セキュアファイアウォールASAでのリモートアクセスVPNサービスの脅威検出の設定
はじめに
このドキュメントでは、Cisco Secure Firewall ASAでリモートアクセスVPNの脅威検出機能を設定するプロセスについて説明します。
前提条件
要 件
次の項目に関する知識があることを推奨しています。
- Ciscoセキュアファイアウォール適応型セキュリティアプライアンス(ASA)
- ASAでのリモートアクセスVPN(RAVPN)
これらの脅威検出機能は、次のバージョンのCisco Secure Firewall ASAでサポートされます。
- 9.16バージョン群> 9.16(4)67以降でサポートされており、この特定の群内の新しいバージョンです。
- 9.17バージョン群> 9.17(1)45以降でサポートされており、この特定の群内の新しいバージョンです。
- 9.18バージョン群> 9.18(4)40以降でサポートされており、この特定の群内の新しいバージョンです。
- 9.19バージョン群> 9.19(1).37以降でサポートされており、この特定の群内の新しいバージョンです。
- 9.20バージョン群> 9.20(3)以降でサポートされており、この特定の群内の新しいバージョンです。
- 9.22バージョン群> 9.22(1.1)以降でサポートされています。
使用するコンポーネント
このドキュメントで説明する情報は、次のハードウェアとソフトウェアのバージョンに基づいています。
- Cisco Secure Firewall ASAバージョン9.20(3)
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
バックグラウンド情報
リモートアクセスVPNサービスの脅威検出機能は、設定されたしきい値を超えるホスト(IPアドレス)を自動的にブロックして、IPアドレスの回避を手動で解除するまで攻撃を続けないようにすることで、IPv4アドレスからのサービス拒否(DoS)攻撃を防止します。次のタイプの攻撃に使用できる個別のサービスがあります。
- VPNサービスへのリモートアクセスに対する認証の試みが繰り返し失敗する(ユーザ名/パスワードのブルートフォーススキャン攻撃)。
- Client initiation attacks:攻撃者が開始するが、リモートアクセスVPNヘッドエンドへの接続試行を1台のホストから繰り返し完了しない。
- リモートアクセスVPNサービスの接続が無効です。つまり、攻撃者がデバイスの内部機能のみを目的とした特定の組み込みトンネルグループに接続しようとした場合です。正規のエンドポイントは、これらのトンネルグループに接続できません。
これらの攻撃は、アクセスの試行が失敗した場合でも、計算リソースを消費し、有効なユーザがリモートアクセスVPNサービスに接続できないことがあります。
これらのサービスを有効にすると、設定されたしきい値を超えたホスト(IPアドレス)はセキュアファイアウォールによって自動的に排除され、IPアドレスの排除を手動で削除するまで、それ以上の試行は行われません。
設定
グローバルコンフィギュレーションモードでSecure Firewallコマンドラインインターフェイス(CLI)にログインし、リモートアクセスVPNで使用可能な1つ以上の脅威検出サービスを有効にします。
内部のみの(無効な)VPNサービスへの接続試行の脅威の検出
このサービスをイネーブルにするには、threat-detection service invalid-vpn-accessコマンドを実行します。
リモートアクセスVPNクライアント開始攻撃の脅威検出
このサービスを有効にするには、threat-detection service remote-access-client-initiations hold-down <minutes> threshold <count>コマンドを実行します。値は次のとおりです。
- hold-down <minutes>は、最後の開始試行の後、連続する接続試行がカウントされる期間を定義します。この期間内に連続した接続試行回数が設定されたしきい値を満たすと、攻撃者のIPv4アドレスは回避されます。この期間は1 ~ 1440 分の間で設定できます。
- threshold <count>は、ホールドダウン期間中に回避をトリガーするために必要な接続試行数です。しきい値は5 ~ 100の間で設定できます。
たとえば、ホールドダウン期間が10分で、しきい値が20の場合、いずれかの10分スパン内で20回連続して接続試行があると、IPv4アドレスは自動的に排除されます。
リモートアクセスVPN認証の失敗に対する脅威検出
このサービスを有効にするには、threat-detection service remote-access-authentication hold-down<minutes> threshold <count>コマンドを実行します。値は次のとおりです。
- hold-down <minutes>は、最後に失敗した試行の後、連続する失敗がカウントされる期間を定義します。この期間内に連続した認証の失敗回数が、設定されたしきい値を満たした場合、攻撃者のIPv4アドレスは排除されます。この期間は1 ~ 1440 分の間で設定できます。
- threshold <count>は、ホールドダウン期間中に回避をトリガーするために必要な認証試行の失敗回数です。しきい値は1 ~ 100の間で設定できます。
たとえば、ホールドダウン期間が10分で、しきい値が20の場合、いずれかの10分スパンで20回連続して認証が失敗すると、IPv4アドレスは自動的に排除されます。
次の設定例では、10分のホールドダウン期間と、クライアントの開始および失敗した認証の試行に対する20のしきい値を使用して、リモートアクセスVPNに使用できる3つの脅威検出サービスを有効にします。
threat-detection service invalid-vpn-access
threat-detection service remote-access-client-initiations hold-down 10 threshold 20
threat-detection service remote-access-authentication hold-down 10 threshold 20
確認
脅威検出RAVPNサービスの統計情報を表示するには、show threat-detection service [service] [entries|details]コマンドを実行します。このサービスがremote-access-authentication、remote-access-client-initiations、またはinvalid-vpn-accessのいずれかである場合。
次のパラメータを追加して、さらにビューを制限できます。
- entries:脅威検出サービスによって追跡されているエントリのみを表示します。たとえば、認証試行に失敗したIPアドレスなどです。
- details:サービスの詳細とサービスエントリの両方を表示します。
有効になっているすべての脅威検出サービスの統計情報を表示するには、show threat-detection serviceコマンドを実行します。
ciscoasa# show threat-detection service
Service: invalid-vpn-access
State : Enabled
Hold-down : 1 minutes
Threshold : 1
Stats:
failed : 0
blocking : 0
recording : 0
unsupported : 0
disabled : 0
Total entries: 0
Service: remote-access-authentication
State : Enabled
Hold-down : 10 minutes
Threshold : 20
Stats:
failed : 0
blocking : 1
recording : 4
unsupported : 0
disabled : 0
Total entries: 2
Name: remote-access-client-initiations
State : Enabled
Hold-down : 10 minutes
Threshold : 20
Stats:
failed : 0
blocking : 0
recording : 0
unsupported : 0
disabled : 0
Total entries: 0
リモートアクセス認証サービスで追跡される潜在的な攻撃者の詳細を表示するには、show threat-detection service <service> entriesコマンドを実行します。
ciscoasa# show threat-detection service remote-access-authentication entries
Service: remote-access-authentication
Total entries: 2
Idx Source Interface Count Age Hold-down
--- ------------------- -------------------- -------------- ---------- ---------
1 192.168.100.101/ 32 outside 1 721 0
2 192.168.100.102/ 32 outside 2 486 114
Total number of IPv4 entries: 2
NOTE: Age is in seconds since last reported. Hold-down is in seconds remaining.
特定の脅威検出リモートアクセスVPNサービスの一般的な統計情報と詳細を表示するには、show threat-detection service <service> detailsコマンドを実行します。
ciscoasa# show threat-detection service remote-access-authentication details
Service: remote-access-authentication
State : Enabled
Hold-down : 10 minutes
Threshold : 20
Stats:
failed : 0
blocking : 1
recording : 4
unsupported : 0
disabled : 0
Total entries: 2
Idx Source Interface Count Age Hold-down
--- ------------------- -------------------- -------------- ---------- ---------
1 192.168.100.101/ 32 outside 1 721 0
2 192.168.100.102/ 32 outside 2 486 114
Total number of IPv4 entries: 2
NOTE: Age is in seconds since last reported. Hold-down is in seconds remaining.
さらに、次のコマンドを使用して、VPNサービスによって適用される排除をモニタし、1つのIPアドレスまたはすべてのIPアドレスの排除を削除できます。
- show shun [ip_address]
排除されたホストを表示します。これには、VPNサービスの脅威検出によって自動的に排除されたホストや、shunコマンドを使用して手動で排除されたホストが含まれます。オプションで、指定したIPアドレスにビューを制限できます。
- no shun ip_address [インターフェイスif_name]
指定されたIPアドレスに適用された回避を削除します。
IPアドレスが複数のインターフェイスで排除され、特定のインターフェイスが指定されていない場合、コマンドは1つのインターフェイスからのみ排除を削除します。このインターフェイスの選択は、回避IPアドレスのルートルックアップに基づきます。追加のインターフェイスからshunを削除するには、インターフェイスを明示的に指定する必要があります。
- clear shun
すべてのIPアドレスおよびすべてのインターフェイスから回避を削除します。
リモートアクセスVPNの脅威検出サービスに関連する各コマンド出力と利用可能なsyslogメッセージの詳細については、『Cisco Secure Firewall ASA Firewall CLIコンフィギュレーションガイド、9.20』を参照してください。 第1章:脅威の検出に関する文書。
関連情報
- 詳細については、Technical Assistance Center(TAC)にお問い合わせください。 有効なサポート契約(シスコワールドワイドサポートの連絡先)が必要です。
- また、Cisco VPN コミュニティにもアクセスできます。
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
3.0 |
22-Apr-2026
|
機械翻訳とフォーマットを更新。 |
2.0 |
25-Oct-2024
|
より明確にするために背景説明を更新。 |
1.0 |
27-Aug-2024
|
初版 |
フィードバック