针对影响远程访问VPN服务的密码喷雾攻击的建议

简介

本文档介绍针对源自密码喷雾攻击的安全防火墙中的hostcan令牌分配故障需要考虑的建议。

背景信息

当尝试使用Cisco安全客户端(AnyConnect)建立RAVPN连接时，用户可能会间歇性地遇到如下错误消息：“Unable to complete connection.Cisco Secure Desktop not installed on the client.”。当VPN头端（思科安全防火墙自适应安全设备[ASA]或威胁防御[FTD]）无法分配hostscan令牌时，通常会发生此行为。特别要注意的是，此分配故障与以安全防火墙基础设施为目标的暴力攻击实例相关，目前正在以思科漏洞ID CSCwj45822下的最紧急问题紧急处理。

观察到的行为

启用防火墙状态(HostScan)时，无法与思科安全客户端(AnyConnect)建立VPN连接

尝试使用思科安全客户端(AnyConnect)建立VPN连接时，用户可能会间歇性地遇到如下错误消息：“Unable to complete connection.客户端上未安装Cisco Secure Desktop。" 此问题会阻碍VPN连接过程的成功完成。

 

 

注意：仅当在头端启用防火墙状态(HostScan)时，才会发生此特定行为，无论使用的是安全客户端版本还是AnyConnect版本。

 

Hostscan令牌耗尽

VPN头端思科安全防火墙自适应安全设备(ASA)或威胁防御(FTD)显示hostscan令牌分配失败的症状。要进行验证，请运行debug menu webvpn 187 0命令。

ASA# debug menu webvpn 187 0 
Allocated Hostscan token = 1000
Hostscan token allocate failure = xxx - - - - > Increments 

注意：此问题的发生是攻击的结果。目前，此问题正在思科漏洞ID CSCwj45822下紧急解决。

 

异常数量的身份验证请求

VPN头端Cisco安全防火墙ASA或FTD显示10万次或数百万次身份验证尝试被拒绝的密码喷雾攻击症状。 

注意：这些不寻常的身份验证尝试可能会定向到本地数据库或外部身份验证服务器。

 

检测此情况的最佳方式是查看系统日志。查找任意数量下一个ASA系统日志ID：

 

• %ASA-6-113015

%ASA-6-113015: AAA user authentication Rejected : reason = User was not found : local database : user = admin : user IP = x.x.x.x

 

• %ASA-6-113005

%ASA-6-113005: AAA user authentication Rejected : reason = Unspecified : server = x.x.x.x : user = ***** : user IP = x.x.x.x

 

• %ASA-6-716039

%ASA-6-716039: Group <DfltGrpPolicy> User <admin> IP <x.x.x.x> Authentication: rejected, Session Type: WebVPN.

 

在ASA上配置no logging hide username命令之前，用户名始终处于隐藏状态。

注意：这可以让您深入了解验证是否生成了有效的用户，或是否由违规的IP所知，但请谨慎操作，因为用户名会在日志中显示。

 

要进行验证，请登录ASA或FTD命令行界面(CLI)，运行show aaa-server命令，并调查向任何已配置AAA服务器发出的尝试的和拒绝的身份验证请求的不寻常数量：

ciscoasa# show aaa-server

Server Group: LDAP-SERVER - - - - - >>>> Sprays against external server
Server Protocol: ldap
Server Hostname: ldap-server.example.com
Server Address: 10.10.10.10
Server port: 636
Server status: ACTIVE, Last transaction at unknown
Number of pending requests 0
Average round trip time 0ms
Number of authentication requests 2228536 - - - - - >>>> Unusual increments
Number of authorization requests 0
Number of accounting requests 0
Number of retransmissions 0
Number of accepts 1312
Number of rejects 2225363 - - - - - >>>> Unusual increments / Unusual rejection rate
Number of challenges 0
Number of malformed responses 0
Number of bad authenticators 0
Number of timeouts 1
Number of unrecognized responses 0 

 

建议

虽然目前没有可完全消除此风险的单一解决方案，但您可以查看并应用推荐的后续实践，这些实践旨在帮助降低发生此类攻击的可能性并减轻这些暴力攻击对RAVPN连接的影响。

1. 启用日志记录

日志记录是网络安全的重要组成部分，涉及记录系统中发生的事件。由于缺乏详细的日志，在了解方面仍存在差距，阻碍了攻击方法的明确分析。建议您启用远程系统日志服务器日志记录，以改进跨各种网络设备的网络和安全事件的关联和审核。

有关如何配置日志记录的信息，请参阅以下平台特定指南：

 

Cisco ASA软件：

• 安全ASA防火墙使用指南
• Cisco安全防火墙ASA系列常规操作CLI配置指南中的日志记录一章

 

思科FTD软件：

• 通过防火墙管理中心(FMC)配置FTD登录
• Cisco Secure Firewall Management Center Device Configuration Guide的Platform Settings一章中的Configure Syslog部分
• 配置并验证Firepower设备管理器中的系统日志
• 配置系统日志记录设置部分（适用于Firepower设备管理器的Cisco Firepower威胁防御配置指南的系统设置章节中）

注意：验证本文档中概述的行为所必需的系统日志消息ID(113015、113005和716039)必须在信息级别(6)启用。这些ID属于“auth”和“webvpn”日志记录类。

 

2. 对远程访问VPN应用强化措施

要减轻这些攻击的影响，请实施以下强化措施：

1. 禁用DefaultWEBVPN和DefaultRAGroup连接配置文件中的AAA身份验证(分步：ASA) | FTD由FMC管理)。
2. 从DefaultWEBVPNGroup和DefaultRAGroup禁用安全防火墙状态(Hostscan)(分步：ASA) | FTD由FMC管理)。
3. 禁用组别名并在其余连接配置文件中启用组URL(分步：ASA | FTD由FMC管理)。

注意：如果需要通过本地防火墙设备管理(FDM)管理的FTD的支持，请联系技术支持中心(TAC)以获取专家指导。

 

有关详细信息，请参阅安全客户端AnyConnect VPN实施强化措施指南。

 

3. 阻止来自恶意源的连接尝试

为了阻止来自未授权源的连接尝试，您可以实施下列任一选项：

 

实施接口级ACL

在ASA/FTD上实施接口级ACL以过滤未授权的公共IP地址并防止其启动远程VPN会话。

使用“shun”命令

这是阻止恶意IP的简单方法，但必须手动完成。有关更多详细信息，请阅读使用“shun”命令阻止安全防火墙攻击的备用配置部分。 

配置控制平面ACL

在ASA/FTD上实施控制平面ACL以过滤未授权的公共IP地址并防止其启动远程VPN会话。 配置安全防火墙威胁防御和ASA的控制平面访问控制策略。

注意：思科Talos已发布与这些攻击相关的IP地址和凭证列表。有关其GitHub存储库的链接，请参阅其建议的“IOC”部分。请务必注意，此流量的源IP地址可能会更改，因此，您必须查看安全日志(syslog)以确定有问题的IP地址。识别后，可以使用上述3种选项中的任何一种来阻止它们。

 

RAVPN的其他强化实施

迄今提出的建议旨在降低攻击对RAVPN服务的风险和影响。但是，您可以考虑需要对部署进行额外更改以强化远程访问VPN部署安全性的其他对策，例如对RAVPN采用基于证书的身份验证。有关详细的配置指南，请参阅安全客户端AnyConnect VPN实施强化措施文档。

 

其他信息

• 针对急救人员的Cisco ASA调查分析调查程序

• 面向急救人员的Cisco Firepower威胁防御调查程序
• Cisco Talos威胁建议
• 如需其他帮助，请联系技术支持中心(TAC)。需要有效的支持合同：思科全球支持联系人。