はじめに
このドキュメントでは、パスワードスプレー攻撃によって発生する、セキュアファイアウォールでのホストカントークン割り当て障害に対する推奨事項について説明します。
背景説明
Cisco Secure Client(AnyConnect)を使用してRAVPN接続を確立しようとすると、「Unable to complete connection.Cisco Secure Desktopがクライアントにインストールされていません。".この動作は通常、Cisco Secure Firewall適応型セキュリティアプライアンス(ASA)または脅威対策(FTD)のいずれかのVPNヘッドエンドによるホストスキャントークンの割り当てが失敗した場合に発生します。特に、この割り当ての失敗は、セキュアなファイアウォールインフラストラクチャを対象とした総当て攻撃のインスタンスと相関しており、現在はCisco Bug ID CSCwj45822で最緊急性をもって対応されています。
確認された動作
ファイアウォールポスチャ(HostScan)が有効な場合に、Cisco Secure Client(AnyConnect)とのVPN接続を確立できない
Cisco Secure Client(AnyConnect)を使用してVPN接続を確立しようとすると、「Unable to complete connection」というエラーメッセージが断続的に表示される場合があります。Cisco Secure Desktopがクライアントにインストールされていません。」 この問題が発生すると、VPN接続プロセスが正常に完了しません。
注:この特定の動作は、使用されているセキュアクライアントやAnyConnectのバージョンに関係なく、ヘッドエンドでファイアウォールポスチャ(ホストスキャン)が有効になっている場合にのみ発生します。
Hostscanトークンの枯渇
VPNヘッドエンドのCisco Secure Firewall適応型セキュリティアプライアンス(ASA)または脅威対策(FTD)で、ホストスキャントークン割り当て障害の症状が示されます。これを確認するには、debug menu webvpn 187 0コマンドを実行します。
ASA# debug menu webvpn 187 0
Allocated Hostscan token = 1000
Hostscan token allocate failure = xxx - - - - > Increments
注:この問題は、攻撃の結果として発生します。この問題は、現在、Cisco Bug ID CSCwj45822で緊急に対応されています。
異常な量の認証要求
VPNヘッドエンドのCisco Secure Firewall ASAまたはFTDに、100万または数百万の認証試行の拒否によるパスワード拡散攻撃の症状が示されます。
注:このような通常とは異なる認証の試みは、LOCALデータベースまたは外部認証サーバのいずれかに転送できます。
これを検出する最善の方法は、syslogを調べることです。次のASA syslog IDの中で異常な数を探します。
%ASA-6-113015: AAA user authentication Rejected : reason = User was not found : local database : user = admin : user IP = x.x.x.x
%ASA-6-113005: AAA user authentication Rejected : reason = Unspecified : server = x.x.x.x : user = ***** : user IP = x.x.x.x
%ASA-6-716039: Group <DfltGrpPolicy> User <admin> IP <x.x.x.x> Authentication: rejected, Session Type: WebVPN.
ユーザ名は、ASAでno logging hide usernameコマンドが設定されるまで、常に非表示になります。
注:この出力から、有効なユーザが生成されたか、または悪意のあるIPによって認識されたかを確認できます。ただし、ユーザ名はログに表示されるため、注意が必要です。
確認するには、ASAまたはFTDのコマンドラインインターフェイス(CLI)にログインしてshow aaa-serverコマンドを実行し、設定されたAAAサーバのいずれかに対して試行された認証要求と拒否された認証要求が異常な数に達していないかどうかを調べます。
ciscoasa# show aaa-server
Server Group: LDAP-SERVER - - - - - >>>> Sprays against external server
Server Protocol: ldap
Server Hostname: ldap-server.example.com
Server Address: 10.10.10.10
Server port: 636
Server status: ACTIVE, Last transaction at unknown
Number of pending requests 0
Average round trip time 0ms
Number of authentication requests 2228536 - - - - - >>>> Unusual increments
Number of authorization requests 0
Number of accounting requests 0
Number of retransmissions 0
Number of accepts 1312
Number of rejects 2225363 - - - - - >>>> Unusual increments / Unusual rejection rate
Number of challenges 0
Number of malformed responses 0
Number of bad authenticators 0
Number of timeouts 1
Number of unrecognized responses 0
推奨事項
現在、リスクを完全に排除する単一のソリューションはありませんが、発生の可能性を低減し、RAVPN接続に対するこれらの総当たり攻撃の影響を軽減するために設計された次の推奨される方法を確認して適用できます。
1. ロギングの有効化
ロギングは、システム内で発生するイベントの記録を含むサイバーセキュリティの重要な部分です。詳細なログがないため、理解にギャップがあり、攻撃方法の明確な分析を妨げます。リモートsyslogサーバへのロギングを有効にして、さまざまなネットワークデバイス間のネットワークおよびセキュリティインシデントの関連付けと監査を改善することを推奨します。
ロギングの設定方法については、次のプラットフォーム固有のガイドを参照してください。
Cisco ASAソフトウェア:
Cisco FTDソフトウェア:
注:このドキュメントで概説されている動作(113015、113005、および716039)を確認するために必要なsyslogメッセージIDは、情報レベル(6)で有効にする必要があります。これらのIDは、「auth」および「webvpn」ロギングクラスに分類されます。
2. リモートアクセスVPNの強化対策の適用
これらの攻撃の影響を緩和するには、次の強化対策を実装します。
- DefaultWEBVPNおよびDefaultRAGroup接続プロファイルでのAAA認証の無効化(手順:ASA | FTDはFMCによって管理されます)。
- DefaultWEBVPNGroupおよびDefaultRAGroupからセキュアファイアウォールポスチャ(ホストスキャン)を無効にします(手順:ASA | FTDはFMCによって管理されます)。
- 残りの接続プロファイルでグループエイリアスを無効にし、グループURLを有効にします(手順:ASA | FTDはFMCによって管理されます)。
注:ローカルのファイアウォールデバイス管理(FDM)で管理されているFTDに関するサポートが必要な場合は、Technical Assistance Center(TAC)に連絡して、専門家のガイダンスを受けてください。
詳細については、『セキュアクライアントAnyConnect VPNの強化対策の実装』ガイドを参照してください。
3. 悪意のあるソースからの接続試行をブロックする
許可されていない発信元からの接続試行を妨げるには、次に示すいずれかのオプションを実装できます。
インターフェイスレベルACLの実装
ASA/FTDにインターフェイスレベルのACLを実装して、不正なパブリックIPアドレスをフィルタリングし、不正なパブリックIPアドレスがリモートVPNセッションを開始するのを防ぎます。
shunコマンドを使用します。
これは悪意のあるIPをブロックする簡単なアプローチですが、手動で行う必要があります。詳細については、「shunコマンドを使用してセキュアファイアウォールの攻撃をブロックする代替設定」を参照してください。
コントロールプレーンACLの設定
ASA/FTDにコントロールプレーンACLを実装し、不正なパブリックIPアドレスをフィルタリングして、リモートVPNセッションの開始を防ぎます。 セキュアファイアウォール脅威対策およびASA用のコントロールプレーンアクセスコントロールポリシーを設定します。
注:Cisco Talosは、これらの攻撃に関連するIPアドレスとクレデンシャルのリストを公開しています。GitHubリポジトリへのリンクは、アドバイザリの「IOCs」セクションにあります。このトラフィックの送信元IPアドレスは変更される可能性が高いため、セキュリティログ(syslog)を確認して問題のあるIPアドレスを特定する必要があることに注意してください。識別したら、3つのオプションのいずれかを使用してそれらをブロックできます。
RAVPNのその他の強化の実装
これまでに提供された推奨事項は、RAVPNサービスに対する攻撃のリスクと影響を軽減することを目的としています。ただし、リモートアクセスVPN展開のセキュリティを強化するために、展開に追加の変更を加える必要がある追加の対応策(RAVPN用の証明書ベース認証の採用など)を検討できます。詳細な設定ガイダンスについては、『セキュアクライアントAnyConnect VPNの強化対策の実装』ドキュメントを参照してください。
追加情報