Dreigingsdetectie configureren voor VPN-services voor externe toegang op Secure Firewall ASA

Downloadopties

  • PDF     (263.8 KB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:22 april 2026
Document-id:222315

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document beschrijft het proces van het configureren van bedreigingsdetectiemogelijkheden voor Remote Access VPN op Cisco Secure Firewall ASA.

Voorwaarden

Vereisten

Cisco raadt u aan kennis te hebben van deze onderwerpen:

  • Cisco Secure Firewall Adaptive Security Appliance (ASA)
  • Remote Access VPN (RAVPN) op ASA

Deze functies voor bedreigingsdetectie worden ondersteund in de volgende Cisco Secure Firewall ASA-versies:

  • 9.16 Versie trein > Ondersteund vanaf 9.16(4)67 en nieuwere versies binnen deze specifieke trein.
  • 9.17 Versie trein > Ondersteund vanaf 9.17(1)45 en nieuwere versies binnen deze specifieke trein.
  • 9.18 Versie trein > Ondersteund vanaf 9.18(4)40 en nieuwere versies binnen deze specifieke trein.
  • 9.19 Versie trein > ondersteund vanaf 9.19(1).37 en nieuwere versies binnen deze specifieke trein.
  • 9.20 Versie trein > Ondersteund vanaf 9.20(3) en nieuwere versies binnen deze specifieke trein.
  • 9.22 Versie Train > wordt ondersteund vanaf 9.22(1.1) en eventuele nieuwere versies.

Opmerking: 9.22 (1) werd niet vrijgegeven. De eerste release was 9.22 (1.1).

Gebruikte componenten

De informatie die in dit document wordt beschreven, is gebaseerd op de volgende hardware- en softwareversies:

  • Cisco Secure Firewall ASA versie 9.20(3)

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

De functies voor het detecteren van bedreigingen voor VPN-services voor externe toegang helpen DoS-aanvallen (Denial of Service) van IPv4-adressen te voorkomen door de host (IP-adres) die de geconfigureerde drempelwaarden overschrijdt automatisch te blokkeren, om verdere pogingen te voorkomen totdat u handmatig de schijn van het IP-adres verwijdert. Er zijn aparte services beschikbaar voor de volgende soorten aanvallen:

  • Herhaalde mislukte verificatiepogingen om op afstand toegang te krijgen tot VPN-services (brute-force-aanvallen met het scannen van gebruikersnaam en wachtwoord).
  • Client initiatie aanvallen, waarbij de aanvaller start maar de verbindingspoging niet voltooit om een VPN-headend op afstand meerdere keren te benaderen vanaf één host.
  • Verbindingspogingen om ongeldige VPN-services voor externe toegang te verkrijgen. Dat wil zeggen, wanneer aanvallers proberen verbinding te maken met specifieke ingebouwde tunnelgroepen die uitsluitend bedoeld zijn voor de interne werking van het apparaat. Legitieme eindpunten kunnen nooit proberen verbinding te maken met deze tunnelgroepen.

Deze aanvallen, zelfs wanneer ze geen succes hebben bij hun poging om toegang te krijgen, kunnen computerbronnen verbruiken en voorkomen dat geldige gebruikers verbinding maken met de VPN-services voor externe toegang.

Wanneer u deze services inschakelt, wordt de host (IP-adres) die de geconfigureerde drempelwaarden overschrijdt automatisch door de beveiligde firewall gemeden om verdere pogingen te voorkomen totdat u handmatig de schijn van het IP-adres verwijdert.

Opmerking: alle services voor bedreigingsdetectie voor VPN-toegang op afstand zijn standaard uitgeschakeld.

Configureren

Meld u aan bij de Secure Firewall Command Line Interface (CLI) in de globale configuratiemodus en schakel een of meer van de beschikbare bedreigingsdetectieservices in voor externe VPN-toegang:

Dreigingsdetectie voor pogingen om verbinding te maken met interne (ongeldige) VPN-services

Om deze service in te schakelen, voert u de service voor bedreigingsdetectie invalid-vpn-access opdracht uit.

Dreigingsdetectie voor aanvallen van VPN-client voor externe toegang

Als u deze service wilt inschakelen, voert u de opdracht Threat-Detection Service Remote-Access-Client-Initiations Hold-down <minutes> threshold <count> uit, waarbij:

  • Hold-down <minuten> definieert de periode na de laatste initiatiepoging waarin opeenvolgende verbindingspogingen worden geteld. Als het aantal opeenvolgende verbindingspogingen binnen deze periode voldoet aan de geconfigureerde drempel, wordt het IPv4-adres van de aanvaller gemeden. U kunt deze periode instellen tussen 1 en 1440 minuten.
  • Drempelwaarde <aantal> is het aantal verbindingspogingen dat nodig is binnen de wachtperiode om een shun te activeren. U kunt de drempelwaarde tussen 5 en 100 instellen.

Als de wachttijd bijvoorbeeld 10 minuten is en de drempelwaarde 20, wordt het IPv4-adres automatisch gemeden als er 20 opeenvolgende verbindingspogingen zijn binnen een tijdspanne van 10 minuten.

Opmerking: Houd bij het instellen van de hold-down- en drempelwaarden rekening met het NAT-gebruik. Als u PAT gebruikt, waarmee veel verzoeken van hetzelfde IP-adres kunnen worden gedaan, overweeg dan hogere waarden. Dit zorgt ervoor dat geldige gebruikers voldoende tijd hebben om verbinding te maken. In een hotel kunnen bijvoorbeeld veel gebruikers proberen om in een korte periode verbinding te maken.

Dreigingsdetectie voor verificatiefouten bij Remote Access VPN

Als u deze service wilt inschakelen, voert u de opdracht Threat-Detection Service Remote-Access-Authentication Hold-down<minutes> threshold <count> uit, waarbij:

  • Hold-down <minuten> definieert de periode na de laatste mislukte poging waarin opeenvolgende fouten worden geteld. Als het aantal opeenvolgende verificatiefouten binnen deze periode voldoet aan de geconfigureerde drempel, wordt het IPv4-adres van de aanvaller gemeden. U kunt deze periode instellen tussen 1 en 1440 minuten.
  • Drempelwaarde <aantal> is het aantal mislukte verificatiepogingen dat binnen de wachtperiode vereist is om een SHUN te activeren. U kunt de drempelwaarde tussen 1 en 100 instellen.

Als de wachttijd bijvoorbeeld 10 minuten is en de drempelwaarde 20 is, wordt het IPv4-adres automatisch gemeden als er 20 opeenvolgende verificatiefouten zijn binnen een tijdspanne van 10 minuten.

Opmerking: Houd bij het instellen van de hold-down- en drempelwaarden rekening met het NAT-gebruik. Als u PAT gebruikt, waarmee veel verzoeken van hetzelfde IP-adres kunnen worden gedaan, overweeg dan hogere waarden. Dit zorgt ervoor dat geldige gebruikers voldoende tijd hebben om verbinding te maken. In een hotel kunnen bijvoorbeeld veel gebruikers proberen om in een korte periode verbinding te maken.

Opmerking: verificatiefouten via SAML worden nog niet ondersteund. 

De volgende voorbeeldconfiguratie maakt de drie beschikbare bedreigingsdetectieservices voor VPN met externe toegang mogelijk met een wachttijd van 10 minuten en een drempel van 20 voor clientinitiatie en mislukte verificatiepogingen. 

threat-detection service invalid-vpn-access
threat-detection service remote-access-client-initiations hold-down 10 threshold 20
threat-detection service remote-access-authentication hold-down 10 threshold 20

Verifiëren

Voer de opdracht show threat-detection service [service] [entries|details] uit om statistieken weer te geven voor de detectie van bedreigingen door RAVPN-services. Waar de service kan worden gebruikt: verificatie voor externe toegang, initiaties voor externe toegang tot client of ongeldige VPN-toegang.

U kunt de weergave verder beperken door deze parameters toe te voegen:

  • vermeldingen — Geef alleen de vermeldingen weer die worden bijgehouden door de bedreigingsdetectieservice. Bijvoorbeeld de IP-adressen waarvoor een mislukte verificatiepoging is uitgevoerd.
  • Details — Geef zowel servicedetails als servicegegevens weer.

Voer het commando show threat-detection service uit om statistieken weer te geven van alle bedreigingsdetectieservices die zijn ingeschakeld.

ciscoasa# show threat-detection service
Service: invalid-vpn-access
    State     : Enabled
    Hold-down : 1 minutes
    Threshold : 1
    Stats:
        failed      :          0
        blocking    :          0
        recording   :          0
        unsupported :          0
        disabled    :          0
    Total entries: 0
Service: remote-access-authentication
    State     : Enabled
    Hold-down : 10 minutes
    Threshold : 20
    Stats:
        failed      :          0
        blocking    :          1
        recording   :          4
        unsupported :          0
        disabled    :          0
    Total entries: 2
Name: remote-access-client-initiations
    State     : Enabled
    Hold-down : 10 minutes
    Threshold : 20
    Stats:
        failed      :          0
        blocking    :          0
        recording   :          0
        unsupported :          0
        disabled    :          0
    Total entries: 0

Voer de opdracht show threat-detection service <service> entries uit om meer details te bekijken van potentiële aanvallers die worden gevolgd voor de verificatieservice voor externe toegang.

ciscoasa# show threat-detection service remote-access-authentication entries
Service: remote-access-authentication
    Total entries: 2

Idx Source              Interface            Count          Age        Hold-down
--- ------------------- -------------------- -------------- ---------- ---------
  1 192.168.100.101/ 32              outside              1        721         0
  2 192.168.100.102/ 32              outside              2        486       114
Total number of IPv4 entries: 2

NOTE: Age is in seconds since last reported. Hold-down is in seconds remaining.

Als u de algemene statistieken en details van een specifieke VPN-service voor bedreigingsdetectie voor externe toegang wilt bekijken, voert u de opdracht show threat-detection service <service> details uit.

ciscoasa# show threat-detection service remote-access-authentication details
Service: remote-access-authentication
    State     : Enabled
    Hold-down : 10 minutes
    Threshold : 20
    Stats:
        failed      :          0
        blocking    :          1
        recording   :          4
        unsupported :          0
        disabled    :          0
     Total entries: 2

Idx Source              Interface            Count          Age        Hold-down
--- ------------------- -------------------- -------------- ---------- ---------
  1 192.168.100.101/ 32              outside              1        721         0
  2 192.168.100.102/ 32              outside              2        486       114
Total number of IPv4 entries: 2

NOTE: Age is in seconds since last reported. Hold-down is in seconds remaining.

Opmerking: In de vermeldingen worden alleen de IP-adressen weergegeven die worden bijgehouden door de service voor het opsporen van bedreigingen. Als een IP-adres voldoet aan de voorwaarden om te worden gemeden, neemt het aantal blokkeringen toe en wordt het IP-adres niet langer weergegeven als invoer.

Bovendien kunt u shuns controleren die door de VPN-services worden toegepast en shuns verwijderen voor één IP-adres of alle IP-adressen met de volgende opdrachten:

  • SHUN tonen [IP_Address]

Geeft gemeden hosts weer, inclusief hosts die automatisch worden gemeden door bedreigingsdetectie voor VPN-services of handmatig met behulp van de opdracht schuwen. U kunt de weergave optioneel beperken tot een opgegeven IP-adres.

  • Geen SHUN IP_ADDRESS [interface IF_NAME]

Hiermee verwijdert u een schijn die is toegepast op het opgegeven IP-adres.

Als een IP-adres op meerdere interfaces wordt gemeden en er geen specifieke interface wordt genoemd, verwijdert de opdracht de schijn van slechts één interface. De selectie van deze interface is gebaseerd op het opzoeken van de route naar het gemeden IP-adres. Als u de schijn van extra interfaces wilt verwijderen, moet u de interface expliciet opgeven.

  • vrije schuw

Hiermee verwijdert u de schijn van alle IP-adressen en alle interfaces.

Opmerking: IP-adressen die worden gemeden door bedreigingsdetectie voor VPN-services, worden niet weergegeven in de opdracht show threat-detection shun, die alleen van toepassing is op het scannen van bedreigingsdetectie.

Als u alle details wilt lezen voor elke opdrachtuitvoer en beschikbare syslog-berichten met betrekking tot de services voor bedreigingsdetectie voor VPN-toegang op afstand, raadpleegt u de Cisco Secure Firewall ASA Firewall CLI Configuration Guide, 9.20. Hoofdstuk: Dreigingsdetectie document.

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
3.0
22-Apr-2026
Bijgewerkte machinevertaling en opmaak.
2.0
25-Oct-2024
Bijgewerkte achtergrondinformatie voor meer duidelijkheid.
1.0
27-Aug-2024
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

  • Angel Ortiz Jimenez
    Technisch leider op het gebied van beveiliging

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten