0 0 1 Last: 10.10.10.10 (6 secs ago)
Análisis de amenazas
- Cree una ACL en la interfaz exterior que permita todos los paquetes TCP enviados a un servidor de destino en el interior del ASA (10.11.11.11):
access-list outside_in extended line 1 permit tcp any host 10.11.11.11
access-group outside_in in interface outside - Si el servidor de destino no existe realmente, o restablece los intentos de conexión del atacante, configure una entrada ARP falsa en el ASA para filtrar el tráfico de ataque por la interfaz interna:
arp inside 10.11.11.11 dead.dead.dead
- Desde un atacante en el exterior del ASA (10.10.10.10), utilice nmap para ejecutar una exploración TCP SYN en cada puerto del servidor de destino:
nmap -sS -T5 -p1-65535 -Pn 10.11.11.11
- Observe que se detecta una amenaza de escaneo, se rastrea la IP del atacante y se rechaza al atacante:
%ASA-1-733100: [ Scanning] drop rate-1 exceeded. Current burst rate is 17 per second,
max configured rate is 10; Current average rate is 0 per second,
max configured rate is 5; Cumulative total count is 404
%ASA-4-733101: Host 10.10.10.10 is attacking. Current burst rate is 17 per second,
max configured rate is 10; Current average rate is 0 per second,
max configured rate is 5; Cumulative total count is 700
%ASA-4-733102: Threat-detection adds host 10.10.10.10 to shun list
Información Relacionada
Historial de revisiones
| Revisión | Fecha de publicación | Comentarios |
|---|---|---|
1.0 |
06-Jul-2015 |
Versión inicial |
ComentariosContacte a Cisco
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)