Recomendações contra ataques de borrifo de senha que afetam os serviços de VPN de acesso remoto

Introdução

Este documento descreve as recomendações a serem consideradas contra falhas de alocação de token de host no Secure Firewall, derivadas de ataques de borrifada de senha.

Informações de Apoio

Ao tentar estabelecer uma conexão RAVPN usando o Cisco Secure Client (AnyConnect), os usuários podem encontrar de forma intermitente uma mensagem de erro que indica "Não é possível concluir a conexão. Cisco Secure Desktop não instalado no cliente.". Esse comportamento normalmente ocorre quando há uma falha na alocação de um token de verificação de host pelo headend da VPN, um Cisco Secure Firewall Adaptive Security Appliance (ASA) ou Threat Defense (FTD). Notavelmente, essa falha de alocação correlaciona-se com casos de ataques de força bruta direcionados à infraestrutura do Secure Firewall e está sendo tratada atualmente com a máxima urgência sob a ID de bug Cisco CSCwj45822.

Comportamentos observados

Não é possível estabelecer conexões VPN com o Cisco Secure Client (AnyConnect) quando a postura do firewall (HostScan) está habilitada

Ao tentar estabelecer uma conexão VPN usando o Cisco Secure Client (AnyConnect), os usuários podem encontrar de forma intermitente uma mensagem de erro que diz: "Não é possível concluir a conexão. O Cisco Secure Desktop não está instalado no cliente." Esse problema impede a conclusão bem-sucedida do processo de conexão VPN.

 

 

Observação: esse comportamento específico ocorre somente quando a postura do firewall (HostScan) está habilitada no headend, independentemente da versão do Secure Client ou do AnyConnect usada.

 

Esgotamento do token de verificação de host

O headend da VPN Cisco Secure Firewall Adaptive Security Appliance (ASA) ou Threat Defense (FTD) mostra sintomas de falhas de alocação de token de verificação de host. Para verificar isso, execute o comando debug menu webvpn 187 0.

ASA# debug menu webvpn 187 0 
Allocated Hostscan token = 1000
Hostscan token allocate failure = xxx - - - - > Increments 

Observação: a ocorrência desse problema é uma consequência dos ataques. O assunto está sendo tratado com a máxima urgência sob a ID de bug da Cisco CSCwj45822.

 

Quantidade Incomum de Solicitações de Autenticação

O ponto inicial da VPN Cisco Secure Firewall ASA ou FTD mostra sintomas de ataques de spray de senha com 100 a milhares ou milhões de tentativas de autenticação rejeitadas. 

Observação: essas tentativas incomuns de autenticação podem ser direcionadas para o banco de dados LOCAL ou servidores de autenticação externos.

 

A melhor maneira de detectar isso é observando o syslog. Procure um número incomum de qualquer um dos próximos IDs de syslog do ASA:

 

• %ASA-6-113015

%ASA-6-113015: AAA user authentication Rejected : reason = User was not found : local database : user = admin : user IP = x.x.x.x

 

• %ASA-6-113005

%ASA-6-113005: AAA user authentication Rejected : reason = Unspecified : server = x.x.x.x : user = ***** : user IP = x.x.x.x

 

• %ASA-6-716039

%ASA-6-716039: Group <DfltGrpPolicy> User <admin> IP <x.x.x.x> Authentication: rejected, Session Type: WebVPN.

 

O nome de usuário está sempre oculto até que o comando no logging hide username seja configurado no ASA.

Observação: isso fornece informações sobre como verificar se usuários válidos são gerados ou conhecidos por IPs ofensivos. No entanto, tenha cuidado, pois os nomes de usuário estarão visíveis nos logs.

 

Para verificar, faça login no ASA ou na Interface de Linha de Comando (CLI) do FTD, execute o comando show aaa-server e investigue um número incomum de solicitações de autenticação tentadas e rejeitadas para qualquer um dos servidores AAA configurados:

ciscoasa# show aaa-server

Server Group: LDAP-SERVER - - - - - >>>> Sprays against external server
Server Protocol: ldap
Server Hostname: ldap-server.example.com
Server Address: 10.10.10.10
Server port: 636
Server status: ACTIVE, Last transaction at unknown
Number of pending requests 0
Average round trip time 0ms
Number of authentication requests 2228536 - - - - - >>>> Unusual increments
Number of authorization requests 0
Number of accounting requests 0
Number of retransmissions 0
Number of accepts 1312
Number of rejects 2225363 - - - - - >>>> Unusual increments / Unusual rejection rate
Number of challenges 0
Number of malformed responses 0
Number of bad authenticators 0
Number of timeouts 1
Number of unrecognized responses 0 

 

Recomendações

Embora atualmente não haja uma solução única para eliminar completamente o risco, você pode rever e aplicar as próximas práticas recomendadas, que são projetadas para ajudar a reduzir a probabilidade de ocorrência e diminuir o impacto desses ataques de força bruta sobre suas conexões RAVPN.

1. Habilitar Registro em Log

O registro é uma parte crucial da segurança digital que envolve o registro de eventos que ocorrem em um sistema. A ausência de registros detalhados deixa lacunas na compreensão, dificultando uma análise clara do método de ataque. É recomendável habilitar o registro em um servidor syslog remoto para melhorar a correlação e a auditoria de incidentes de rede e segurança em vários dispositivos de rede.

Para obter informações sobre como configurar o registro em log, consulte os próximos guias específicos de plataforma:

 

Software Cisco ASA:

• Use o guia para proteger o firewall ASA
• Capítulo Registro do Guia de configuração da CLI de operações gerais do Cisco Secure Firewall ASA Series

 

Software Cisco FTD:

• Configurar o registro no FTD através do Centro de gerenciamento de firewall (FMC)
• Seção Configurar Syslog no capítulo Configurações de plataforma do Guia de Configuração de Dispositivos do Cisco Secure Firewall Management Center
• Configurar e verificar o Syslog no Gerenciador de dispositivos do Firepower
• Seção Definição de configurações de registro do sistema no capítulo Configurações do sistema do Guia de configuração do Cisco Firepower Threat Defense para o Firepower Device Manager

Observação: os IDs de mensagem de syslog necessários para verificar os comportamentos descritos neste documento (113015, 113005 e 716039) devem ser habilitados no nível informativo (6). Essas IDs estão dentro das classes de log 'auth' e 'webvpn'.

 

2. Aplicar Medidas de Fortalecimento para VPN de Acesso Remoto

Para atenuar o impacto desses ataques, implemente as próximas medidas de proteção:

1. Desative a autenticação AAA nos perfis de conexão DefaultWEBVPN e DefaultRAGroup (passo a passo: ASA | FTD gerido pelo CVP).
2. Desative a postura de firewall seguro (Hostscan) do DefaultWEBVPNGroup e DefaultRAGroup (passo a passo: ASA | FTD gerido pelo CVP).
3. Desative os aliases de grupos e ative os URLs de grupos no restante dos perfis de conexão (passo a passo: ASA | FTD gerido pelo CVP).

Observação: se você precisar de suporte com o FTD gerenciado através do FDM (Firewall Device Management, gerenciamento de dispositivos de firewall) local, entre em contato com o TAC (Technical Assistance Center, centro de assistência técnica) para obter orientação especializada.

 

Para obter mais detalhes, consulte o guia Implementar medidas de proteção para Secure Client AnyConnect VPN.

 

3. Bloquear Tentativas de Conexão de Fontes Mal-Intencionadas

Para impedir tentativas de conexão de fontes não autorizadas, você pode implementar qualquer uma das opções listadas abaixo:

 

Implementar ACLs em nível de interface

Implemente uma ACL de nível de interface no ASA/FTD para filtrar endereços IP públicos não autorizados e impedi-los de iniciar sessões de VPN remotas.

Use o comando "shun"

Essa é uma abordagem direta para bloquear um IP mal-intencionado, no entanto, ela deve ser feita manualmente. Leia a seção Configuração alternativa para bloquear ataques para um firewall seguro usando o comando 'shun' para obter mais detalhes. 

Configurar a ACL do plano de controle

Implemente uma ACL de plano de controle no ASA/FTD para filtrar endereços IP públicos não autorizados e impedi-los de iniciar sessões de VPN remotas. Configure Políticas de Controle de Acesso de Plano de Controle para Secure Firewall Threat Defense e ASA.

Observação: o Cisco Talos publicou uma lista de endereços IP e credenciais associados a esses ataques. Um link para o repositório do GitHub pode ser encontrado na seção "IOCs" de seu consultivo. É importante observar que os endereços IP origem para esse tráfego provavelmente serão alterados, portanto, você deve revisar os registros de segurança (syslog) para identificar os endereços IP problemáticos. Após a identificação, qualquer uma das três opções pode ser usada para bloqueá-las.

 

Implementações adicionais de proteção para RAVPN

As recomendações apresentadas até agora têm como objetivo reduzir o risco e o impacto dos ataques nos serviços RAVPN. No entanto, você pode considerar contramedidas adicionais que exigem alterações adicionais em suas implantações para fortalecer a segurança da implantação da VPN de acesso remoto, como a adoção de autenticação baseada em certificado para RAVPN. Consulte o documento Implementar medidas de proteção para Secure Client AnyConnect VPN para obter orientações de configuração detalhadas.

 

Informações adicionais

• Procedimentos de investigação forense do Cisco ASA para socorristas

• Procedimentos de investigação forense do Cisco Firepower Threat Defense para socorristas
• Cisco Talos Threat Advisory
• Para obter assistência adicional, entre em contato com o Technical Assistance Center (TAC). É necessário um contrato de suporte válido: Cisco Worldwide Support Contacts.