簡介
本文檔介紹針對安全防火牆中源自密碼噴霧攻擊的主機令牌分配失敗應考慮的建議。
背景資訊
嘗試使用Cisco Secure Client (AnyConnect)建立RAVPN連線時,使用者可能會間歇性遇到錯誤消息,Unable to complete connection(無法完成連線)。客戶端上未安裝Cisco Secure Desktop。」。當VPN頭端(思科安全防火牆自適應安全裝置(ASA)或威脅防禦(FTD))無法分配hostscan令牌時,通常會出現此行為。特別要注意的是,此分配失敗與針對安全防火牆基礎架構的暴力攻擊例項相關,目前正以思科漏洞ID CSCwj45822下的最緊急狀態進行處理。
觀察到的行為
啟用防火牆狀態(HostScan)時,無法與思科安全客戶端(AnyConnect)建立VPN連線
嘗試使用Cisco Secure Client (AnyConnect)建立VPN連線時,使用者可能會間歇性看到如下錯誤消息:「Unable to complete connection.客戶端上未安裝Cisco Secure Desktop。」 此問題會阻止成功完成VPN連線過程。
注意:僅當在頭端啟用防火牆安全評估(HostScan)時,無論使用的是哪種安全客戶端或AnyConnect版本,都會發生此特定行為。
Hostscan令牌耗盡
VPN頭端思科安全防火牆自適應安全裝置(ASA)或威脅防禦(FTD)顯示hostscan令牌分配失敗的症狀。要對此進行驗證,請運行debug menu webvpn 187 0命令。
ASA# debug menu webvpn 187 0
Allocated Hostscan token = 1000
Hostscan token allocate failure = xxx - - - - > Increments
注意:此問題的發生是攻擊的結果。目前,此問題正在思科漏洞ID CSCwj45822下緊急解決。
異常數量的身份驗證請求
VPN頭端Cisco安全防火牆ASA或FTD顯示10萬次或數百萬次拒絕身份驗證嘗試的口令噴霧攻擊症狀。
注意:這些不尋常的身份驗證嘗試可能定向到LOCAL資料庫或外部身份驗證伺服器。
檢測此情況的最佳方式是檢視系統日誌。查詢任何下一個ASA系統日誌ID的不尋常數量:
%ASA-6-113015: AAA user authentication Rejected : reason = User was not found : local database : user = admin : user IP = x.x.x.x
%ASA-6-113005: AAA user authentication Rejected : reason = Unspecified : server = x.x.x.x : user = ***** : user IP = x.x.x.x
%ASA-6-716039: Group <DfltGrpPolicy> User <admin> IP <x.x.x.x> Authentication: rejected, Session Type: WebVPN.
在ASA上配置了no logging hide username命令之前,使用者名稱始終是隱藏的。
注意:這可讓您深入瞭解是否透過違規的IP生成或獲知了有效使用者。但是,請謹慎操作,因為使用者名稱會顯示在日誌中。
要進行驗證,請登入ASA或FTD命令列介面(CLI),運行show aaa-server命令,並調查嘗試的和拒絕的對任何已配置AAA伺服器的身份驗證請求的不尋常數量:
ciscoasa# show aaa-server
Server Group: LDAP-SERVER - - - - - >>>> Sprays against external server
Server Protocol: ldap
Server Hostname: ldap-server.example.com
Server Address: 10.10.10.10
Server port: 636
Server status: ACTIVE, Last transaction at unknown
Number of pending requests 0
Average round trip time 0ms
Number of authentication requests 2228536 - - - - - >>>> Unusual increments
Number of authorization requests 0
Number of accounting requests 0
Number of retransmissions 0
Number of accepts 1312
Number of rejects 2225363 - - - - - >>>> Unusual increments / Unusual rejection rate
Number of challenges 0
Number of malformed responses 0
Number of bad authenticators 0
Number of timeouts 1
Number of unrecognized responses 0
行動
雖然目前尚無可完全消除此風險的單一解決方案,但您可以檢視並應用推薦的下一個做法,這些做法旨在幫助降低發生此類暴力攻擊的可能性並減輕這些攻擊對RAVPN連線的影響。
1. 啟用記錄
記錄是網路安全的重要組成部分,涉及記錄系統中發生的事件。缺少詳細日誌會導致瞭解空白,從而妨礙對攻擊方法的明確分析。建議您啟用遠端系統日誌伺服器日誌記錄,以改進各種網路裝置之間的網路和安全事件的關聯和審計。
有關如何配置日誌記錄的資訊,請參閱以下平台特定指南:
Cisco ASA軟體:
Cisco FTD軟體:
注意:驗證本文所述行為(113015、113005和716039)所需的系統日誌消息ID必須在資訊級別(6)啟用。這些ID屬於「auth」和「webvpn」日誌記錄類。
2. 對遠端訪問VPN應用強化措施
要減輕這些攻擊的影響,請實施以下強化措施:
- 在DefaultWEBVPN和DefaultRAGroup連線配置檔案中停用AAA身份驗證(分步:ASA | FTD由FMC管理)。
- 從DefaultWEBVPNGroup和DefaultRAGroup停用Secure Firewall Posture (Hostscan)(分步操作:ASA) | FTD由FMC管理)。
- 停用組別名並在連線配置檔案的其餘部分啟用組URL(分步操作:ASA | FTD由FMC管理)。
附註:如果您需要透過本機防火牆裝置管理(FDM)管理的FTD支援,請連絡技術支援中心(TAC)以取得專家指導。
有關更多詳細資訊,請參閱安全客戶端AnyConnect VPN實施強化措施指南。
3. 阻止來自惡意源的連線嘗試
為了阻止來自未授權源的連線嘗試,您可以實施下列任一選項:
實施介面級ACL
在ASA/FTD上實施介面級ACL,以過濾未授權的公共IP地址並防止它們發起遠端VPN會話。
使用「shun」指令
這是阻止惡意IP的簡單方法,但必須手動完成。有關更多詳細資訊,請參閱使用「shun」命令阻止安全防火牆的攻擊的備用配置部分。
配置控制平面ACL
在ASA/FTD上實施控制平面ACL以過濾未授權的公共IP地址並防止它們發起遠端VPN會話。 為安全防火牆威脅防禦和ASA配置控制層面訪問控制策略。
注意:Cisco Talos已發佈與這些攻擊相關的IP地址和憑據清單。他們的GitHub儲存庫的連結可以在其建議的「IOCs」部分找到。必須注意的是,此流量的源IP地址可能會更改,因此,您必須檢視安全日誌(syslog)以確定有問題的IP地址。辨識後,可以使用這3種選項中的任何一種來阻止它們。
RAVPN的其他強化實施
目前提出的建議旨在降低攻擊對RAVPN服務的風險和影響。但是,您可以考慮需要對部署進行額外更改以強化遠端訪問VPN部署安全性的其他對策,例如對RAVPN採用基於證書的身份驗證。有關詳細的配置指南,請參閱安全客戶端AnyConnect VPN實施強化措施文檔。
其他資訊