Funcionalidade e configuração da detecção de ameaças do ASA
Contents
Introduction
Este documento descreve a funcionalidade e a configuração básica da característica Threat Detection do Cisco Adaptive Security Appliance (ASA). A detecção de ameaças fornece aos administradores de firewall as ferramentas necessárias para identificar, entender e interromper ataques antes que eles cheguem à infraestrutura de rede interna. Para isso, o recurso depende de vários acionadores e estatísticas diferentes, que são descritos em mais detalhes nessas seções.
A detecção de ameaças pode ser usada em qualquer firewall ASA que execute uma versão de software 8.0(2) ou posterior. Embora a detecção de ameaças não substitua uma solução dedicada IDS/IPS, ela pode ser usada em ambientes onde um IPS não está disponível para fornecer uma camada adicional de proteção à funcionalidade principal do ASA.
Funcionalidade de detecção de ameaças
O recurso de detecção de ameaças tem três componentes principais:
- Detecção básica de ameaças
- Detecção avançada de ameaças
- Verificando a detecção de ameaças
Cada um desses componentes é descrito em detalhes nessas seções.
Detecção básica de ameaças (taxas de nível do sistema)
A detecção básica de ameaças é habilitada por padrão em todos os ASAs com 8.0(2) e posterior.
A detecção básica de ameaças monitora as taxas de descarte de pacotes por vários motivos pelo ASA como um todo. Isso significa que as estatísticas geradas pela detecção básica de ameaças se aplicam somente a todo o dispositivo e geralmente não são suficientemente granulares para fornecer informações sobre a origem ou a natureza específica da ameaça. Em vez disso, o ASA monitora pacotes descartados para estes eventos:
- ACL Drop (acl-drop) - Os pacotes são negados pelas listas de acesso
- Pacotes defeituosos (queda de pacote incorreto) - Formatos de pacote inválidos, que incluem cabeçalhos L3 e L4 que não estão em conformidade com os padrões RFC
- Conn Limit (conn-limit-drop) - Pacotes que excedem um limite de conexão configurado ou global
- Ataque DoS (dos-drop) - Ataques de negação de serviço (DoS)
- Firewall (fw-drop) - Verificações básicas de segurança de firewall
- Ataque ICMP (icmp-drop) - Pacotes ICMP suspeitos
- Inspecionar (inspecionar ponto) - Negar por inspeção de aplicativo
- Interface (interface-drop) - Pacotes descartados por verificações de interface
- Varredura (ameaça de varredura) - ataques de varredura de rede/host
- Ataque SYN (ataque de sistema) - Ataques de sessão incompletos, que incluem ataques TCP SYN e sessões UDP unidirecionais que não têm dados de retorno
Cada um desses eventos tem um conjunto específico de disparadores usados para identificar a ameaça. A maioria dos disparadores está vinculada a motivos específicos de queda do ASP, embora determinados syslogs e ações de inspeção também sejam considerados. Alguns disparadores são monitorados por várias categorias de ameaça. Alguns dos gatilhos mais comuns estão descritos nesta tabela, embora não seja uma lista exaustiva:
| Ameaça básica | Motivo(s) de disparo/queda de ASP |
|---|---|
| acl-drop | acl-drop |
| bad-packet-drop | invalid-tcp-hdr-length invalid-ip-header inspect-dns-pak-too long inspect-dns-id-not-match |
| conn-limit-drop | limite de conn |
| dos-drop | sp-security-failed |
| fw-drop | inspect-icmp-seq-num-not-match inspect-dns-pak-too long inspect-dns-id-not-match sp-security-failed acl-drop |
| icmp-drop | inspect-icmp-seq-num-not-match |
| inspect-drop | Quedas de quadros disparadas por um mecanismo de inspeção |
| interface-drop | sp-security-failed no-route |
| ameaça de varredura | tcp-3whs-failed tcp-not-syn sp-security-failed acl-drop inspect-icmp-seq-num-not-match inspect-dns-pak-too long inspect-dns-id-not-match |
| ataque de SYN | %ASA-6-302014 syslog com motivo de encerramento de "tempo limite SYN" |
Para cada evento, a detecção básica de ameaças mede as taxas em que essas quedas ocorrem durante um período de tempo configurado. Esse período de tempo é chamado de intervalo de taxa média (ARI) e pode variar de 600 a 30 dias. Se o número de eventos que ocorrem dentro do ARI exceder os limites de taxa configurados, o ASA considerará esses eventos como uma ameaça.
A detecção básica de ameaças tem dois limiares configuráveis para quando considera os eventos uma ameaça: a taxa média e a taxa de intermitência. A taxa média é simplesmente o número médio de quedas por segundo no período de tempo do ARI configurado. Por exemplo, se o limite de taxa média para quedas de ACL estiver configurado para 400 com uma ARI de 600 segundos, o ASA calcula o número médio de pacotes que foram descartados por ACLs nos últimos 600 segundos. Se esse número for maior que 400 por segundo, o ASA registra uma ameaça.
Da mesma forma, a taxa de burst é muito semelhante, mas observa períodos menores de dados de snapshot, chamados de intervalo de taxa de burst (BRI). A BRI é sempre menor que a ARI. Por exemplo, com base no exemplo anterior, o ARI para quedas de ACL ainda é de 600 segundos e agora tem uma taxa de intermitência de 800. Com esses valores, o ASA calcula o número médio de pacotes descartados pelas ACLs nos últimos 20 segundos, onde 20 segundos é a BRI. Se esse valor calculado exceder 800 descartes por segundo, uma ameaça será registrada. Para determinar qual BRI é usada, o ASA calcula o valor de 1/30 do ARI. Portanto, no exemplo usado anteriormente, 1/30 de 600 segundos é 20 segundos. No entanto, a detecção de ameaças tem um BRI mínimo de 10 segundos, portanto, se 1/30 do ARI for menor que 10, o ASA ainda usará 10 segundos como BRI. Além disso, é importante observar que esse comportamento era diferente nas versões anteriores à 8.2(1), que usava um valor de 1/60 da ARI, em vez de 1/30. O BRI mínimo de 10 segundos é o mesmo para todas as versões de software.
Quando uma ameaça básica é detectada, o ASA simplesmente gera o syslog %ASA-4-733100 para alertar o administrador de que uma ameaça potencial foi identificada. O número médio, atual e total de eventos para cada categoria de ameaça pode ser visto com o comando show threat-detection rate. O número total de eventos cumulativos é a soma do número de eventos observados nas últimas 30 amostras de BRI.
A detecção básica de ameaças não toma nenhuma medida para interromper o tráfego ofensivo ou impedir ataques futuros. Nesse sentido, a detecção básica de ameaças é meramente informativa e pode ser usada como um mecanismo de monitoramento ou de relatório.
Detecção avançada de ameaças (estatísticas de nível de objeto e N superior)
Ao contrário da Detecção Básica de Ameaças, a Detecção Avançada de Ameaças pode ser usada para rastrear estatísticas de objetos mais granulares. O ASA suporta estatísticas de rastreamento para IPs de host, portas, protocolos, ACLs e servidores protegidos por interceptação TCP. A detecção avançada de ameaças só é ativada por padrão para estatísticas de ACL.
Para host, porta e objetos de protocolo, a Detecção de Ameaças controla o número de pacotes, bytes e descartes que foram enviados e recebidos por esse objeto em um período de tempo específico. Para ACLs, a Detecção de Ameaças controla as 10 ACEs principais (permitir e negar) que foram as mais atingidas em um período de tempo específico.
Os períodos de tempo rastreados em todos esses casos são de 20 minutos, 1 hora, 8 horas e 24 horas. Embora os períodos em si não sejam configuráveis, o número de períodos rastreados por objeto pode ser ajustado com a palavra-chave 'number-of-rate'. Consulte a seção Configuração para obter mais informações. Por exemplo, se 'number-of-rate' estiver definido como 2, você verá todas as estatísticas durante 20 minutos, 1 hora e 8 horas. se 'number-of-rate' estiver definido como 1, você verá todas as estatísticas por 20 minutos, 1 hora. Não importa o que aconteça, a taxa de 20 minutos é sempre exibida.
Quando a interceptação do TCP está ativada, a Detecção de Ameaças pode controlar os 10 principais servidores que são considerados como estando sob ataque e protegidos pela interceptação do TCP. As estatísticas da interceptação TCP são semelhantes à Detecção básica de ameaças, no sentido de que o usuário pode configurar o intervalo de taxa medido junto com taxas específicas de média (ARI) e intermitência (BRI). As estatísticas de detecção avançada de ameaças para interceptação TCP estão disponíveis somente no ASA 8.0(4) e posterior.
As estatísticas de detecção avançada de ameaças são visualizadas através dos comandos principais show threat-detection statistics e show threat-detection statistics. Esse também é o recurso responsável por preencher os gráficos "principais" no painel de firewall do ASDM. Os únicos syslogs gerados pela Detecção Avançada de Ameaças são %ASA-4-733104 e %ASA-4-733105, que são disparados quando as taxas média e de pico (respectivamente) são excedidas para as estatísticas de interceptação TCP.
Como a detecção básica de ameaças, a detecção avançada de ameaças é meramente informativa. Não são tomadas ações para bloquear o tráfego com base nas estatísticas da Detecção de Ameaças Avançada.
Verificando a detecção de ameaças
A verificação da detecção de ameaças é usada para controlar os invasores suspeitos que criam conexões com muitos hosts em uma sub-rede ou com muitas portas em um host/sub-rede. A verificação da detecção de ameaças está desativada por padrão.
A verificação da detecção de ameaças baseia-se no conceito de detecção básica de ameaças, que já define uma categoria de ameaça para um ataque de varredura. Portanto, as configurações de intervalo de taxa, taxa média (ARI) e taxa de burst (BRI) são compartilhadas entre Detecção básica e Detecção de ameaças de varredura. A diferença entre os dois recursos é que, embora a Detecção Básica de Ameaças indique apenas que os limiares de taxa média ou de intermitência foram ultrapassados, a Detecção de Ameaças de Análise mantém um banco de dados de endereços IP de atacante e de destino que pode ajudar a fornecer mais contexto em torno dos hosts envolvidos na análise. Além disso, somente o tráfego que é realmente recebido pelo host/sub-rede de destino é considerado pela Detecção de Ameaças de Verificação. A detecção básica de ameaças ainda pode disparar uma ameaça de verificação mesmo se o tráfego for descartado por uma ACL.
A verificação da detecção de ameaças pode, opcionalmente, reagir a um ataque desligando o IP do invasor. Isso torna a verificação da detecção de ameaças o único subconjunto do recurso de detecção de ameaças que pode afetar ativamente as conexões através do ASA.
Quando a Detecção de Ameaças de Análise detecta um ataque, o %ASA-4-733101 é registrado para os IPs do atacante e/ou destino. Se a funcionalidade estiver configurada para destruir o atacante, o %ASA-4-733102 é registrado quando a Detecção de Ameaças de Análise gera um shun. %ASA-4-733103 é registrado quando o shun é removido. O comando show threat-detection scan-threat pode ser usado para visualizar todo o banco de dados de ameaças de varredura.
Limitações
- A detecção de ameaças só está disponível no ASA 8.0(2) e posterior. Ele não é suportado na plataforma ASA 1000V.
- A detecção de ameaças só é suportada em modo de contexto único.
- Somente ameaças prontas para uso são detectadas. O tráfego enviado para o próprio ASA não é considerado pela detecção de ameaças.
- As tentativas de conexão TCP que são redefinidas pelo servidor de destino não são contadas como um ataque SYN ou ameaça de Varredura.
Configuração
Detecção básica de ameaças
A Detecção básica de ameaças é ativada com o comando detecção de ameaças básica de ameaças.
ciscoasa(config)# threat-detection basic-threat
As taxas padrão podem ser visualizadas com o comando show run all threat-detection.
ciscoasa(config)# show run all threat-detection
threat-detection rate dos-drop rate-interval 600 average-rate 100 burst-rate 400
threat-detection rate dos-drop rate-interval 3600 average-rate 80 burst-rate 320
threat-detection rate bad-packet-drop rate-interval 600 average-rate 100 burst-rate 400
threat-detection rate bad-packet-drop rate-interval 3600 average-rate 80 burst-rate 320
threat-detection rate acl-drop rate-interval 600 average-rate 400 burst-rate 800
threat-detection rate acl-drop rate-interval 3600 average-rate 320 burst-rate 640
threat-detection rate conn-limit-drop rate-interval 600 average-rate 100 burst-rate 400
threat-detection rate conn-limit-drop rate-interval 3600 average-rate 80 burst-rate 320
threat-detection rate icmp-drop rate-interval 600 average-rate 100 burst-rate 400
threat-detection rate icmp-drop rate-interval 3600 average-rate 80 burst-rate 320
threat-detection rate scanning-threat rate-interval 600 average-rate 5 burst-rate 10
threat-detection rate scanning-threat rate-interval 3600 average-rate 4 burst-rate 8
threat-detection rate syn-attack rate-interval 600 average-rate 100 burst-rate 200
threat-detection rate syn-attack rate-interval 3600 average-rate 80 burst-rate 160
threat-detection rate fw-drop rate-interval 600 average-rate 400 burst-rate 1600
threat-detection rate fw-drop rate-interval 3600 average-rate 320 burst-rate 1280
threat-detection rate inspect-drop rate-interval 600 average-rate 400 burst-rate 1600
threat-detection rate inspect-drop rate-interval 3600 average-rate 320 burst-rate 1280
threat-detection rate interface-drop rate-interval 600 average-rate 2000 burst-rate 8000
threat-detection rate interface-drop rate-interval 3600 average-rate 1600 burst-rate 6400
Para ajustar essas taxas com valores personalizados, basta reconfigurar o comando de taxa de detecção de ameaças para a categoria de ameaça apropriada.
ciscoasa(config)# threat-detection rate acl-drop rate-interval 1200 average-rate 250 burst-rate 550
Cada categoria de ameaça pode ter um máximo de 3 taxas diferentes definidas (com IDs de taxa 1, taxa 2 e taxa 3). A ID de taxa específica que foi excedida é referenciada no syslog %ASA-4-733100.
No exemplo anterior, a detecção de ameaças cria o syslog 733100 somente quando o número de quedas de ACL excede 250 quedas/segundos em 1200 segundos ou 550 quedas/segundos em 40 segundos.
Detecção avançada de ameaças
Use o comando de estatísticas de detecção de ameaças para ativar a Detecção avançada de ameaças. Se nenhuma palavra-chave de recurso específico for fornecida, o comando ativará o rastreamento para todas as estatísticas.
ciscoasa(config)# threat-detection statistics ?
configure mode commands/options:
access-list Keyword to specify access-list statistics
host Keyword to specify IP statistics
port Keyword to specify port statistics
protocol Keyword to specify protocol statistics
tcp-intercept Trace tcp intercept statistics
<cr>
Para configurar o número de intervalos de taxa que são rastreados para estatísticas de host, porta, protocolo ou ACL, use a palavra-chave number-of-rate.
ciscoasa(config)# threat-detection statistics host number-of-rate 2
A palavra-chave number-of-rate configura a detecção de ameaças para controlar apenas o menor n de intervalos.
Para habilitar as estatísticas de interceptação TCP, use o comando threat-detection statistics tcp-intercept.
ciscoasa(config)# threat-detection statistics tcp-intercept
Para configurar as taxas personalizadas para estatísticas de interceptação TCP, use as palavras-chave rate-interval, média-rate e burst-rate.
ciscoasa(config)# threat-detection statistics tcp-intercept rate-interval 45
burst-rate 400 average-rate 100
Verificando a detecção de ameaças
Para habilitar a Detecção de ameaças de verificação, use o comando de detecção de ameaça de varredura.
ciscoasa(config)# threat-detection scanning-threat
Para ajustar as taxas de uma ameaça de verificação, use o mesmo comando de taxa de detecção de ameaça usado pela Detecção Básica de Ameaças.
ciscoasa(config)# threat-detection rate scanning-threat rate-interval 1200 average-rate 250 burst-rate 550
Para permitir que o ASA execute um IP do invasor de verificação, adicione a palavra-chave shun ao comando detecção de ameaça de varredura.
ciscoasa(config)# threat-detection scanning-threat shun
Isso permite que a detecção de ameaças de varredura crie um shun de uma hora para o invasor. Para ajustar a duração do shun, use o comando threat-detection scan-threat shun duration.
ciscoasa(config)# threat-detection scanning-threat shun duration 1000
Em alguns casos, talvez você ainda queira impedir que o ASA desative certos IPs. Para fazer isso, crie uma exceção com o comando de detecção de ameaça de detecção de ameaças shun exceto.
ciscoasa(config)# threat-detection scanning-threat shun except ip-address 10.1.1.1 255.255.255.255
ciscoasa(config)# threat-detection scanning-threat shun except object-group no-shun
Desempenho
A detecção básica de ameaças tem muito pouco impacto no desempenho do ASA. O Advanced and Scanning Threat Detection (Detecção avançada e de varredura de ameaças) exige muito mais recursos, pois eles precisam acompanhar várias estatísticas na memória. Somente a verificação da detecção de ameaças com a função shun habilitada pode afetar ativamente o tráfego que, de outra forma, teria sido permitido.
À medida que as versões do software ASA progrediram, a utilização de memória da detecção de ameaças foi significativamente otimizada. No entanto, deve-se tomar cuidado para monitorar a utilização de memória do ASA antes e depois que a detecção de ameaças for habilitada. Em alguns casos, talvez seja melhor habilitar apenas determinadas estatísticas (por exemplo, estatísticas de host) temporariamente enquanto soluciona um problema específico ativamente.
Para obter uma visão mais detalhada do uso de memória da detecção de ameaças, execute o comando show memory app-cache threat-detection [detail].
Ações recomendadas
Estas seções fornecem algumas recomendações gerais para ações que podem ser tomadas quando ocorrem vários eventos relacionados à detecção de ameaças.
Quando uma taxa de queda básica é excedida e %ASA-4-733100 é gerado
Determine a categoria de ameaça específica mencionada no syslog %ASA-4-733100 e correlacione isso com a saída de show threat-detection rate. Com essas informações, verifique a saída de show asp drop para determinar os motivos pelos quais o tráfego está sendo descartado.
Para obter uma visão mais detalhada do tráfego que é descartado por um motivo específico, use uma captura de queda de ASP com o motivo em questão para ver todos os pacotes que estão sendo descartados. Por exemplo, se as ameaças de queda de ACL estiverem sendo registradas, capture no ASP o motivo da queda de acl-drop:
ciscoasa# capture drop type asp-drop acl-drop
ciscoasa# show capture drop
1 packet captured
1: 18:03:00.205189 10.10.10.10.60670 > 192.168.1.100.53: udp 34 Drop-reason:
(acl-drop) Flow is denied by configured rule
Essa captura mostra que o pacote que está sendo descartado é um pacote UDP/53 de 10.10.10.10 a 192.168.1.100.
Se o %ASA-4-733100 relatar uma ameaça de Varredura, também pode ser útil habilitar temporariamente a Detecção de Ameaça de Varredura. Isso permite que o ASA controle os IPs de origem e de destino envolvidos no ataque.
Como a Detecção Básica de Ameaças monitora principalmente o tráfego que já está sendo descartado pelo ASP, nenhuma ação direta é necessária para interromper uma ameaça potencial. As exceções a isso são ataques SYN e ameaças de varredura, que envolvem tráfego que passa pelo ASA.
Se as quedas vistas na captura de queda do ASP forem legítimas e/ou esperadas para o ambiente de rede, ajuste os intervalos básicos de taxa para um valor mais apropriado.
Se as quedas mostrarem tráfego ilegítimo, ações devem ser tomadas para bloquear ou limitar a taxa do tráfego antes que ele atinja o ASA. Isso pode incluir ACLs e QoS em dispositivos upstream.
Para ataques SYN, o tráfego pode ser bloqueado em uma ACL no ASA. A interceptação do TCP também pode ser configurada para proteger os servidores de destino, mas isso pode simplesmente resultar em uma ameaça de limite de conexão sendo registrada.
Para ameaças de verificação, o tráfego também pode ser bloqueado em uma ACL no ASA. A verificação da detecção de ameaças com a opção shun pode ser habilitada para permitir que o ASA bloqueie proativamente todos os pacotes do invasor por um período definido.
Quando uma ameaça de verificação é detectada e o %ASA-4-733101 é registrado
%ASA-4-733101 deve listar o host/sub-rede de destino ou o endereço IP do invasor. Para obter a lista completa de alvos e invasores, verifique a saída de show threat-detection scan-threat.
As capturas de pacotes nas interfaces dos ASAs enfrentadas pelo invasor e/ou destino(s) também podem ajudar a esclarecer a natureza do ataque.
Se a verificação detectada não for esperada, devem ser tomadas ações para bloquear ou limitar a taxa do tráfego antes que ele atinja o ASA. Isso pode incluir ACLs e QoS em dispositivos upstream. Adicionar a opção shun à configuração Detecção de Ameaças de Varredura também pode permitir que o ASA descarte proativamente todos os pacotes do IP do invasor por um período definido. Como último recurso, o tráfego também pode ser bloqueado manualmente no ASA por meio de uma política de interceptação de ACL ou TCP.
Se a verificação detectada for um falso positivo, ajuste os intervalos da taxa de ameaça de verificação para um valor mais apropriado para o ambiente de rede.
Quando um invasor é desligado e o %ASA-4-733102 é registrado
O %ASA-4-733102 lista o endereço IP do invasor desconectado. Use o comando show threat-detection shun para exibir uma lista completa de invasores que foram descobertos especificamente pela detecção de ameaças. Use o comando show shun para exibir a lista completa de todos os IPs que estão sendo enviados ativamente pelo ASA (inclusive de fontes diferentes da detecção de ameaças).
Se o shun fizer parte de um ataque legítimo, nenhuma ação adicional será necessária. No entanto, seria útil bloquear manualmente o tráfego do invasor até o upstream mais distante em relação à origem. Isso pode ser feito através de ACLs e QoS. Isso garante que os dispositivos intermediários não precisem desperdiçar recursos processando tráfego ilegítimo.
Se a ameaça de Varredura que disparou o shun foi um falso positivo, remova manualmente o shun com o comando clear threat-detection shun [IP_address].
Quando %ASA-4-733104 e/ou %ASA-4-733105 está conectado
O %ASA-4-733104 e o %ASA-4-733105 listam o host alvo do ataque que está sendo protegido atualmente pela interceptação TCP. Para obter mais detalhes sobre as taxas de ataque e os servidores protegidos, verifique a saída de show threat-detection top tcp-intercept.
ciscoasa# show threat-detection statistics top tcp-intercept
Top 10 protected servers under attack (sorted by average rate)
Monitoring window size: 30 mins Sampling interval: 30 secs
----------------------------------------------------------------------------------
1 192.168.1.2:5000 inside 1249 9503 2249245 Last: 10.0.0.3 (0 secs ago)
2 192.168.1.3:5000 inside 10 10 6080 10.0.0.200 (0 secs ago)
3 192.168.1.4:5000 inside 2 6 560 10.0.0.200 (59 secs ago)
4 192.168.1.5:5000 inside 1 5 560 10.0.0.200 (59 secs ago)
5 192.168.1.6:5000 inside 1 4 560 10.0.0.200 (59 secs ago)
6 192.168.1.7:5000 inside 0 3 560 10.0.0.200 (59 secs ago)
7 192.168.1.8:5000 inside 0 2 560 10.0.0.200 (59 secs ago)
8 192.168.1.9:5000 inside 0 1 560 10.0.0.200 (59 secs ago)
9 192.168.1.10:5000 inside 0 0 550 10.0.0.200 (2 mins ago)
10 192.168.1.11:5000 inside 0 0 550 10.0.0.200 (5 mins ago)
Quando a Detecção Avançada de Ameaças detecta um ataque dessa natureza, o ASA já está protegendo o servidor de destino através da interceptação TCP. Verifique os limites de conexão configurados para garantir que eles forneçam proteção adequada para a natureza e a taxa do ataque. Além disso, seria útil bloquear manualmente o tráfego do invasor o mais longe possível na direção da origem. Isso pode ser feito através de ACLs e QoS. Isso garante que os dispositivos intermediários não precisem desperdiçar recursos processando tráfego ilegítimo.
Se o ataque detectado for falso positivo, ajuste as taxas de um ataque de interceptação TCP para um valor mais apropriado com o comando tcp-intercept statistics de detecção de ameaças.
Como disparar manualmente uma ameaça
Para fins de teste e solução de problemas, pode ser útil disparar várias ameaças manualmente. Esta seção contém dicas para acionar alguns tipos de ameaça comuns.
Ameaça básica - queda da ACL, firewall e verificação
Para disparar uma ameaça básica específica, consulte a tabela na seção Funcionalidade anterior. Escolha um motivo de queda de ASP específico e envie o tráfego através do ASA que seria descartado pelo motivo de queda de ASP apropriado.
Por exemplo, as ameaças de queda de ACL, firewall e varredura consideram a taxa de pacotes que estão sendo descartados por acl-drop. Conclua estes passos para disparar essas ameaças simultaneamente:
- Crie uma ACL na interface externa do ASA que descarte explicitamente todos os pacotes TCP enviados a um servidor de destino no interior do ASA (10.11.11.11):
access-list outside_in extended line 1 deny tcp any host 10.11.11.11
access-list outside_in extended permit ip any any
access-group outside_in in interface outside - De um invasor na parte externa do ASA (10.10.10.10), use o nmap para executar uma verificação TCP SYN em cada porta do servidor de destino:
nmap -sS -T5 -p1-65535 -Pn 10.11.11.11
- Observe que ameaças básicas são detectadas para queda de ACL, firewall e ameaças de varredura:
%ASA-1-733100: [ Scanning] drop rate-1 exceeded. Current burst rate is 19 per second,
max configured rate is 10; Current average rate is 9 per second,
max configured rate is 5; Cumulative total count is 5538
%ASA-1-733100: [ ACL drop] drop rate-1 exceeded. Current burst rate is 19 per second,
max configured rate is 0; Current average rate is 2 per second,
max configured rate is 0; Cumulative total count is 1472
%ASA-1-733100: [ Firewall] drop rate-1 exceeded. Current burst rate is 18 per second,
max configured rate is 0; Current average rate is 2 per second,
max configured rate is 0; Cumulative total count is 1483
Ameaça avançada - Interceptação TCP
- Crie uma ACL na interface externa que permita todos os pacotes TCP enviados a um servidor de destino no interior do ASA (10.11.11.11):
access-list outside_in extended line 1 permit tcp any host 10.11.11.11
access-group outside_in in interface outside - Se o servidor de destino não existir de fato ou redefinir as tentativas de conexão do invasor, configure uma entrada ARP falsa no ASA para furar o tráfego de ataque da interface interna:
arp inside 10.11.11.11 dead.dead.dead
- Crie uma política de interceptação TCP simples no ASA:
access-list tcp extended permit tcp any any
class-map tcp
match access-list tcp
policy-map global_policy
class tcp
set connection conn-max 2
service-policy global_policy globalDe um invasor na parte externa do ASA (10.10.10.10), use o nmap para executar uma verificação TCP SYN em todas as portas do servidor de destino:
nmap -sS -T5 -p1-65535 -Pn 10.11.11.11
Observe que a detecção de ameaças rastreia o servidor protegido:
ciscoasa(config)# show threat-detection statistics top tcp-intercept
Top 10 protected servers under attack (sorted by average rate)
Monitoring window size: 30 mins Sampling interval: 30 secs
--------------------------------------------------------------------------------
1 10.11.11.11:18589 outside 0 0 1 10.10.10.10 (36 secs ago)
2 10.11.11.11:47724 outside 0 0 1 10.10.10.10 (36 secs ago)
3 10.11.11.11:46126 outside 0 0 1 Last: 10.10.10.10 (6 secs ago)
4 10.11.11.11:3695 outside 0 0 1 Last: 10.10.10.10 (6 secs ago)
Verificando a ameaça
- Crie uma ACL na interface externa que permita todos os pacotes TCP enviados a um servidor de destino no interior do ASA (10.11.11.11):
access-list outside_in extended line 1 permit tcp any host 10.11.11.11
access-group outside_in in interface outside - Se o servidor de destino não existir de fato ou redefinir as tentativas de conexão do invasor, configure uma entrada ARP falsa no ASA para furar o tráfego de ataque da interface interna:
arp inside 10.11.11.11 dead.dead.dead
- De um invasor na parte externa do ASA (10.10.10.10), use o nmap para executar uma verificação TCP SYN em todas as portas do servidor de destino:
nmap -sS -T5 -p1-65535 -Pn 10.11.11.11
- Observe que uma ameaça de verificação é detectada, o IP do invasor é rastreado e o invasor é desligado:
%ASA-1-733100: [ Scanning] drop rate-1 exceeded. Current burst rate is 17 per second,
max configured rate is 10; Current average rate is 0 per second,
max configured rate is 5; Cumulative total count is 404
%ASA-4-733101: Host 10.10.10.10 is attacking. Current burst rate is 17 per second,
max configured rate is 10; Current average rate is 0 per second,
max configured rate is 5; Cumulative total count is 700
%ASA-4-733102: Threat-detection adds host 10.10.10.10 to shun list
Informações Relacionadas
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
1.0 |
06-Jul-2015 |
Versão inicial |
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)