ASA/PIX 7.x en hoger: De netwerkaanvallen beperken

Inleiding

Dit document beschrijft hoe u de verschillende netwerkaanvallen kunt beperken, zoals Denial-of-Services (DoS), met behulp van Cisco security applicatie (ASA/PIX).

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

De informatie in dit document is gebaseerd op de Cisco 5500 Series adaptieve security applicatie (ASA) die softwareversie 7.0 en hoger uitvoert.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Verwante producten

Dit document kan ook worden gebruikt met Cisco 500 Series PIX waarin softwareversie 7.0 en hoger wordt uitgevoerd.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Beschermen tegen SYN-aanvallen

Hoe beperkt u de TCP-aanvallen (Transmission Control Protocol) om de ASA/PIX-aanvallen (SYN-aanvallen) te synchroniseren/starten?

TCP/SYN-aanval

TCP/SYN-aanval is een type DoS-aanval waarin een afzender een volume aan verbindingen verzendt dat niet kan worden voltooid. Dit zorgt ervoor dat de verbindingswachtrijen opgevuld worden, waardoor de service voor legitieme TCP-gebruikers wordt ontzegd.

Wanneer een normale TCP-verbinding wordt gestart, ontvangt een doelhost een SYN-pakket van een bronhost en verstuurt een synchronisatiebevestiging (SYN ACK). De bestemmingshost moet vervolgens een ACK van de SYN ACK horen voordat de verbinding tot stand wordt gebracht. Dit wordt de TCP-handdruk genoemd.

Terwijl het wachten op ACK aan SYN ACK, houdt een verbindingsrij van eindige grootte op de bestemmingsgastheer spoor van verbindingen die wachten worden voltooid. Deze rij leegt normaal snel omdat de ACK naar verwachting een paar milliseconden na de SYN ACK zal aankomen.

De TCP SYN aanval maakt gebruik van dit ontwerp door een aanvallende source host genereren TCP SYN pakketten met willekeurige bron adressen naar een slachtoffer host. De geadresseerde van het slachtoffer stuurt een SYN ACK terug naar het willekeurige bronadres en voegt een vermelding toe aan de verbindingswachtrij. Omdat de SYN ACK bestemd is voor een onjuiste of niet-bestaande host, wordt het laatste deel van de "drieweg-handdruk" nooit voltooid en blijft het bericht in de verbindingswachtrij tot een timer verloopt, meestal voor ongeveer een minuut. Door phony TCP SYN-pakketten snel te genereren van willekeurige IP-adressen, is het mogelijk om de verbindingswachtrij op te vullen en TCP-services (zoals e-mail, bestandsoverdracht of WWW) te weigeren aan legitieme gebruikers.

Er is geen makkelijke manier om de initiator van de aanval te traceren omdat het IP-adres van de bron is vervalst.

De externe manifestaties van het probleem omvatten onvermogen om e-mail te krijgen, onvermogen om verbindingen aan de diensten van WWW of FTP, of een groot aantal verbindingen van TCP op uw gastheer in de staat SYN_RCVD goed te keuren.

Zie Strategieën definiëren om te beschermen tegen TCP/SYN-ontkenning van service-aanvallen voor meer informatie over TCP/SYN-aanvallen.

Beperken

In deze paragraaf wordt beschreven hoe u de SYN-aanvallen kunt beperken door de maximale TCP- en User Datagram Protocol (UDP)-verbindingen, maximale embryonale verbindingen, verbindingstime-outs en het uitschakelen van de randomisatie van de TCP-sequentie in te stellen.

Als de embryonale verbindingsgrens wordt bereikt, dan reageert het veiligheidstoestel op elk pakket SYN dat naar de server met een SYN+ACK wordt verzonden, en gaat het pakket SYN niet over tot de interne server. Als het externe apparaat met een ACK-pakket reageert, dan weet het security apparaat dat het een geldig verzoek is (en geen deel van een potentiële SYN-aanval). Het security apparaat maakt vervolgens een verbinding met de server en sluit zich aan bij de verbindingen. Als het beveiligingstoestel geen ACK terug krijgt van de server, wordt de embryonale verbinding agressief vertraagd.

Elke TCP-verbinding heeft twee Initial Sequence Number (ISDN’s): een die door de client wordt gegenereerd en een die door de server wordt gegenereerd. Het beveiligingstoestel randomiseert het ISDN van TCP/SYN dat in zowel de inkomende als de uitgaande richting passeert.

Het willekeurig maken van de ISDN van de beschermde host voorkomt dat een aanvaller de volgende ISDN voorspelt voor een nieuwe verbinding en mogelijk de nieuwe sessie kapen.

De randomisatie van het TCP-initiële sequentienummer kan indien nodig worden uitgeschakeld. Voorbeeld:

• Als een andere in-line firewall ook de eerste sequentienummers willekeurig kiest, is het niet nodig dat beide firewalls deze actie uitvoeren, ook al heeft deze actie geen invloed op het verkeer.

• Als u externe BGP (eBGP) multi-hop gebruikt via het security apparaat, en de eBGP-peers MD5 gebruiken, breekt randomisatie de MD5-checksum.

• U gebruikt een Wide Area Application Services (WAAS) apparaat dat ervoor zorgt dat het security apparaat de sequentienummers van verbindingen niet willekeurig kan verdelen.

Opmerking: U kunt ook maximale verbindingen, maximale embryonale verbindingen en TCP sequentie randomisatie in de NAT configuratie configureren. Als u deze instellingen met beide methoden voor hetzelfde verkeer configureert, gebruikt het security apparaat de ondergrens. Als TCP sequentierandomisatie is uitgeschakeld met een van beide methoden, schakelt het security apparaat de randomisatie van de TCP-sequentie uit.

Voltooi de volgende stappen om verbindingslimieten in te stellen:

1. Om het verkeer te identificeren, voeg een klassenkaart toe met behulp van het klasse-kaart bevel volgens het Gebruik van Modular Policy Framework.

2. Om een beleidskaart toe te voegen of te bewerken die de acties instelt die moeten worden uitgevoerd met het verkeer van de klassenkaart, voert u deze opdracht in:

   hostname(config)#policy-map name
   

3. Om de klassenkaart (van stap 1) te identificeren waaraan u een actie wilt toewijzen, ga dit bevel in:

   hostname(config-pmap)#class class_map_name
   

4. Om de maximale verbindingen (zowel TCP als UDP), maximale embryonale verbindingen, per-client-embryonale-max, per-client-max of het uitschakelen van de TCP-sequentierandomisatie, in te stellen, voert u deze opdracht in:

   hostname(config-pmap-c)#set connection {[conn-max number] 
   [embryonic-conn-max number] [per-client-embryonic-max number] 
   [per-client-max number][random-sequence-number {enable | 
   disable}}

   Waarbij number een integer is tussen 0 en 65535. De default is 0, wat geen limiet voor connecties betekent.

   U kunt deze opdracht allemaal op één regel (in elke volgorde) invoeren of u kunt elke eigenschap als een afzonderlijke opdracht invoeren. Het commando wordt op één regel in de lopende configuratie gecombineerd.

5. Voer deze opdracht in om de tijd voor verbindingen, embryonale (half-geopende) en half-gesloten verbindingen in te stellen:

   hostname(config-pmap-c)#set connection {[embryonic hh[:mm[:ss]]] 
   [half-closed hh[:mm[:ss]]] [tcp hh[:mm[:ss]]]}

   Waar embryonaal hh[:mm[:ss] een tijd is tussen 0:0:5 en 1192:59:59. Standaard is 0:0:30. U kunt deze waarde ook instellen op 0, wat betekent dat de verbinding nooit wordt uitgezet.

   De half-gesloten hh[:mm[:ss] en tcp hh[:mm[:ss] waarden zijn een tijd tussen 0:5:0 en 1192:59:59. Het standaard voor half-gesloten is 0:10:0 en het standaard voor tcp is 1:0:0. U kunt deze waarden ook op 0 instellen, wat betekent dat de verbinding nooit wordt uitgezet.

   U kunt deze opdracht allemaal op één regel (in elke volgorde) invoeren of u kunt elke eigenschap als een afzonderlijke opdracht invoeren. Het commando wordt op één regel in de lopende configuratie gecombineerd.

   • Embryonische (half-geopende) verbinding—Een embryonale verbinding is een TCP-verbindingsverzoek dat de noodzakelijke handdruk tussen bron en bestemming niet heeft voltooid.

   • Half-gesloten verbinding—half gesloten verbinding is wanneer de verbinding slechts in één richting is gesloten door FIN te verzenden. TCP-sessie wordt echter nog steeds door peer onderhouden.

   • Per-client-embryonaal-max—Het maximum aantal gelijktijdige embryonale verbindingen per client, tussen 0 en 65535. Standaard is 0, wat onbeperkte verbindingen toestaat.

   • Per-client-max—Het maximale aantal gelijktijdige verbindingen dat per client is toegestaan, tussen 0 en 65535. De standaardinstelling is 0, wat onbeperkte verbindingen toestaat.

6. Om de beleidskaart op een of meer interfaces te activeren, voert u deze opdracht in:

   hostname(config)#service-policy policymap_name {global | interface interface_name}
   
   

   Waar globaal de beleidskaart op alle interfaces toepast, en interface het beleid op één interface toepast. Er is slechts één algemeen beleid toegestaan. U kunt het globale beleid op een interface met voeten treden door een de dienstbeleid op die interface toe te passen. U kunt slechts één beleidskaart toepassen op elke interface.

Voorbeeld:

ciscoasa(config)#class-map tcp_syn
ciscoasa(config-cmap)#match port tcp eq 80
ciscoasa(config-cmap)#exit
ciscoasa(config)#policy-map tcpmap
ciscoasa(config-pmap)#class tcp_syn
ciscoasa(config-pmap-c)#set connection conn-max 100
ciscoasa(config-pmap-c)#set connection embryonic-conn-max 200
ciscoasa(config-pmap-c)#set connection per-client-embryonic-max 10
ciscoasa(config-pmap-c)#set connection per-client-max 5
ciscoasa(config-pmap-c)#set connection random-sequence-number enable
ciscoasa(config-pmap-c)#set connection timeout embryonic 0:0:45
ciscoasa(config-pmap-c)#set connection timeout half-closed 0:25:0
ciscoasa(config-pmap-c)#set connection timeout tcp 2:0:0
ciscoasa(config-pmap-c)#exit
ciscoasa(config-pmap)#exit
ciscoasa(config)#service-policy tcpmap global

Opmerking: gebruik deze opdracht om het totale aantal half-geopende sessies voor een bepaalde host te controleren:

ASA-5510-8x# show local-host all

Interface dmz: 0 active, 0 maximum active, 0 denied
Interface management: 0 active, 0 maximum active, 0 denied
Interface xx: 0 active, 0 maximum active, 0 denied
Interface inside: 7 active, 18 maximum active, 0 denied

local host: <10.78.167.69>,

    TCP flow count/limit = 2/unlimited

    TCP embryonic count to host = 0

    TCP intercept watermark = unlimited

    UDP flow count/limit = 0/unlimited

Opmerking: de regel, TCP embryonale telling naar host, geeft het aantal half-open sessies weer.

Beschermen tegen IP-spoofing

Kan PIX/ASA IP-nep aanvallen blokkeren?

IP-spoofing

Om toegang te krijgen, maken indringers pakketten met gespoofde IP-bronadressen. Hiermee worden toepassingen geëxploiteerd die gebruik maken van verificatie op basis van IP-adressen en leiden tot onbevoegde gebruikers en mogelijk toegang tot de hoofdmap op het doelsysteem. Voorbeelden zijn de rsh- en rlogin-services.

Het is mogelijk om pakketten door filtering-routerfirewalls te leiden als zij niet worden gevormd om inkomende pakketten te filteren waarvan het bronadres in het lokale domein is. Het is belangrijk om op te merken dat de beschreven aanval mogelijk is zelfs als geen antwoordpakketten de aanvaller kunnen bereiken.

Voorbeelden van configuraties die mogelijk kwetsbaar zijn:

• Proxy-firewalls waar de proxy-toepassingen het IP-bronadres voor verificatie gebruiken

• Routers naar externe netwerken die meerdere interne interfaces ondersteunen

• Routers met twee interfaces die subnetting op het interne netwerk ondersteunen

Beperken

Unicast Reverse Path Forwarding (uRPF) beschermt tegen IP-spoofing (een pakket gebruikt een onjuist IP-bronadres om de ware bron te verduisteren) door ervoor te zorgen dat alle pakketten een IP-bronadres hebben dat overeenkomt met de juiste broninterface volgens de routeringstabel.

Normaal gezien bekijkt het security apparaat alleen het doeladres wanneer het bepaalt waar het pakket moet worden doorgestuurd. Unicast RPF draagt het security apparaat op om ook naar het bronadres te kijken. Dit is waarom het het Omgekeerde Door:sturen van de Weg wordt genoemd. Voor om het even welk verkeer dat u door het veiligheidstoestel wilt toestaan, moet het veiligheidstoestel dat lijst verplettert een route terug naar het bronadres omvatten. Zie RFC 2267 voor meer informatie.

Opmerking: de :- %PIX-1-106021: Ontken protocol omgekeerde pad controle van src_addr naar dest_addr op interface int_name log bericht kan worden gezien wanneer de omgekeerde pad controle is ingeschakeld. Schakel de controle van het omgekeerde pad uit met de opdracht Geen ip verify-interface (interfacenaam) om dit probleem op te lossen:

no ip verify reverse-path interface (interface name)

Voor extern verkeer kan het security apparaat bijvoorbeeld de standaardroute gebruiken om te voldoen aan de Unicast RPF-bescherming. Als het verkeer van een buiteninterface binnengaat, en het bronadres niet aan de routeringstabel bekend is, gebruikt het security apparaat de standaardroute om de buiteninterface correct als de broninterface te identificeren.

Als het verkeer de buiteninterface van een adres ingaat dat aan de routeringstabel bekend is, maar met de binneninterface wordt geassocieerd, dan laat vallen het veiligheidstoestel het pakket. Op dezelfde manier, als het verkeer de binneninterface van een onbekend bronadres ingaat, laat vallen het veiligheidstoestel het pakket omdat de passende route (de standaardroute) op de buiteninterface wijst.

Unicast RPF wordt geïmplementeerd zoals aangegeven:

• ICMP-pakketten hebben geen sessie, dus elk pakket wordt gecontroleerd.

• UDP en TCP hebben sessies, dus voor het eerste pakket is een omgekeerde routerraadpleging vereist. Vervolgpakketten die tijdens de sessie worden ontvangen, worden gecontroleerd met behulp van een bestaande status die als deel van de sessie wordt onderhouden. De niet aanvankelijke pakketten worden gecontroleerd om te verzekeren zij op de zelfde interface aankwamen die door het aanvankelijke pakket wordt gebruikt.

Typ deze opdracht om Unicast PDF in te schakelen:

hostname(config)#ip verify reverse-path interface interface_name

Voorbeeld:

Zoals dit getal wordt getoond, komt de Attacker PC met een verzoek aan de toepassingsserver 10.1.1.10 door een pakket met een vervalst IP-bronadres 10.1.1.5/24 te verzenden, en de server stuurt een pakket naar het echte IP-adres 10.1.1.5/24 als antwoord op het verzoek. Dit type van illegaal pakket zal zowel de toepassingsserver als wettige gebruiker in het binnennetwerk aanvallen.

Unicast RPF kan aanvallen voorkomen op basis van bronadresspoofing. U moet de uRPF configureren in de buiteninterface van de ASA zoals hier wordt getoond:

ciscoasa(config)#ip verify reverse-path interface outside

Identificatie van spoofing met behulp van Syslog-berichten

Het security apparaat blijft syslog foutmeldingen ontvangen zoals getoond. Dit wijst op potentiële aanvallen die spoofed pakketten gebruiken of die wegens asymmetrische routing zouden kunnen teweegbrengen.

1. %PIX|ASA-2-106001: Inbound TCP connection denied from IP_address/port 
   to IP_address/port flags tcp_flags on interface interface_name
   

   Toelichting

   Dit is een verbindingsgerelateerd bericht. Dit bericht treedt op wanneer een poging om verbinding te maken met een binnenadres wordt ontkend door het beveiligingsbeleid dat is gedefinieerd voor het opgegeven verkeerstype. De mogelijke waarden van tcp_flags komen overeen met de vlaggen in de TCP header die aanwezig waren toen de connectie werd ontkend. Er is bijvoorbeeld een TCP-pakket gearriveerd waarvoor geen verbindingsstatus in het security apparaat bestaat en dat is gevallen. De tcp_flags in dit pakket zijn FIN en ACK.

   De tcp_flags zijn als volgt:

   • ACK—Het bevestigingsnummer is ontvangen.

   • FIN-Data werd verstuurd.

   • PSH — De ontvanger gaf gegevens door aan de applicatie.

   • RST - De verbinding is opnieuw ingesteld.

   • SYN—Sequence-getallen zijn gesynchroniseerd om een verbinding te starten.

   • URG - De aanwijzer is ongeldig verklaard.

   Er zijn veel redenen voor statische vertaling om te falen op de PIX/ASA. Maar, is een gemeenschappelijke reden als de gedemilitariseerde zone (DMZ) interface met het zelfde veiligheidsniveau (0) zoals de buiteninterface wordt gevormd.

   Om dit probleem op te lossen, dient u een ander beveiligingsniveau toe te wijzen aan alle interfaces

   Zie Interfaceparameters configureren voor meer informatie.

   Deze foutmelding wordt ook weergegeven als een extern apparaat een IDENT-pakket naar de interne client verzendt, dat door de PIX-firewall wordt losgelaten. Raadpleeg PIX Performance Issues Caused by IDENT Protocol voor meer informatie

2. %PIX|ASA-2-106007: Deny inbound UDP from outside_address/outside_port 
   to inside_address/inside_port due to DNS {Response|Query}
   

   Toelichting

   Dit is een verbindingsgerelateerd bericht. Dit bericht wordt weergegeven als de opgegeven verbinding mislukt vanwege een uitgaand opdracht ontkennen. De protocolvariabele kan ICMP, TCP of UDP zijn.

   Aanbevolen actie: Gebruik het show uitgaande bevel om uitgaande lijsten te controleren.

3. %PIX|ASA-3-106014: Deny inbound icmp src interface_name: IP_address dst 
   interface_name: IP_address (type dec, code dec)

   Toelichting

   Het security apparaat ontkende elke inkomende ICMP-pakkettoegang. Standaard wordt alle ICMP-pakketten toegang geweigerd, tenzij deze specifiek zijn toegestaan.

4. %PIX|ASA-2-106016: Deny IP spoof from (IP_address) to IP_address on 
   interface interface_name.

   Toelichting

   Dit bericht wordt gegenereerd wanneer een pakket arriveert bij de interface van het security applicatie die een IP-adres van bestemming van 0.0.0.0 heeft en een MAC-adres van bestemming van de interface van het security applicatie. Bovendien wordt dit bericht gegenereerd toen het beveiligingsapparaat een pakket met een ongeldig bronadres afwierp, dat een van de volgende of een ander ongeldig adres kan bevatten:

   • Lopback-netwerk (127.0.0.0)

   • Uitzending (beperkt, net-geleid, subnetgestuurd en all-subnets-geleid)

   • De bestemmingsgastheer (land.c)

   Om de detectie van spofpakketten verder te verbeteren, gebruikt u de opdracht icmp om het security apparaat te configureren om pakketten met bronadressen van het interne netwerk te verwijderen. Dit komt doordat de opdracht toegangslijst is afgekeurd en niet langer gegarandeerd correct werkt.

   Aanbevolen actie: Bepaal of een externe gebruiker probeert de beveiliging van het netwerk in gevaar te brengen. Controleer op verkeerd geconfigureerde clients.

5. %PIX|ASA-2-106017: Deny IP due to Land Attack from IP_address to 
   IP_address

   Toelichting

   Het beveiligingstoestel ontving een pakket met het IP-bronadres gelijk aan de IP-bestemming en de bestemmingshaven gelijk aan de bronpoort. Dit bericht geeft een pakket aan dat is ontworpen om systemen aan te vallen. Deze aanval wordt een Land Attack genoemd.

   Aanbevolen actie: Als dit bericht blijft bestaan, wordt er mogelijk een aanval uitgevoerd. Het pakket verstrekt niet genoeg informatie om te bepalen waar de aanval voortkomt.

6. %PIX|ASA-1-106021: Deny protocol reverse path check from 
   source_address to dest_address on interface interface_name

   Toelichting

   Er is een aanval bezig. Iemand probeert een IP-adres te paraferen op een inkomende verbinding. Unicast RPF, ook bekend als reverse route lookup, detecteerde een pakket zonder bronadres dat wordt weergegeven door een route en gaat ervan uit dat het deel uitmaakt van een aanval op uw security applicatie.

   Dit bericht verschijnt wanneer u Unicast RPF hebt ingeschakeld met de opdracht omgekeerd pad verifiëren. Deze eigenschap werkt aan pakketten die in een interface worden ingevoerd. Als de apparatuur aan de buitenkant is geconfigureerd, controleert het security apparaat pakketten die van de buitenkant komen.

   Het security apparaat kijkt omhoog een route gebaseerd op het bronadres. Als een ingang niet wordt gevonden en een route niet wordt bepaald, dan verschijnt dit bericht van het systeemlogboek en de verbinding wordt gelaten vallen.

   Als er een route is, controleert het security apparaat welke interface deze correspondeert. Als het pakket op een andere interface aankwam, is het of een parodie of er is een asymmetrische routerende omgeving die meer dan één weg aan een bestemming heeft. Het security apparaat ondersteunt geen asymmetrische routing.

   Als het security apparaat is geconfigureerd op een interne interface, controleert het statische route opdrachtverklaringen of RIP. Als het bronadres niet wordt gevonden, dan is een interne gebruiker spoofing hun adres.

   Aanbevolen actie: Alhoewel een aanval lopend is, als deze eigenschap wordt toegelaten, wordt geen gebruikersactie vereist. Het beveiligingsapparaat weerstaat de aanval.

   Opmerking: de opdracht Snel vervolgkeuzelijst tonen de pakketten of verbindingen die door het versnelde beveiligingspad (asp) worden verbroken. Dit kan u helpen bij het oplossen van een probleem. Het geeft ook aan wanneer de laatste keer dat de valtellers zijn gewist. Gebruik de opdracht asp drop-rpf-violated waarin de teller wordt verhoogd wanneer ip de reverse-path is geconfigureerd op een interface en het security apparaat ontvangt een pakket waarvoor de routerraadpleging van de bron-IP niet dezelfde interface heeft opgeleverd als het pakket werd ontvangen.

   ciscoasa#show asp drop frame rpf-violated
     Reverse-path verify failed                                  2

   Opmerking:  Aanbeveling: Traceer de bron van het verkeer op basis van de IP-bron die in dit volgende systeembericht wordt afgedrukt, en onderzoek waarom er spoofverkeer wordt verzonden.

   Opmerking:  Berichten in het systeemlogboek: 106021

7. %PIX|ASA-1-106022: Deny protocol connection spoof from source_address 
   to dest_address on interface interface_name

   Toelichting

   Een pakket dat een verbinding aanpast komt op een verschillende interface van de interface aan waar de verbinding begon.

   Als een gebruiker bijvoorbeeld een verbinding start via de binneninterface, maar het beveiligingstoestel detecteert dat dezelfde verbinding wordt ontvangen via een perimeterinterface, dan heeft het beveiligingstoestel meer dan één pad naar een bestemming. Dit wordt asymmetrische routing genoemd en wordt niet ondersteund op het security apparaat.

   Een aanvaller kan ook proberen om pakketten van de ene verbinding naar de andere toe te voegen als een manier om in het security apparaat te breken. In beide gevallen wordt dit bericht op het beveiligingsapparaat weergegeven en wordt de verbinding verbroken.

   Aanbeveling Actie: Dit bericht verschijnt wanneer ip verifieert het omgekeerde-wegbevel niet wordt gevormd. Controleer of de routing niet asymmetrisch is.

8. %PIX|ASA-4-106023: Deny protocol src 
   [interface_name:source_address/source_port] dst 
   interface_name:dest_address/dest_port [type {string}, code {code}] by 
   access_group acl_ID

   Toelichting

   Een IP-pakket is ontkend door de ACL. Dit bericht wordt weergegeven zelfs als de logoptie niet is ingeschakeld voor een ACL.

   Aanbeveling Actie: Als er berichten blijven bestaan vanuit hetzelfde bronadres, kunnen berichten wijzen op een voetafdruk- of poortscanpoging. Neem contact op met de externe hostbeheerders.

9. %PIX|ASA-3-210011: Connection limit exceeded cnt/limit for dir packet 
   from sip/sport to dip/dport on interface if_name.

10. %ASA-4-419002: Received duplicate TCP SYN from 
    in_interface:src_address/src_port to out_interface:dest_address/dest_port with 
    different initial sequence number.

    Toelichting

    Dit systeemlogbericht geeft aan dat het tot stand brengen van een nieuwe verbinding via het firewallapparaat zal resulteren in het overschrijden van ten minste één van de ingestelde maximale verbindingslimieten. Het systeemlogbericht is zowel van toepassing op verbindingsgrenzen die met een statische opdracht zijn geconfigureerd als op beperkingen die zijn geconfigureerd met Cisco Modular Policy Framework. De nieuwe verbinding wordt via de firewall niet toegestaan totdat een van de bestaande verbindingen is uitgeschakeld. Hierdoor wordt het huidige aantal verbindingen verlaagd tot onder het ingestelde maximum.

    • cnt—aantal huidige verbindingen

    • limiet—geconfigureerde verbindingslimiet

    • dir—Richting van verkeer, inkomend of uitgaand

    • SIP—IP-bronadres

    • sport—bronpoort

    • IP-adres van bestemming

    • poort-doelpoort

    • if_name-naam van de interface waarop de verkeerseenheid wordt ontvangen, primair of secundair.

    Aanbeveling Actie: Omdat de verbindingsgrenzen om een goede reden worden gevormd, kon dit bericht van het systeemlogboek op een mogelijke aanval van Dos wijzen, waarbij de bron van het verkeer waarschijnlijk een gespoofde IP adres zou kunnen zijn. Als het IP-bronadres niet volledig willekeurig is, kan het helpen om de bron te identificeren en te blokkeren met behulp van een toegangslijst. In andere gevallen zou het krijgen van snuffelere sporen en het analyseren van de bron van het verkeer helpen om ongewenste verkeer te isoleren van legitiem verkeer.

Basis bedreigingsdetectie in ASA 8.x

Cisco security applicatie ASA/PIX ondersteunt de functie genaamd bedreigingsdetectie van softwareversie 8.0 en hoger. Gebruikmakend van basisbedreigingsopsporing, controleert het veiligheidsapparaat het tarief gelaten vallen pakketten en veiligheidsgebeurtenissen toe te schrijven aan deze redenen:

• Ontkenning door toegangslijsten

• Slechte pakketindeling (zoals ongeldige IP-header of ongeldige TCP-hdr-lengte)

• Overschreden verbindingsgrenzen (zowel systeembrede resourcegrenzen als limieten in de configuratie)

• DoS-aanval gedetecteerd (zoals een ongeldige SPI, fout bij stateful firewall-controle)

• Standaard firewallcontroles mislukt (deze optie is een gecombineerd tarief dat alle firewall-gerelateerde pakketdalingen in deze bulleted lijst bevat. Het omvat geen niet-firewall-gerelateerde druppels zoals interface-overload, pakketten die bij toepassingsinspectie zijn mislukt, en scanning aanval gedetecteerd.)

• Verdachte ICMP-pakketten gedetecteerd

• Toepassingscontrole mislukt pakketten

• Interfaceoverbelasting

• Scannen van aanval gedetecteerd (deze optie bewaakt scanaanvallen; Het eerste TCP-pakket is bijvoorbeeld geen SYN-pakket, of de TCP-verbinding is mislukt door de 3-voudige handdruk. De volledige opsporing van de scandreiging (verwijs naar het Vormen van de Opsporing van de Bedreiging van het Scannen voor meer informatie) neemt deze informatie van de scanningsaanval en handelt op het door gastheren als aanvallers te classificeren en automatisch hen, bijvoorbeeld te glanzen.)

• Onvolledige sessiedetectie zoals TCP/SYN-aanval gedetecteerd of geen UDP-sessieaanval met gegevens gedetecteerd.

Wanneer het security apparaat een bedreiging detecteert, wordt er onmiddellijk een systeemlogbericht verzonden (730100).

Basisdetectie van bedreigingen beïnvloedt de prestaties alleen wanneer er sprake is van druppels of potentiële bedreigingen. Zelfs in dit scenario zijn de gevolgen voor de prestaties onbeduidend.

De opdracht detectiesnelheid voor show wordt gebruikt om potentiële aanvallen te identificeren wanneer u in het security apparaat bent aangemeld.

ciscoasa#show threat-detection rate
                          Average(eps)    Current(eps) Trigger      Total events
  10-min ACL  drop:                  0               0       0                16
  1-hour ACL  drop:                  0               0       0               112
  1-hour SYN attck:                  5               0       2             21438
  10-min  Scanning:                  0               0      29               193
  1-hour  Scanning:                106               0      10            384776
  1-hour Bad  pkts:                 76               0       2            274690
  10-min  Firewall:                  0               0       3                22
  1-hour  Firewall:                 76               0       2            274844
  10-min DoS attck:                  0               0       0                 6
  1-hour DoS attck:                  0               0       0                42
  10-min Interface:                  0               0       0               204
  1-hour Interface:                 88               0       0            318225

Raadpleeg het gedeelte Basic Threat Detection van de configuratiehandleiding van ASA 8.0 voor meer informatie over het configuratieonderdeel.

Syslog-733100

Fout:

%ASA-4-733100: Object drop rate rate_ID exceeded. Current burst rate 
is rate_val per second, max configured rate is rate_val; 
Current average rate is rate_val per second, max configured rate is 
rate_val; Cumulative total count is total_cnt

Het opgegeven object in het systeemlogbericht heeft de opgegeven barstdrempelwaarde of de gemiddelde drempelwaarde overschreden. Het object kan drop-activiteit van een host, TCP/UDP-poort, IP-protocol, of verschillende druppels als gevolg van potentiële aanvallen zijn. Het geeft aan dat het systeem onder vuur ligt.

Opmerking: deze foutmeldingen met resolutie zijn alleen van toepassing op ASA 8.0 en hoger.

1. Voorwerp-De algemene of bijzondere bron van een dalingssnelheidstelling, die deze zou kunnen omvatten:

   • Firewall

   • Slechte punten

   • Tarieflimiet

   • DoS-aanval

   • ACL-daling

   • Conn-limiet

   • ICMP-aanval

   • Scannen

   • SYN-aanval

   • inspecteren

   • Interface

2. rate_id—Het ingestelde percentage dat wordt overschreden. De meeste voorwerpen kunnen met maximaal drie verschillende tarieven voor verschillende intervallen worden gevormd.

3. rate_val—Een bepaalde snelheidswaarde.

4. total_cnt—De totale telling sinds het object is gemaakt of gewist.

Deze drie voorbeelden tonen hoe deze variabelen voorkomen:

• Voor een interfacedaling als gevolg van een CPU- of busbeperking:

  %ASA-4-733100: [Interface] drop rate 1 exceeded. Current burst rate is 1 per 
      second, 
  max configured rate is 8000; Current average rate is 2030 per second, 
  max configured rate is 2000; Cumulative total count is 3930654

• Voor een scanval vanwege mogelijke aanvallen:

  ASA-4-733100: [Scanning] drop rate-1 exceeded. Current burst rate is 10 per 
      second_
  max configured rate is 10; Current average rate is 245 per second_
  max configured rate is 5; Cumulative total count is 147409 (35 instances received)

• Voor slechte pakketten als gevolg van mogelijke aanvallen:

  %ASA-4-733100: [Bad pkts] drop rate 1 exceeded. Current burst rate is 0 per 
      second, 
  max configured rate is 400; Current average rate is 760 per second, 
  max configured rate is 100; Cumulative total count is 1938933

Aanbevolen actie:

Voer deze stappen uit volgens het gespecificeerde objecttype dat in het bericht wordt weergegeven:

1. Als het object in het syslogbericht een van deze is:

   • Firewall

   • Slechte punten

   • Tarieflimiet

   • DoS-aanval

   • ACL-daling

   • Conn-limiet

   • ICMP-aanval

   • Scannen

   • SYN-aanval

   • inspecteren

   • Interface

   Controleer of de druppel aanvaardbaar is voor de actieve omgeving.

2. Pas de drempelwaarde van de bepaalde daling aan tot een geschikte waarde door de opdracht voor de detectie van bedreigingen xxx uit te voeren, waarbij xxx een van deze is:

   • bel-drop

   • slechte pakket-drop

   • conn-limit-drop

   • droppen

   • foudruppel

   • ICMP-drop

   • inspectiedrupp

   • interface-drop

   • scandreiging

   • syn-aanval

3. Als het object in het syslogbericht een TCP- of UDP-poort, een IP-protocol of een host-drop is, controleert u of de drop rate acceptabel is voor de actieve omgeving.

4. Pas de drempelwaarde van de specifieke val aan tot een geschikte waarde door de opdracht voor het detecteren van bedreigingen tegen onjuist pakketverlies uit te voeren. Raadpleeg de sectie Basisdetectie van bedreigingen configureren in de ASA 8.0 Configuration Guide voor meer informatie.

Opmerking: als u niet wilt dat de druppelsnelheid de waarschuwing overschrijdt, kunt u deze uitschakelen door de opdracht geen bedreiging-detectie van basisbedreigingen uit te voeren.

Gerelateerde informatie

• Ondersteuning voor Cisco 5500 Series adaptieve security applicaties
• Cisco 500 Series ondersteuningspagina voor PIX
• Strategieën definiëren om te beschermen tegen TCP/SYN-ontkenning van service-aanvallen
• Cisco-bulletin over toegepaste beperking: Identificatie en beperking van exploitatie van de kwetsbaarheden voor weigeringen van services in contentswitchingmodule
• Cisco-bulletin over toegepaste beperking: Identificatie en beperking van exploitatie van de meerdere kwetsbaarheden in Cisco PIX- en ASA-applicaties en firewallservicesmodule
• Technische ondersteuning en documentatie – Cisco Systems