ASA/PIX 7.x en hoger: het beperken van netwerkaanvallen

Inleiding

In dit document wordt beschreven hoe u de verschillende netwerkaanvallen kunt beperken, zoals Denial-of-Services (DoS) met Cisco Security Appliance (ASA/PIX).

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

De informatie in dit document is gebaseerd op de Cisco 5500 Series Adaptive Security Appliance (ASA) waarop softwareversie 7.0 en hoger wordt uitgevoerd.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Verwante producten

Dit document kan ook worden gebruikt met Cisco 500 Series PIX waarop softwareversie 7.0 en hoger wordt uitgevoerd.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Bescherming tegen SYN-aanvallen

Hoe beperk je de Transmission Control Protocol (TCP) synchroniseren / starten (SYN) aanvallen op de ASA / PIX?

TCP SYN-aanval

TCP SYN-aanval is een DoS-aanval waarbij een afzender een volume verbindingen verzendt dat niet kan worden voltooid. Dit zorgt ervoor dat de verbindingswachtrijen vol raken, waardoor de service aan legitieme TCP-gebruikers wordt geweigerd.

Wanneer een normale TCP-verbinding wordt gestart, ontvangt een bestemmingshost een SYN-pakket van een bronhost en verzendt deze een synchronisatie-bevestiging (SYN ACK). De bestemmingshost moet dan een ACK van de SYN ACK horen voordat de verbinding tot stand wordt gebracht. Dit wordt de TCP drieweg handshake genoemd.

Tijdens het wachten op de ACK naar de SYN ACK, houdt een verbindingswachtrij van eindige grootte op de bestemmingshost bij welke verbindingen moeten worden voltooid. Deze wachtrij wordt meestal snel leeg omdat de ACK naar verwachting een paar milliseconden na de SYN ACK aankomt.

De TCP SYN-aanval maakt gebruik van dit ontwerp door een aanvallende bronhost TCP SYN-pakketten te laten genereren met willekeurige bronadressen naar een slachtofferhost. De host van de slachtofferbestemming stuurt een SYN ACK terug naar het willekeurige bronadres en voegt een item toe aan de verbindingswachtrij. Omdat de SYN ACK is bestemd voor een onjuiste of niet-bestaande host, wordt het laatste deel van de "driewegshandshake" nooit voltooid en blijft de invoer in de verbindingswachtrij totdat een timer verloopt, meestal gedurende ongeveer één minuut. Door het genereren van valse TCP SYN-pakketten van willekeurige IP-adressen in een snel tempo, is het mogelijk om de verbinding wachtrij te vullen en te weigeren TCP-diensten (zoals e-mail, bestandsoverdracht, of WWW) aan legitieme gebruikers.

Er is geen eenvoudige manier om de oorsprong van de aanval te traceren, omdat het IP-adres van de bron is vervalst.

De externe manifestaties van het probleem zijn onder meer het onvermogen om e-mail te krijgen, het onvermogen om verbindingen met WWW- of FTP-services te accepteren of een groot aantal TCP-verbindingen op uw host in de staat SYN_RCVD.

Raadpleeg Strategieën definiëren om te beschermen tegen TCP SYN Denial of Service-aanvallen voor meer informatie over TCP SYN-aanvallen.

verzachting

In deze sectie wordt beschreven hoe u de SYN-aanvallen kunt beperken door de maximale TCP- en User Datagram Protocol (UDP)-verbindingen, maximale embryonale verbindingen, verbindingstime-outs en hoe u de TCP-sequentierandomisatie kunt uitschakelen.

Als de embryonale verbindingslimiet is bereikt, reageert het beveiligingstoestel op elk SYN-pakket dat naar de server wordt verzonden met een SYN+ACK en geeft het SYN-pakket niet door aan de interne server. Als het externe apparaat reageert met een ACK-pakket, weet het beveiligingsapparaat dat het een geldig verzoek is (en geen deel uitmaakt van een mogelijke SYN-aanval). Het beveiligingstoestel maakt vervolgens een verbinding met de server en voegt de verbindingen samen. Als het beveiligingstoestel geen ACK terugkrijgt van de server, schakelt het die embryonale verbinding agressief uit.

Elke TCP-verbinding heeft twee Initial Sequence Number (ISN's): een gegenereerd door de client en een gegenereerd door de server. Het beveiligingstoestel randomiseert het ISN van de TCP SYN die zowel in de inkomende als uitgaande richting passeert.

Door het ISN van de beveiligde host te randomiseren, voorkomt u dat een aanvaller de volgende ISN voor een nieuwe verbinding voorspelt en mogelijk de nieuwe sessie kapt.

De randomisatie van het initiële TCP-volgnummer kan indien nodig worden uitgeschakeld. Voorbeeld:

• Als een andere in-line firewall ook de eerste reeksnummers willekeurig maakt, hoeven beide firewalls deze actie niet uit te voeren, ook al heeft deze actie geen invloed op het verkeer.

• Als u externe BGP (eBGP) multi-hop gebruikt via het beveiligingsapparaat en de eBGP-peers MD5 gebruiken, verbreekt randomisatie de MD5-controlesom.

• U gebruikt een Wide Area Application Services (WAAS)-apparaat dat vereist dat het beveiligingstoestel de volgnummers van verbindingen niet willekeurig maakt.

Opmerking: U kunt ook maximale verbindingen, maximale embryonale verbindingen en TCP-sequentierandomisatie configureren in de NAT-configuratie. Als u deze instellingen voor hetzelfde verkeer configureert met beide methoden, gebruikt het beveiligingstoestel de ondergrens. Als TCP-sequentierandomisatie is uitgeschakeld met een van beide methoden, wordt de TCP-sequentierandomisatie uitgeschakeld.

Voer de volgende stappen uit om verbindingslimieten in te stellen:

1. Om het verkeer te identificeren, voegt u een klassenkaart toe met de opdracht klassenkaart volgens Modular Policy Framework gebruiken.

2. Als u een beleidskaart wilt toevoegen of bewerken waarin de acties worden ingesteld die met het klassenkaartverkeer moeten worden uitgevoerd, voert u deze opdracht in:

   hostname(config)#policy-map name
   

3. Voer deze opdracht in om de klassenkaart te identificeren (vanaf stap 1) waaraan u een actie wilt toewijzen:

   hostname(config-pmap)#class class_map_name
   

4. Om de maximale verbindingen (zowel TCP als UDP), maximale embryonale verbindingen, per-client-embryonic-max, per-client-max of het uitschakelen van TCP-sequentierandomisatie in te stellen, voert u deze opdracht in:

   hostname(config-pmap-c)#set connection {[conn-max number] 
   [embryonic-conn-max number] [per-client-embryonic-max number] 
   [per-client-max number][random-sequence-number {enable | 
   disable}}

   Waarbij getal een geheel getal is tussen 0 en 65535. De standaardwaarde is 0, wat betekent dat er geen limiet is voor verbindingen.

   U kunt deze opdracht allemaal op één regel invoeren (in elke volgorde), of u kunt elk kenmerk als een afzonderlijke opdracht invoeren. De opdracht wordt op één regel gecombineerd in de actieve configuratie.

5. Voer deze opdracht in om de time-out voor verbindingen, embryonale verbindingen (half-geopend) en half-gesloten verbindingen in te stellen:

   hostname(config-pmap-c)#set connection {[embryonic hh[:mm[:ss]]] 
   [half-closed hh[:mm[:ss]]] [tcp hh[:mm[:ss]]]}

   Waar embryonale hh [:mm[:ss] is een tijd tussen 0:0:5 en 1192:59:59. De standaardwaarde is 0:0:30. U kunt deze waarde ook instellen op 0, wat betekent dat de verbinding nooit vervalt.

   De halfgesloten waarden hh[:mm[:ss] en tcp hh[:mm[:ss] zijn een tijd tussen 0:5:0 en 1192:59:59. De standaard voor half gesloten is 0:10:0 en de standaard voor tcp is 1:0:0. U kunt deze waarden ook instellen op 0, wat betekent dat de verbinding nooit vervalt.

   U kunt deze opdracht allemaal op één regel invoeren (in elke volgorde), of u kunt elk kenmerk als een afzonderlijke opdracht invoeren. De opdracht wordt op één regel gecombineerd in de actieve configuratie.

   • Embryonale (half geopende) verbinding: een embryonale verbinding is een TCP-verbindingsverzoek dat de noodzakelijke handdruk tussen bron en bestemming niet heeft voltooid.

   • Half-gesloten verbinding—Half-gesloten verbinding is wanneer de verbinding slechts in één richting wordt gesloten door FIN te verzenden. De TCP-sessie wordt echter nog steeds onderhouden door peer.

   • Per-client-embryonale-max—Het maximum aantal gelijktijdige embryonale verbindingen toegestaan per client, tussen 0 en 65535. De standaardwaarde is 0, waardoor onbeperkte verbindingen mogelijk zijn.

   • Per-client-max: het maximum aantal gelijktijdige verbindingen dat per client is toegestaan, tussen 0 en 65535. De standaardwaarde is 0, waardoor onbeperkte verbindingen mogelijk zijn.

6. Voer deze opdracht in om de beleidskaart op een of meer interfaces te activeren:

   hostname(config)#service-policy policymap_name {global | interface interface_name}
   
   

   Waar globaal de beleidskaart op alle interfaces toepast, en interface het beleid op één interface toepast. Er is slechts één algemeen beleid toegestaan. U kunt het algemene beleid op een interface overschrijven door een servicebeleid op die interface toe te passen. U kunt slechts één beleidskaart toepassen op elke interface.

Voorbeeld:

ciscoasa(config)#class-map tcp_syn
ciscoasa(config-cmap)#match port tcp eq 80
ciscoasa(config-cmap)#exit
ciscoasa(config)#policy-map tcpmap
ciscoasa(config-pmap)#class tcp_syn
ciscoasa(config-pmap-c)#set connection conn-max 100
ciscoasa(config-pmap-c)#set connection embryonic-conn-max 200
ciscoasa(config-pmap-c)#set connection per-client-embryonic-max 10
ciscoasa(config-pmap-c)#set connection per-client-max 5
ciscoasa(config-pmap-c)#set connection random-sequence-number enable
ciscoasa(config-pmap-c)#set connection timeout embryonic 0:0:45
ciscoasa(config-pmap-c)#set connection timeout half-closed 0:25:0
ciscoasa(config-pmap-c)#set connection timeout tcp 2:0:0
ciscoasa(config-pmap-c)#exit
ciscoasa(config-pmap)#exit
ciscoasa(config)#service-policy tcpmap global

Opmerking: Gebruik deze opdracht om het totale aantal half-open sessies voor een bepaalde host te controleren:

ASA-5510-8x# show local-host all

Interface dmz: 0 active, 0 maximum active, 0 denied
Interface management: 0 active, 0 maximum active, 0 denied
Interface xx: 0 active, 0 maximum active, 0 denied
Interface inside: 7 active, 18 maximum active, 0 denied

local host: <10.78.167.69>,

    TCP flow count/limit = 2/unlimited

    TCP embryonic count to host = 0

    TCP intercept watermark = unlimited

    UDP flow count/limit = 0/unlimited

Opmerking: De regel, TCP embryonaal aantal te hosten, geeft het aantal half-open sessies.

Bescherming tegen aanvallen van IP-spoofing

Kan de PIX/ASA IP-spoofaanvallen blokkeren?

IP-spoofing

Om toegang te krijgen, maken indringers pakketten met vervalste bron-IP-adressen. Dit maakt gebruik van toepassingen die gebruikmaken van verificatie op basis van IP-adressen en leidt tot ongeoorloofde gebruiker en mogelijk root-toegang op het beoogde systeem. Voorbeelden hiervan zijn de rsh- en rlogin-services.

Het is mogelijk om pakketten te routeren door firewalls van filterrouters als ze niet zijn geconfigureerd om inkomende pakketten te filteren waarvan het bronadres zich in het lokale domein bevindt. Het is belangrijk op te merken dat de beschreven aanval mogelijk is, zelfs als er geen antwoordpakketten de aanvaller kunnen bereiken.

Voorbeelden van configuraties die mogelijk kwetsbaar zijn, zijn:

• Proxyfirewalls waarbij de proxytoepassingen het IP-adres van de bron gebruiken voor verificatie

• Routers naar externe netwerken die meerdere interne interfaces ondersteunen

• Routers met twee interfaces die subnetting op het interne netwerk ondersteunen

verzachting

Unicast Reverse Path Forwarding (uRPF) beschermt tegen IP-spoofing (een pakket gebruikt een onjuist bron-IP-adres om de ware bron te verbergen) door ervoor te zorgen dat alle pakketten een bron-IP-adres hebben dat overeenkomt met de juiste bron-interface volgens de routeringstabel.

Normaal gesproken kijkt het beveiligingsapparaat alleen naar het bestemmingsadres bij het bepalen waar het pakket moet worden doorgestuurd. Unicast RPF instrueert het beveiligingsapparaat om ook naar het bronadres te kijken. Dit wordt ook wel reverse path forwarding genoemd. Voor elk verkeer dat u via het beveiligingsapparaat wilt toestaan, moet de routeringstabel van het beveiligingsapparaat een route terug naar het bronadres bevatten. Zie RFC 2267 voor meer informatie.

Opmerking: Het bericht: %PIX-1-106021: Het omgekeerde pad van het protocol weigeren van src_addr naar dest_addr op interface int_name log kan worden gezien wanneer de omgekeerde pad controle is ingeschakeld. Schakel de controle van het omgekeerde pad uit met de opdracht geen IP-verificatie omgekeerde pad-interface (interfacenaam) om dit probleem op te lossen:

no ip verify reverse-path interface (interface name)

Voor extern verkeer kan het beveiligingsapparaat bijvoorbeeld de standaardroute gebruiken om te voldoen aan de RPF-bescherming van Unicast. Als verkeer binnenkomt via een externe interface en het bronadres niet bekend is bij de routeringstabel, gebruikt het beveiligingstoestel de standaardroute om de externe interface correct te identificeren als de broninterface.

Als verkeer de externe interface binnenkomt vanaf een adres dat bekend is bij de routeringstabel, maar is gekoppeld aan de interne interface, laat het beveiligingsapparaat het pakket vallen. Evenzo, als verkeer de interne interface binnenkomt vanaf een onbekend bronadres, laat het beveiligingstoestel het pakket vallen omdat de overeenkomende route (de standaardroute) de externe interface aangeeft.

Unicast RPF wordt geïmplementeerd zoals weergegeven:

• ICMP-pakketten hebben geen sessie, dus elk pakket wordt gecontroleerd.

• UDP en TCP hebben sessies, dus het eerste pakket vereist een omgekeerde route opzoeken. Latere pakketten die tijdens de sessie aankomen, worden gecontroleerd met behulp van een bestaande status die als onderdeel van de sessie wordt onderhouden. Niet-initiële pakketten worden gecontroleerd om ervoor te zorgen dat ze op dezelfde interface aankomen die door het initiële pakket wordt gebruikt.

Voer deze opdracht in om Unicast RPF in te schakelen:

hostname(config)#ip verify reverse-path interface interface_name

Voorbeeld:

Zoals uit dit cijfer blijkt, verzendt de aanvaller-pc een verzoek naar de toepassingsserver 10.1.1.10 door een pakket met een vervalst bron-IP-adres 10.1.1.5/24 te verzenden en de server verzendt een pakket naar het echte IP-adres 10.1.1.5/24 in reactie op het verzoek. Dit type illegaal pakket zal zowel de toepassingsserver als de legitieme gebruiker in het interne netwerk aanvallen.

Unicast RPF kan aanvallen op basis van bronadresvervalsing voorkomen. U moet de uRPF configureren in de buiteninterface van de ASA zoals hier wordt weergegeven:

ciscoasa(config)#ip verify reverse-path interface outside

Identificatie vervalsen met SYSLOG-berichten

Het beveiligingstoestel blijft syslog-foutberichten ontvangen zoals wordt weergegeven. Dit duidt op potentiële aanvallen met behulp van vervalste pakketten of die kunnen worden geactiveerd als gevolg van asymmetrische routering.

1. %PIX|ASA-2-106001: Inbound TCP connection denied from IP_address/port 
   to IP_address/port flags tcp_flags on interface interface_name
   

   verklaring

   Dit is een verbindingsgerelateerde boodschap. Dit bericht wordt weergegeven wanneer een poging om verbinding te maken met een inside-adres wordt geweigerd door het beveiligingsbeleid dat is gedefinieerd voor het opgegeven verkeerstype. Mogelijke waarden voor tcp_flags komen overeen met de vlaggen in de TCP-header die aanwezig waren toen de verbinding werd geweigerd. Er is bijvoorbeeld een TCP-pakket aangekomen waarvoor geen verbindingsstatus bestaat in het beveiligingstoestel en het is verwijderd. De tcp_flags in dit pakket zijn FIN en ACK.

   De tcp_flags zijn als volgt:

   • ACK — Het bevestigingsnummer is ontvangen.

   • FIN—Er zijn gegevens verzonden.

   • PSH—De ontvanger heeft de gegevens doorgegeven aan de toepassing.

   • RST—De verbinding is hersteld.

   • SYN—Volgnummers werden gesynchroniseerd om een verbinding te starten.

   • URG—De urgente pointer is geldig verklaard.

   Er zijn veel redenen waarom statische vertaling op de PIX / ASA mislukt. Maar een veel voorkomende reden is als de gedemilitariseerde zone (DMZ) interface is geconfigureerd met hetzelfde beveiligingsniveau (0) als de buiteninterface.

   Wijs een ander beveiligingsniveau toe aan alle interfaces om dit probleem op te lossen

   Raadpleeg Interfaceparameters configureren voor meer informatie.

   Deze foutmelding wordt ook weergegeven als een extern apparaat een IDENT-pakket naar de interne client verzendt, dat door de PIX Firewall wordt verwijderd. Zie PIX-prestatieproblemen veroorzaakt door IDENT-protocol voor meer informatie

2. %PIX|ASA-2-106007: Deny inbound UDP from outside_address/outside_port 
   to inside_address/inside_port due to DNS {Response|Query}
   

   verklaring

   Dit is een verbindingsgerelateerde boodschap. Dit bericht wordt weergegeven als de opgegeven verbinding mislukt vanwege een opdracht voor uitgaande weigering. De protocolvariabele kan ICMP, TCP of UDP zijn.

   Aanbevolen actie: gebruik de opdracht uitgaand tonen om uitgaande lijsten te controleren.

3. %PIX|ASA-3-106014: Deny inbound icmp src interface_name: IP_address dst 
   interface_name: IP_address (type dec, code dec)

   verklaring

   Het beveiligingstoestel heeft inkomende ICMP-pakkettoegang geweigerd. Standaard wordt alle ICMP-pakketten de toegang ontzegd, tenzij dit specifiek is toegestaan.

4. %PIX|ASA-2-106016: Deny IP spoof from (IP_address) to IP_address on 
   interface interface_name.

   verklaring

   Dit bericht wordt gegenereerd wanneer een pakket aankomt op de interface van het beveiligingstoestel met een IP-adres van de bestemming 0.0.0.0 en een MAC-adres van de MAC-bestemming van de interface van het beveiligingstoestel. Bovendien wordt dit bericht gegenereerd wanneer het beveiligingstoestel een pakket met een ongeldig bronadres heeft weggegooid, dat een van de volgende of een ander ongeldig adres kan bevatten:

   • Loopback-netwerk (127.0.0.0)

   • Uitzending (beperkt, net-gericht, subnet-gericht en alle subnetten gericht)

   • De bestemmingshost (land.c)

   Om de detectie van spoofpakketten verder te verbeteren, gebruikt u de opdracht icmp om het beveiligingstoestel te configureren om pakketten met bronadressen die behoren tot het interne netwerk te verwijderen. Dit komt omdat de opdracht toegangslijst is afgekeurd en niet langer gegarandeerd correct werkt.

   Aanbevolen actie: bepalen of een externe gebruiker probeert het beveiligde netwerk in gevaar te brengen. Controleer op verkeerd geconfigureerde clients.

5. %PIX|ASA-2-106017: Deny IP due to Land Attack from IP_address to 
   IP_address

   verklaring

   Het beveiligingstoestel heeft een pakket ontvangen met het IP-bronadres dat gelijk is aan de IP-bestemming en de bestemmingspoort die gelijk is aan de bronpoort. Dit bericht geeft een vervalst pakket aan dat is ontworpen om systemen aan te vallen. Deze aanval wordt een landaanval genoemd.

   Aanbevolen actie: als dit bericht blijft verschijnen, wordt mogelijk een aanval uitgevoerd. Het pakket bevat niet genoeg informatie om te bepalen waar de aanval vandaan komt.

6. %PIX|ASA-1-106021: Deny protocol reverse path check from 
   source_address to dest_address on interface interface_name

   verklaring

   Er is een aanval gaande. Iemand probeert een IP-adres te vervalsen op een inkomende verbinding. Unicast RPF, ook bekend als reverse route lookup, detecteerde een pakket dat geen bronadres heeft dat wordt weergegeven door een route en gaat ervan uit dat het deel uitmaakt van een aanval op uw beveiligingsapparaat.

   Dit bericht wordt weergegeven wanneer u Unicast RPF hebt ingeschakeld met de opdracht ip-verify reverse-path. Deze functie werkt op pakketten die worden ingevoerd in een interface. Als het aan de buitenkant is geconfigureerd, controleert het beveiligingsapparaat pakketten die van buitenaf aankomen.

   Het beveiligingstoestel zoekt een route op op basis van het bronadres. Als een item niet wordt gevonden en een route niet is gedefinieerd, wordt dit systeemlogboekbericht weergegeven en wordt de verbinding verbroken.

   Als er een route is, controleert het beveiligingstoestel welke interface ermee overeenkomt. Als het pakket op een andere interface is aangekomen, is het ofwel een parodie of is er een asymmetrische routeringsomgeving die meer dan één pad naar een bestemming heeft. Het beveiligingsapparaat ondersteunt geen asymmetrische routering.

   Als het beveiligingstoestel is geconfigureerd op een interne interface, controleert het statische route-opdrachtinstructies of RIP. Als het bronadres niet wordt gevonden, is een interne gebruiker bezig met het vervalsen van hun adres.

   Aanbevolen actie: hoewel er een aanval wordt uitgevoerd, is er geen actie van de gebruiker vereist als deze functie is ingeschakeld. Het beveiligingstoestel slaat de aanval af.

   Opmerking: De opdracht asp tonen toont de pakketten of verbindingen die door het versnelde beveiligingspad (asp) zijn gevallen, wat u kan helpen bij het oplossen van een probleem. Het geeft ook aan wanneer de laatste keer dat de asp drop tellers werden gewist. Gebruik de opdracht show asp drop rpf-violated waarin de teller wordt verhoogd wanneer ip verify reverse-path wordt geconfigureerd op een interface en het beveiligingstoestel een pakket ontvangt waarvoor het opzoeken van de route van het bron-IP niet dezelfde interface heeft opgeleverd als die waarop het pakket is ontvangen.

   ciscoasa#show asp drop frame rpf-violated
     Reverse-path verify failed                                  2

   Opmerking: Aanbeveling: traceer de bron van het verkeer op basis van de bron-IP die in dit volgende systeembericht is afgedrukt en onderzoek waarom het vervalst verkeer verzendt.

   Opmerking: systeemlogboekberichten: 106021

7. %PIX|ASA-1-106022: Deny protocol connection spoof from source_address 
   to dest_address on interface interface_name

   verklaring

   Een pakket dat overeenkomt met een verbinding komt op een andere interface dan de interface waar de verbinding begon.

   Als een gebruiker bijvoorbeeld een verbinding start op de interne interface, maar het beveiligingstoestel detecteert dat dezelfde verbinding aankomt op een perimeterinterface, heeft het beveiligingstoestel meer dan één pad naar een bestemming. Dit staat bekend als asymmetrische routering en wordt niet ondersteund op het beveiligingstoestel.

   Een aanvaller kan ook proberen pakketten van de ene verbinding aan de andere toe te voegen als een manier om in te breken in het beveiligingstoestel. In beide gevallen geeft het beveiligingsapparaat dit bericht weer en wordt de verbinding verbroken.

   Aanbevelingsactie: Dit bericht wordt weergegeven wanneer de opdracht ip-verify reverse-path niet is geconfigureerd. Controleer of de routering niet asymmetrisch is.

8. %PIX|ASA-4-106023: Deny protocol src 
   [interface_name:source_address/source_port] dst 
   interface_name:dest_address/dest_port [type {string}, code {code}] by 
   access_group acl_ID

   verklaring

   Een IP-pakket werd geweigerd door de ACL. Dit bericht wordt weergegeven, zelfs als de optie Logboek voor een ACL niet is ingeschakeld.

   Aanbevelingsactie: Als berichten van hetzelfde bronadres blijven bestaan, kunnen berichten een poging tot voetafdrukken of poortscannen aangeven. Neem contact op met de externe hostbeheerders.

9. %PIX|ASA-3-210011: Connection limit exceeded cnt/limit for dir packet 
   from sip/sport to dip/dport on interface if_name.

10. %ASA-4-419002: Received duplicate TCP SYN from 
    in_interface:src_address/src_port to out_interface:dest_address/dest_port with 
    different initial sequence number.

    verklaring

    Dit systeemlogboekbericht geeft aan dat het tot stand brengen van een nieuwe verbinding via het firewallapparaat zal resulteren in het overschrijden van ten minste één van de geconfigureerde maximale verbindingslimieten. Het systeemlogboekbericht is van toepassing op verbindingslimieten die zijn geconfigureerd met een statische opdracht of op limieten die zijn geconfigureerd met Cisco Modular Policy Framework. De nieuwe verbinding wordt niet toegestaan via het firewallapparaat totdat een van de bestaande verbindingen is afgebroken, waardoor het huidige aantal verbindingen onder het geconfigureerde maximum komt.

    • cnt—Huidig aantal verbindingen

    • limiet—Verbindingslimiet ingesteld

    • dir—Verkeersrichting, inkomende of uitgaande

    • sip—IP-adres bron

    • sport—Bronpoort

    • dip—IP-adres van bestemming

    • exporteren—bestemmingspoort

    • if_name—Naam van de interface waarop de verkeerseenheid is ontvangen, primair of secundair.

    Aanbevelingsactie: omdat verbindingslimieten om een goede reden zijn geconfigureerd, kan dit systeemlogboekbericht een mogelijke DoS-aanval aangeven, in welk geval de bron van het verkeer waarschijnlijk een vervalst IP-adres is. Als het IP-adres van de bron niet volledig willekeurig is, kan het helpen om de bron te identificeren en deze te blokkeren met behulp van een toegangslijst. In andere gevallen zou het krijgen van snuffelsporen en het analyseren van de bron van het verkeer helpen bij het isoleren van ongewenst verkeer van legitiem verkeer.

Basisfunctie voor het detecteren van bedreigingen in ASA 8.x

Cisco Security Appliance ASA/PIX ondersteunt de functie genaamd bedreigingsdetectie van softwareversie 8.0 en hoger. Met behulp van elementaire bedreigingsdetectie bewaakt het beveiligingstoestel de snelheid van gedropte pakketten en beveiligingsgebeurtenissen om deze redenen:

• Weigering door toegangslijsten

• Ongeldige pakketindeling (zoals ongeldige ip-header of ongeldige tcp-hdr-lengte)

• Verbindingslimieten overschreden (zowel systeembrede resourcegrenzen als limieten ingesteld in de configuratie)

• DoS-aanval gedetecteerd (zoals een ongeldige SPI, fout bij stateful firewall-controle)

• Basisfirewallcontroles zijn mislukt (Deze optie is een gecombineerd tarief dat alle firewallgerelateerde pakketdroppings in deze lijst met opsommingstekens bevat. Het bevat geen niet-firewallgerelateerde druppels zoals interface-overbelasting, pakketten die zijn mislukt bij de inspectie van de toepassing en gedetecteerde scanaanval.)

• Verdachte ICMP-pakketten gedetecteerd

• Toepassingsinspectie pakketten mislukt

• Interface-overload

• Aanval scannen gedetecteerd (deze optie bewaakt scanaanvallen; het eerste TCP-pakket is bijvoorbeeld geen SYN-pakket of de TCP-verbinding is mislukt tijdens de 3-weg handshake. Volledige detectie van scanbedreigingen (raadpleeg Configuring Scanning Threat Detection voor meer informatie) neemt deze informatie over de snelheid van de scanaanval en handelt ernaar door hosts als aanvallers te classificeren en ze bijvoorbeeld automatisch te mijden.)

• Onvolledige sessiedetectie zoals TCP SYN-aanval gedetecteerd of geen UDP-sessieaanval met gegevens gedetecteerd.

Wanneer het beveiligingstoestel een bedreiging detecteert, verzendt het onmiddellijk een systeemlogboekbericht (730100).

Basisdetectie van bedreigingen heeft alleen invloed op de prestaties wanneer er sprake is van een daling of potentiële bedreiging. Zelfs in dit scenario is de impact op de prestaties onbeduidend.

De opdracht detectiesnelheid weergeven wordt gebruikt om potentiële aanvallen te identificeren wanneer u bent aangemeld bij het beveiligingstoestel.

ciscoasa#show threat-detection rate
                          Average(eps)    Current(eps) Trigger      Total events
  10-min ACL  drop:                  0               0       0                16
  1-hour ACL  drop:                  0               0       0               112
  1-hour SYN attck:                  5               0       2             21438
  10-min  Scanning:                  0               0      29               193
  1-hour  Scanning:                106               0      10            384776
  1-hour Bad  pkts:                 76               0       2            274690
  10-min  Firewall:                  0               0       3                22
  1-hour  Firewall:                 76               0       2            274844
  10-min DoS attck:                  0               0       0                 6
  1-hour DoS attck:                  0               0       0                42
  10-min Interface:                  0               0       0               204
  1-hour Interface:                 88               0       0            318225

Raadpleeg de sectie Basisdetectie van bedreigingen configureren in de configuratiehandleiding van ASA 8.0 voor meer informatie over het configuratiegedeelte.

SYSLOG Bericht 733100

Fout:

%ASA-4-733100: Object drop rate rate_ID exceeded. Current burst rate 
is rate_val per second, max configured rate is rate_val; 
Current average rate is rate_val per second, max configured rate is 
rate_val; Cumulative total count is total_cnt

Het opgegeven object in het systeemlogboekbericht heeft de opgegeven burst-drempelwaarde of gemiddelde drempelwaarde overschreden. Het object kan neerslagactiviteit van een host, TCP/UDP-poort, IP-protocol of verschillende druppels zijn als gevolg van potentiële aanvallen. Het geeft aan dat het systeem mogelijk wordt aangevallen.

Opmerking: Deze foutmeldingen met resolutie zijn alleen van toepassing op ASA 8.0 en hoger.

1. Object—De algemene of specifieke bron van een valpercentage, waaronder de volgende:

   • firewall

   • Slechte putten

   • Tariefgrens

   • DoS-aanval

   • ACL-daling

   • Conn-limiet

   • ICMP-aanval

   • aftasten

   • SYN-aanval

   • inspecteren

   • Interface

2. rate_ID—De geconfigureerde snelheid die wordt overschreden. De meeste objecten kunnen worden geconfigureerd met maximaal drie verschillende snelheden voor verschillende intervallen.

3. rate_val—Een bepaalde rentewaarde.

4. total_cnt—De totale telling sinds het object is gemaakt of gewist.

Deze drie voorbeelden laten zien hoe deze variabelen zich voordoen:

• Voor een val van de interface als gevolg van een CPU- of busbeperking:

  %ASA-4-733100: [Interface] drop rate 1 exceeded. Current burst rate is 1 per 
      second, 
  max configured rate is 8000; Current average rate is 2030 per second, 
  max configured rate is 2000; Cumulative total count is 3930654

• Voor een aftastende val als gevolg van mogelijke aanvallen:

  ASA-4-733100: [Scanning] drop rate-1 exceeded. Current burst rate is 10 per 
      second_
  max configured rate is 10; Current average rate is 245 per second_
  max configured rate is 5; Cumulative total count is 147409 (35 instances received)

• Voor slechte pakketten als gevolg van potentiële aanvallen:

  %ASA-4-733100: [Bad pkts] drop rate 1 exceeded. Current burst rate is 0 per 
      second, 
  max configured rate is 400; Current average rate is 760 per second, 
  max configured rate is 100; Cumulative total count is 1938933

Aanbevolen actie:

Voer deze stappen uit volgens het opgegeven objecttype dat in het bericht wordt weergegeven:

1. Als het object in het syslog-bericht een van de volgende is:

   • firewall

   • Slechte putten

   • Tariefgrens

   • DoS-aanval

   • ACL-daling

   • Conn-limiet

   • ICMP-aanval

   • aftasten

   • SYN-aanval

   • inspecteren

   • Interface

   Controleer of de valsnelheid acceptabel is voor de gebruiksomgeving.

2. Pas de drempelwaarde van de specifieke daling aan een passende waarde door het uitvoeren van de dreiging-detectie snelheid xxx opdracht, waar xxx is een van deze:

   • ACL-drop

   • bad-packet-drop

   • limiet-afname

   • druppel

   • fw-drop

   • ICMP-drop

   • inspecteren en neerzetten

   • interface-drop

   • aftastdreiging

   • syn-aanval

3. Als het object in het syslog-bericht een TCP- of UDP-poort, een IP-protocol of een hostdrop is, controleert u of de droprate aanvaardbaar is voor de actieve omgeving.

4. Pas de drempelwaarde van de betreffende drop aan naar een geschikte waarde door de opdracht bad-packet-drop uit te voeren met de dreigingsdetectiesnelheid. Raadpleeg het gedeelte Configuring Basic Threat Detection van de ASA 8.0 Configuration Guide voor meer informatie.

Opmerking: Als u niet wilt dat de waarschuwing voor het overschrijden van de valsnelheid wordt weergegeven, kunt u deze uitschakelen door de opdracht geen bedreiging detecteren uit te voeren.

Gerelateerde informatie

• Ondersteuningspagina voor adaptieve beveiligingstoestellen uit de Cisco 5500-reeks
• Cisco 500 Series PIX-ondersteuningspagina
• Strategieën definiëren om te beschermen tegen TCP SYN Denial of Service-aanvallen
• Cisco Applied Mitigation Bulletin: Het identificeren en beperken van de exploitatie van de Denial of Service kwetsbaarheden in Content Switching Module
• Cisco Applied Mitigation Bulletin: Het identificeren en beperken van de exploitatie van de meerdere kwetsbaarheden in Cisco PIX en ASA Toestellen en Firewall Services Module
• Technische ondersteuning en documentatie – Cisco Systems