针对针对安全防火墙中远程访问VPN服务的密码喷雾攻击的建议

下载选项

  • PDF     (434.9 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (107.6 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (86.8 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2024 年 10 月 26 日
文档 ID:221806

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍针对针对安全防火墙中远程访问VPN服务的密码喷雾攻击所考虑的建议。

    背景信息

    密码喷雾攻击是一种暴力攻击,攻击者试图通过系统地尝试多个帐户中的几个常用密码来未经授权访问多个用户帐户。成功的密码喷雾攻击会导致对敏感信息的未经授权访问、数据泄露以及网络完整性受到潜在威胁

    此外,即使这些攻击尝试访问失败,它们也会消耗来自安全防火墙的计算资源,并阻止有效用户连接到远程访问VPN服务。

    观察到的行为

    当您的安全防火墙成为远程访问VPN服务中的密码喷雾攻击的目标时,您可以通过监控系统日志和使用特定的show命令来识别这些攻击。要查找的最常见行为包括:

    被拒绝的身份验证请求数量异常

    VPN头端Cisco安全防火墙ASA或FTD显示密码喷雾攻击的症状,以及不寻常的拒绝身份验证尝试率。 

    注意:这些不寻常的身份验证尝试可定向到LOCAL数据库或外部身份验证服务器。

    检测此情况的最佳方法是查看系统日志。查找任何下一个ASA系统日志ID的异常数量:

    • %ASA-6-113015
    %ASA-6-113015: AAA user authentication Rejected : reason = User was not found : local database : user = admin : user IP = x.x.x.x

    • %ASA-6-113005
    %ASA-6-113005: AAA user authentication Rejected : reason = Unspecified : server = x.x.x.x : user = ***** : user IP = x.x.x.x

    • %ASA-6-716039
    %ASA-6-716039: Group <DfltGrpPolicy> User <admin> IP <x.x.x.x> Authentication: rejected, Session Type: WebVPN.

    在ASA上配置no logging hide username命令之前,用户名始终处于隐藏状态。

    注意:这样可以验证是否生成了有效的用户,或者是否通过违规的IP获知有效的用户。但是,请谨慎操作,因为用户名会显示在日志中。

    要验证,请登录到ASA或FTD命令行界面(CLI),运行show aaa-server命令,并调查尝试和拒绝的到任何已配置AAA服务器的身份验证请求的不寻常数量:

    ciscoasa# show aaa-server

    Server Group: LDAP-SERVER - - - - - >>>> Sprays against external server
    Server Protocol: ldap
    Server Hostname: ldap-server.example.com
    Server Address: 10.10.10.10
    Server port: 636
    Server status: ACTIVE, Last transaction at unknown
    Number of pending requests 0
    Average round trip time 0ms
    Number of authentication requests 2228536 - - - - - >>>> Unusual increments
    Number of authorization requests 0
    Number of accounting requests 0
    Number of retransmissions 0
    Number of accepts 1312
    Number of rejects 2225363 - - - - - >>>> Unusual increments / Unusual rejection rate
    Number of challenges 0
    Number of malformed responses 0
    Number of bad authenticators 0
    Number of timeouts 1
    Number of unrecognized responses 0 

    建议

    考虑并应用下面描述的建议。

    1.启用日志记录。

    日志记录是网络安全的重要组成部分,涉及记录系统中发生的事件。由于没有详细的日志,在理解方面仍存在差距,妨碍了对攻击方法的清晰分析。建议您启用远程系统日志服务器的日志记录,以改进跨各种网络设备的网络和安全事件的关联和审核。

    有关如何配置日志记录的信息,请参阅以下特定于平台的指南:

    Cisco ASA软件:

    思科FTD软件:

    意:验证本文档中概述的行为(113015、113005和716039)所需的系统日志消息ID必须在信息级别(6)上启用。 这些ID属于“auth”和“webvpn”日志记录类。

    2.配置远程访问VPN的威胁检测功能或强化措施。

    为了帮助减轻这些暴力攻击对RAVPN连接的影响并降低发生这种攻击的可能性,您可以查看并应用以下配置选项:

    选项1(推荐):为远程访问VPN服务配置威胁检测。

    针对远程访问VPN服务的威胁检测功能通过自动阻止超过配置阈值的主机(IP地址)来阻止来自IPv4地址的拒绝服务(DoS)攻击,从而阻止进一步的尝试,直到您手动删除IP地址的避开为止。有单独的服务可用于以下类型的攻击:

    • 对远程访问VPN服务的身份验证尝试反复失败(暴力用户名/密码扫描攻击)。
    • 客户端发起攻击,攻击者从单个主机开始尝试远程访问VPN头端连接,但尝试未完成。
    • 连接尝试无效的远程访问VPN服务。也就是说,当攻击者尝试连接到仅用于设备内部运行的特定内置隧道组时。合法终端不应尝试连接到这些隧道组。

    以下列出的思科安全防火墙版本当前支持这些威胁检测功能:

    ASA软件:

    • 9.16版本系列->从9.16(4)67及此特定系列中的更新版本支持。
    • 9.17版本系列->支持9.17(1)45及此特定系列中的更新版本。
    • 9.18版本系列->支持9.18(4)40及此特定系列中的更新版本。
    • 9.19版本系列->从9.19(1)。37及此特定系列中的更新版本支持。
    • 9.20版本系列->支持9.20(3)和此特定系列中的更新版本。
    • 9.22版本系列->从9.22(1.1)及任何更新版本支持。

    FTD软件:

    • 7.0版本系列->支持7.0.6.3及此特定系列中的更新版本。
    • 7.2版本系列->支持7.2.9及此特定系列中的更新版本。
    • 7.4版本系列->支持7.4.2.1及此特定系列中的更新版本。
    • 7.6版本系列->从7.6.0及任何更新版本中受支持。

    注意:这些功能目前在版本7.1或7.3系列中不受支持

    有关完整的详细信息和配置指南,请参阅以下文档:

    选项 2:对远程访问VPN应用强化措施。

    注意:这些措施仅有助于降低风险,但并非针对针对RAVPN服务的DoS攻击的预防措施。

    如果您的安全防火墙版本不支持远程访问VPN服务的威胁检测功能,请实施以下强化措施以降低这些攻击带来的风险:

    1. 在DefaultWEBVPN和DefaultRAGroup连接配置文件中禁用AAA身份验证(分步:ASA|FTD由FMC管理)。
    2. 从DefaultWEBVPNGroup和DefaultRAGroup禁用安全防火墙状态(Hostscan)(分步:ASA|FTD managed by FMC)。
    3. 禁用连接配置文件其余部分中的Group-aliases和Enable Group-URL(分步:ASA|FMC管理的FTD)。

    注意:如果您需要通过本地防火墙设备管理(FDM)管理FTD的支持,请联系技术支持中心(TAC)以获取专家指导。

    有关详细信息,请参阅实施安全客户端AnyConnect VPN的加固措施指南。

    相关行为

    在安全防火墙上启用防火墙状态(HostScan)时,用户可能会遇到无法与思科安全客户端(AnyConnect)建立VPN连接的情况。它们可能会间歇性地遇到错误消息“Unable to complete connection(无法完成连接)”。客户端上未安装Cisco Secure Desktop。"。 

    secure_client_error

    此行为是成功利用漏洞CVE-2024-20481的结果,下文将对此进行描述。

    思科漏洞ID CSCwj45822: Cisco ASA和FTD软件远程访问VPN暴力拒绝服务漏洞(CVE-2024-20481)

    此漏洞源于密码喷雾攻击造成的资源耗尽,攻击者向目标设备发送大量VPN身份验证请求。成功利用此漏洞可导致RAVPN服务的拒绝服务(DoS)。此漏洞的一个主要症状是用户间歇性地遇到“Unable to complete connection(无法完成连接)”。客户端上未安装Cisco Secure Desktop。" 当它们尝试使用Cisco安全客户端建立RAVPN连接时显示错误消息。

    要解决此漏洞,必须升级到安全建议中列出的软件版本。此外,建议您在安全防火墙升级到这些版本后启用远程访问VPN的威胁检测功能,以防止其受到针对RAVPN服务的DoS攻击。

    有关完整详细信息,请参阅Cisco ASA和FTD软件远程访问VPN暴力拒绝服务漏洞安全建议。

    Additional Information

    修订历史记录

    版本 发布日期 备注
    7.0
    26-Oct-2024
    已更新“相关行为”部分,以添加与本文档相关的最新漏洞。
    6.0
    20-Sep-2024
    已更新远程访问VPN的威胁检测功能支持的版本。
    5.0
    06-Sep-2024
    添加了“配置远程访问VPN的威胁检测”建议。
    4.0
    22-Apr-2024
    更新了“背景信息”和“建议”部分。
    3.0
    15-Apr-2024
    链接的Cisco Bug ID CSCwj45822,添加了“Hostscan Token Expiration”子节,添加了“RAVPN的其他强化实施”部分
    2.0
    01-Apr-2024
    更新了文档标题,将“IoC”部分重命名为“观察到的异常模式”,并在“建议”部分下添加了更多详细信息。
    1.0
    26-Mar-2024
    初始版本
    TAC Authored

    由思科工程师提供

    • 安赫尔·奥蒂斯·希门尼斯
      安全技术主管
    • 基罗略斯·米哈伊尔
      工程技术主管

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品