Introduzione
In questo documento vengono illustrati alcuni consigli da prendere in considerazione per evitare errori di allocazione di token hostcan in Secure Firewall, derivati da attacchi di spray di password.
Premesse
Quando si tenta di stabilire una connessione VPN con Cisco Secure Client (AnyConnect), gli utenti possono ricevere a intermittenza un messaggio di errore del tipo "Impossibile completare la connessione. Cisco Secure Desktop non installato sul client.". Questo comportamento in genere si verifica quando non è possibile allocare un token di scansione host dall'headend VPN, né un'appliance ASA (Cisco Secure Firewall Adaptive Security Appliance) né una licenza Threat Defense (FTD). In particolare, l'errore di allocazione è correlato a istanze di attacchi di forza bruta destinati all'infrastruttura Secure Firewall e viene attualmente risolto con la massima urgenza con l'ID bug Cisco CSCwj45822.
Comportamenti osservati
Impossibile stabilire connessioni VPN con Cisco Secure Client (AnyConnect) quando la postura del firewall (HostScan) è abilitata
Quando si cerca di stabilire una connessione VPN con Cisco Secure Client (AnyConnect), gli utenti possono ricevere a intermittenza un messaggio di errore del tipo "Impossibile completare la connessione. Cisco Secure Desktop non installato sul client." Questo problema impedisce il completamento del processo di connessione VPN.
Nota: questo comportamento specifico si verifica solo quando all'headend è abilitata la postura del firewall (HostScan), a prescindere dalla versione Secure Client o AnyConnect utilizzata.
Esaurimento token Hostscan
L'headend VPN con Cisco Secure Firewall Adaptive Security Appliance (ASA) o Threat Defense (FTD) mostra i sintomi di errori di allocazione dei token Hostscan. Per verificare questa condizione, eseguire il comando debug menu webvpn 187.0.
ASA# debug menu webvpn 187 0
Allocated Hostscan token = 1000
Hostscan token allocate failure = xxx - - - - > Increments
Nota: il verificarsi di questo problema è una conseguenza degli attacchi. La questione è attualmente trattata con la massima urgenza con l'ID bug Cisco CSCwj45822.
Numero insolito di richieste di autenticazione
L'headend VPN Cisco Secure Firewall ASA o FTD mostra i sintomi di attacchi con spray di password con 100 migliaia o milioni di tentativi di autenticazione rifiutati.
Nota: questi tentativi di autenticazione insoliti possono essere indirizzati al database LOCALE o ai server di autenticazione esterni.
Il modo migliore per rilevarlo è guardando il syslog. Cercare un numero insolito di uno qualsiasi dei successivi ID syslog ASA:
%ASA-6-113015: AAA user authentication Rejected : reason = User was not found : local database : user = admin : user IP = x.x.x.x
%ASA-6-113005: AAA user authentication Rejected : reason = Unspecified : server = x.x.x.x : user = ***** : user IP = x.x.x.x
%ASA-6-716039: Group <DfltGrpPolicy> User <admin> IP <x.x.x.x> Authentication: rejected, Session Type: WebVPN.
Il nome utente è sempre nascosto finché non si configura il comando no logging hide username sull'appliance ASA.
Nota: questo fornisce informazioni dettagliate per verificare se gli utenti validi sono generati o conosciuti da IP offensivi. Tuttavia, si prega di essere cauti, in quanto i nomi utente saranno visibili nei log.
Per verificare, accedere all'interfaccia della riga di comando (CLI) ASA o FTD, eseguire il comando show aaa-server e verificare la presenza di un numero insolito di richieste di autenticazione tentate e rifiutate su uno dei server AAA configurati:
ciscoasa# show aaa-server
Server Group: LDAP-SERVER - - - - - >>>> Sprays against external server
Server Protocol: ldap
Server Hostname: ldap-server.example.com
Server Address: 10.10.10.10
Server port: 636
Server status: ACTIVE, Last transaction at unknown
Number of pending requests 0
Average round trip time 0ms
Number of authentication requests 2228536 - - - - - >>>> Unusual increments
Number of authorization requests 0
Number of accounting requests 0
Number of retransmissions 0
Number of accepts 1312
Number of rejects 2225363 - - - - - >>>> Unusual increments / Unusual rejection rate
Number of challenges 0
Number of malformed responses 0
Number of bad authenticators 0
Number of timeouts 1
Number of unrecognized responses 0
Consigli
Anche se attualmente non esiste un'unica soluzione per eliminare completamente il rischio, è possibile rivedere e applicare le procedure consigliate successive, progettate per ridurre la probabilità di insorgenza e ridurre l'impatto di questi attacchi di forza bruta sulle connessioni RAVPN.
1. Abilita registrazione
La registrazione è una parte cruciale della sicurezza informatica che comporta la registrazione degli eventi che si verificano all'interno di un sistema. L'assenza di registri dettagliati lascia delle lacune nella comprensione, ostacolando una chiara analisi del metodo di attacco. Si consiglia di abilitare la registrazione su un server syslog remoto per migliorare la correlazione e il controllo degli incidenti di rete e di sicurezza tra vari dispositivi di rete.
Per informazioni su come configurare la registrazione, vedere le seguenti guide specifiche della piattaforma:
Software Cisco ASA:
Software Cisco FTD:
Nota: gli ID dei messaggi syslog necessari per verificare i comportamenti descritti in questo documento (113015, 113005 e 716039) devono essere abilitati a livello informativo (6). Questi ID rientrano nelle classi di registrazione 'auth' e 'webvpn'.
2. Applicazione di misure di protezione avanzata per VPN ad accesso remoto
Per ridurre l'impatto di questi attacchi, implementare le seguenti misure di protezione avanzata:
- Disabilitare l'autenticazione AAA nei profili di connessione DefaultWEBVPN e DefaultRAGroup (procedura dettagliata: ASA) | FTD gestito dal CCP).
- Disabilitare la postura del firewall sicura (Hostscan) da DefaultWEBVPNGroup e DefaultRAGroup (passaggio per passaggio: ASA) | FTD gestito dal CCP).
- Disabilitare gli alias di gruppo e abilitare gli URL di gruppo negli altri profili di connessione (procedura dettagliata: ASA) | FTD gestito dal CCP).
Nota: per assistenza con FTD gestito tramite FDM (Firewall Device Management) locale, contattare il Technical Assistance Center (TAC) per ricevere assistenza tecnica.
Per ulteriori informazioni, consultare la guida all'implementazione delle misure di protezione avanzata per la VPN AnyConnect Secure Client.
3. Bloccare i tentativi di connessione da origini dannose
Per impedire tentativi di connessione da fonti non autorizzate, è possibile implementare una delle opzioni elencate di seguito:
Implementazione di ACL a livello di interfaccia
Implementare un ACL a livello di interfaccia sull'appliance ASA/FTD per filtrare gli indirizzi IP pubblici non autorizzati e impedire loro di avviare sessioni VPN remote.
Usare il comando "shun"
Questo è un approccio semplice per bloccare un IP dannoso, tuttavia, deve essere fatto manualmente. Per ulteriori informazioni, leggere la sezione Configurazione alternativa per bloccare gli attacchi per un firewall protetto utilizzando il comando 'shun'.
Configurazione dell'ACL del control plane
Implementare un ACL control-plane sull'appliance ASA/FTD per filtrare gli indirizzi IP pubblici non autorizzati e impedire loro di avviare sessioni VPN remote. Configurare i criteri di controllo dell'accesso al Control Plane per la difesa dalle minacce del firewall protetto e l'appliance ASA.
Nota: Cisco Talos ha pubblicato un elenco di indirizzi IP e credenziali associate a questi attacchi. Un collegamento al repository GitHub è disponibile nella sezione "IOC" del relativo advisory. È importante notare che gli indirizzi IP di origine per questo traffico potrebbero cambiare, quindi è necessario esaminare i log di sicurezza (syslog) per identificare gli indirizzi IP problematici. Una volta identificate, le tre opzioni possono essere utilizzate per bloccarle.
Implementazioni di protezione avanzata aggiuntive per RAVPN
Le raccomandazioni finora fornite mirano a ridurre il rischio e l'impatto degli attacchi ai servizi RAVPN. È tuttavia possibile prendere in considerazione ulteriori contromisure che richiedono ulteriori modifiche alle distribuzioni per rafforzare la sicurezza della distribuzione VPN ad accesso remoto, ad esempio l'adozione dell'autenticazione basata su certificati per RAVPN. Per ulteriori informazioni sulla configurazione, consultare il documento sull'implementazione delle misure di protezione avanzata per i client sicuri AnyConnect VPN.
Ulteriori informazioni