本文檔介紹針對安全防火牆中遠端訪問VPN服務的密碼噴射攻擊應考慮的建議。
密碼噴霧攻擊是一種暴力攻擊,攻擊者試圖通過跨多個帳戶系統地使用幾個常用密碼來獲得對多個使用者帳戶的未經授權的訪問。成功的密碼噴霧攻擊可能導致對敏感資訊的未經授權的訪問、資料洩露以及對網路完整性的潛在危害
此外,這些攻擊,即使嘗試獲取訪問失敗,也會消耗來自安全防火牆的計算資源,並阻止有效使用者連線到遠端訪問VPN服務。
當您的安全防火牆成為遠端訪問VPN服務中的密碼噴射攻擊的目標時,您可以通過監視系統日誌和運行特定的show命令來識別這些攻擊。要查詢的最常見行為包括:
VPN頭端Cisco安全防火牆ASA或FTD顯示密碼噴霧攻擊的症狀,並且身份驗證嘗試被拒絕的次數非常多。
檢測此情況的最佳方法是檢視系統日誌。查詢任何下一個ASA系統日誌ID的異常數量:
%ASA-6-113015: AAA user authentication Rejected : reason = User was not found : local database : user = admin : user IP = x.x.x.x
%ASA-6-113005: AAA user authentication Rejected : reason = Unspecified : server = x.x.x.x : user = ***** : user IP = x.x.x.x
%ASA-6-716039: Group <DfltGrpPolicy> User <admin> IP <x.x.x.x> Authentication: rejected, Session Type: WebVPN.
在ASA上配置no logging hide username命令之前,始終隱藏使用者名稱。
要進行驗證,請登入到ASA或FTD命令列介面(CLI)並運行show aaa-server 命令。調查嘗試和被拒絕的到任何已配置AAA伺服器的身份驗證請求的異常數量:
ciscoasa# show aaa-server
Server Group: LDAP-SERVER - - - - - >>>> Sprays against external server
Server Protocol: ldap
Server Hostname: ldap-server.example.com
Server Address: 10.10.10.10
Server port: 636
Server status: ACTIVE, Last transaction at unknown
Number of pending requests 0
Average round trip time 0ms
Number of authentication requests 2228536 - - - - - >>>> Unusual increments
Number of authorization requests 0
Number of accounting requests 0
Number of retransmissions 0
Number of accepts 1312
Number of rejects 2225363 - - - - - >>>> Unusual increments / Unusual rejection rate
Number of challenges 0
Number of malformed responses 0
Number of bad authenticators 0
Number of timeouts 1
Number of unrecognized responses 0
考慮並應用所述建議:
日誌記錄是網路安全的重要組成部分,它涉及記錄系統中發生的事件。由於沒有詳細的日誌,在瞭解攻擊方法方面留下空白,並妨礙對攻擊方法的明確分析。建議您啟用遠端系統日誌伺服器日誌記錄,以改進各種網路裝置上的網路和安全事件的關聯和稽核。
有關如何配置日誌記錄的資訊,請參閱以下特定於平台的指南:
Cisco ASA軟體:
Cisco FTD軟體:
為了幫助減輕這些暴力攻擊對您的RAVPN連線的影響並降低發生這些攻擊的可能性,您可以檢視並應用以下配置選項:
針對遠端訪問VPN服務的威脅檢測功能通過自動阻止超過配置閾值的主機(IP地址)來阻止來自IPv4地址的DoS(拒絕服務)攻擊,從而阻止進一步的嘗試,直到您手動刪除IP地址的迴避。這些型別的攻擊有單獨的服務可用:
以下列出的思科安全防火牆版本當前支援這些威脅檢測功能:
ASA軟體:
FTD軟體:
如需詳細資訊和設定協助,請參閱檔案指南:
如果Secure Firewall版本不支援遠端訪問VPN服務的威脅檢測功能,請實施加強措施以降低這些攻擊帶來的風險:
有關詳細資訊,請參閱安全客戶端AnyConnect VPN實施加固措施指南。
在安全防火牆上啟用防火牆狀態(HostScan)時,使用者可能會遇到無法與思科安全客戶端(AnyConnect)建立VPN連線的情況。它可能會間歇性地遇到錯誤消息「Unable to complete connection(無法完成連線)」。客戶端上未安裝Cisco Secure Desktop。"

此行為是成功利用漏洞CVE-2024-20481的結果。
此漏洞是由於密碼噴霧攻擊導致資源耗盡所致,攻擊者向目標裝置傳送了許多VPN身份驗證請求。成功利用此漏洞可導致RAVPN服務的拒絕服務。此漏洞的主要症狀是使用者間歇性地遇到「Unable to complete connection(無法完成連線)」。客戶端上未安裝Cisco Secure Desktop。" 當它們嘗試使用Cisco Secure Client建立RAVPN連線時顯示錯誤消息。
要解決此漏洞,必須升級到安全建議中列出的軟體版本。此外,建議您在安全防火牆升級至這些版本後,為遠端接入VPN啟用威脅檢測功能,以防止針對RAVPN服務的DoS攻擊。
請參閱Cisco ASA和FTD軟體遠端訪問VPN暴力拒絕服務漏洞安全建議以瞭解全部詳細資訊。
如需其他協助,請聯絡Cisco TAC。需要有效的支援合約: 思科全球支援聯絡人.
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
8.0 |
01-Jul-2026
|
已更新文章標題、簡介、拼寫、間距、替代文字、CCW警報和URL。 |
7.0 |
26-Oct-2024
|
已更新「相關行為」部分,以新增與本文檔相關的最近漏洞。 |
6.0 |
20-Sep-2024
|
已更新遠端訪問VPN的威脅檢測功能支援的版本。 |
5.0 |
06-Sep-2024
|
新增了「配置遠端訪問VPN的威脅檢測」建議。 |
4.0 |
22-Apr-2024
|
更新了「背景資訊」和「建議」部分。 |
3.0 |
15-Apr-2024
|
連結思科錯誤ID CSCwj45822,新增了「Hostscan Token Expiration」子節,新增了「RAVPN的其他強化實施」部分 |
2.0 |
01-Apr-2024
|
更新了文檔標題,將「IoC」部分重新命名為「觀察到的異常模式」,並在「建議」部分下新增了更多詳細資訊。 |
1.0 |
26-Mar-2024
|
初始版本 |