Aanbevelingen tegen wachtwoordspraakaanvallen die gevolgen hebben voor VPN-services van externe toegang

Inleiding

Dit document beschrijft aanbevelingen om te overwegen tegen hostcan-token-toewijzingsfouten in Secure Firewall, afgeleid van aanvallen met een wachtwoord.

Achtergrondinformatie

Wanneer gebruikers proberen een VPN-verbinding tot stand te brengen met behulp van Cisco Secure Client (AnyConnect), kunnen ze af en toe een foutmelding tegenkomen met de tekst "Kan de verbinding niet voltooien. Cisco Secure Desktop is niet geïnstalleerd op de client.". Dit gedrag treedt doorgaans op wanneer er geen hostscanningtoken is toegewezen aan de VPN-head-end, of aan een Cisco Secure Firewall Adaptive Security Appliance (ASA) of Threat Defence (FTD). Deze toewijzingsfout heeft met name te maken met gevallen van brute-force-aanvallen die zijn gericht op de beveiligde firewall-infrastructuur en wordt momenteel met de grootste urgentie aangepakt onder Cisco bug-id CSCwj45822.

Gedrag waargenomen

Kan geen VPN-verbindingen maken met Cisco Secure Client (AnyConnect) wanneer Firewallhouding (HostScan) is ingeschakeld

Wanneer gebruikers proberen een VPN-verbinding tot stand te brengen met Cisco Secure Client (AnyConnect), kunnen ze af en toe een foutmelding tegenkomen die luidt "Kan verbinding niet voltooien. Cisco Secure Desktop niet geïnstalleerd op de client." Dit probleem voorkomt dat het VPN-verbindingsproces met succes wordt voltooid.

 

 

Opmerking: dit specifieke gedrag treedt alleen op wanneer Firewallhouding (HostScan) is ingeschakeld aan het uiteinde, ongeacht de gebruikte Secure Client of AnyConnect-versie.

 

Hostscan Token Exhaeration

De VPN head-end Cisco Secure Firewall Adaptive Security Applicatie (ASA) of Threat Defense (FTD) vertoont symptomen van fouten bij de toewijzing van hostscans. Om dit te verifiëren, voer de opdracht debug menu webvpn 187 0 uit.

ASA# debug menu webvpn 187 0 
Allocated Hostscan token = 1000
Hostscan token allocate failure = xxx - - - - > Increments 

Opmerking: dit probleem is een gevolg van de aanvallen. De kwestie wordt momenteel met de grootst mogelijke urgentie aangepakt onder Cisco bug-id CSC45822.

 

Ongebruikelijke hoeveelheid verificatieaanvragen

De VPN head-end Cisco Secure Firewall ASA of FTD toont symptomen van met een wachtwoord gesproeide aanvallen met 100-duizenden of miljoenen afgewezen verificatiepogingen. 

Opmerking: deze ongebruikelijke pogingen tot authenticatie kunnen worden gericht op de LOKALE database of externe verificatieservers.

 

De beste manier om dit te detecteren is door te kijken naar de syslog. Zoek naar een ongebruikelijk aantal van een van de volgende ASA syslog ID’s:

 

• %ASA-6-113015

%ASA-6-113015: AAA user authentication Rejected : reason = User was not found : local database : user = admin : user IP = x.x.x.x

 

• %ASA-6-113005

%ASA-6-113005: AAA user authentication Rejected : reason = Unspecified : server = x.x.x.x : user = ***** : user IP = x.x.x.x

 

• %ASA-6-716039

%ASA-6-716039: Group <DfltGrpPolicy> User <admin> IP <x.x.x.x> Authentication: rejected, Session Type: WebVPN.

 

De gebruikersnaam is altijd verborgen totdat de opdracht Gebruikersnaam voor niet-vastlegging verbergen op de ASA is geconfigureerd.

Opmerking: Dit geeft inzicht in het verifiëren of geldige gebruikers worden gegenereerd of bekend door beledigende IP's, maar wees voorzichtig, want gebruikersnamen zullen zichtbaar zijn in de logbestanden.

 

Om te verifiëren, logt u in op de ASA of FTD Command Line Interface (CLI), voert u de opdracht show aaa-server uit en onderzoekt u of er een ongebruikelijk aantal pogingen en afgewezen verificatieaanvragen is voor een van de geconfigureerde AAA-servers:

ciscoasa# show aaa-server

Server Group: LDAP-SERVER - - - - - >>>> Sprays against external server
Server Protocol: ldap
Server Hostname: ldap-server.example.com
Server Address: 10.10.10.10
Server port: 636
Server status: ACTIVE, Last transaction at unknown
Number of pending requests 0
Average round trip time 0ms
Number of authentication requests 2228536 - - - - - >>>> Unusual increments
Number of authorization requests 0
Number of accounting requests 0
Number of retransmissions 0
Number of accepts 1312
Number of rejects 2225363 - - - - - >>>> Unusual increments / Unusual rejection rate
Number of challenges 0
Number of malformed responses 0
Number of bad authenticators 0
Number of timeouts 1
Number of unrecognized responses 0 

 

Aanbevelingen

Terwijl er momenteel geen enkele oplossing is om het risico volledig te elimineren, kunt u de volgende aanbevolen praktijken herzien en toepassen, die zijn ontworpen om de waarschijnlijkheid van voorvallen te verminderen en de impact van deze brute-kracht aanvallen op uw RAVPN-verbindingen te verminderen.

1. Vastlegging inschakelen

Vastlegging is een cruciaal onderdeel van cyberbeveiliging waarbij gebeurtenissen in een systeem worden vastgelegd. De afwezigheid van gedetailleerde logboeken laat gaten in het begrip, wat een duidelijke analyse van de aanvalsmethode belemmert. Aanbevolen wordt om de logboekregistratie op een externe systeemserver mogelijk te maken voor een betere correlatie en controle van netwerk- en beveiligingsincidenten op verschillende netwerkapparaten.

Zie de volgende platformspecifieke handleidingen voor meer informatie over het configureren van het vastleggen:

 

Cisco ASA-software:

• Gebruikershandleiding voor Secure ASA Firewall
• Vastlegging hoofdstuk van de configuratiehandleiding voor Cisco Secure Firewall ASA Series General Operations CLI

 

Cisco FTD-software:

• Inloggen op FTD configureren via Firewall Management Center (FMC)
• Syslog-sectie configureren in het hoofdstuk Platform-instellingen van de configuratiehandleiding voor apparaten van Cisco Secure Firewall Management Center
• Syslog configureren en controleren in Firepower Device Manager
• Sectie Instellingen voor systeemvastlegging configureren in het hoofdstuk Systeeminstellingen van de Cisco Firepower Threat Defense Configuration Guide voor Firepower Device Manager

Opmerking: de syslogberichten-ID's die nodig zijn om de in dit document beschreven gedragingen te verifiëren (113015, 113005 & 716039), moeten op informatieniveau zijn ingeschakeld (6). Deze ID's vallen onder de 'auth'- en 'webvpn'-loglessen.

 

2. Pas harde maatregelen voor externe toegang tot VPN toe

Om de impact van deze aanvallen te verzachten, moet u de volgende verhardende maatregelen implementeren:

1. AAA-verificatie uitschakelen in de profielen DefaultWEBVPN en DefaultRAGroup Connection (stap voor stap: ASA | FTD beheerd door het VCC).
2. De beveiligde firewallhouding (Hostscan) van de DefaultWEBVPNG-groep en DefaultRAG-groep uitschakelen (stap voor stap: ASA | FTD beheerd door het VCC).
3. Groepsaliassen uitschakelen en Groep-URL's inschakelen in de rest van de verbindingsprofielen (stap voor stap: ASA | FTD beheerd door het VCC).

Opmerking: Als u ondersteuning nodig hebt met FTD die wordt beheerd via Local Firewall Device Management (FDM), neemt u contact op met het Technical Assistance Center (TAC) voor advies door experts.

 

Raadpleeg voor meer informatie de handleiding Implementatie van hardeningmaatregelen voor beveiligde client-AnyConnect VPN.

 

3. Blokverbindingspogingen uit kwaadaardige bronnen

Om pogingen tot verbinding met onbevoegde bronnen te verhinderen, kunt u de volgende opties implementeren:

 

Voer ACL’s op interfaceniveau uit

Voer een ACL-interface op interfaceniveau op de ASA/FTD uit om onbevoegde openbare IP-adressen te filteren en te voorkomen dat deze externe VPN-sessies initiëren.

Gebruik de opdracht "Shun"

Dit is een eenvoudige benadering van het blokkeren van een kwaadaardige IP, maar het moet handmatig worden gedaan. Lees de sectie Alternatieve configuratie om aanvallen voor beveiligde firewall te blokkeren met behulp van de 'shun'-opdracht voor meer informatie. 

Control-plane ACL configureren

Voer een besturings-vlakke ACL op de ASA/FTD uit om onbevoegde openbare IP-adressen te filteren en te voorkomen dat deze externe VPN-sessies initiëren. Configureer het beleid voor toegangscontrole van besturingsplane voor Secure Firewall Threat Defence en ASA.

Opmerking: Cisco Talos heeft een lijst gepubliceerd met IP-adressen en referenties die aan deze aanvallen zijn gekoppeld. Een link naar hun GitHub repository vindt u in de "IOCs" sectie van hun advies. Het is belangrijk om op te merken dat de bron IP adressen voor dit verkeer waarschijnlijk zullen veranderen, daarom, moet u de veiligheidslogboeken (syslog) herzien om de problematische IP adressen te identificeren. Na identificatie kunnen de drie opties worden gebruikt om ze te blokkeren.

 

Aanvullende geharde implementaties voor RAVPN

De aanbevelingen die tot nu toe zijn gedaan, hebben tot doel het risico en de impact van aanvallen op RAVPN-diensten te verminderen. U kunt echter aanvullende tegenmaatregelen overwegen die extra wijzigingen in uw implementaties vereisen om de beveiliging van uw implementatie van Remote Access VPN te verbeteren, zoals het invoeren van op certificaten gebaseerde verificatie voor RAVPN. Raadpleeg het document Implementatie van hardeningmaatregelen voor beveiligde client-AnyConnect VPN voor uitgebreide configuratiebegeleiding.

 

Aanvullende informatie

• Cisco ASA forensische onderzoeksprocedures voor eerste responders

• Cisco-forensische onderzoeksprocedures tegen vuurkracht-bedreigingsverdediging voor eerste transponders
• Cisco Talos Threat Advisory
• Voor extra hulp kunt u contact opnemen met het Technical Assistance Center (TAC). Er is een geldig ondersteuningscontract vereist: Cisco’s wereldwijde contactgegevens voor ondersteuning.