針對影響遠端訪問VPN服務的密碼噴霧攻擊的建議
簡介
本文檔介紹針對安全防火牆中源自密碼噴霧攻擊的主機令牌分配失敗應考慮的建議。
背景資訊
嘗試使用Cisco Secure Client (AnyConnect)建立RAVPN連線時,使用者可能會間歇性遇到錯誤消息,Unable to complete connection(無法完成連線)。客戶端上未安裝Cisco Secure Desktop。」。當VPN頭端(思科安全防火牆自適應安全裝置(ASA)或威脅防禦(FTD))無法分配hostscan令牌時,通常會出現此行為。特別要注意的是,此分配失敗與針對安全防火牆基礎架構的暴力攻擊例項相關,目前正以思科漏洞ID CSCwj45822下的最緊急狀態進行處理。
觀察到的行為
啟用防火牆狀態(HostScan)時,無法與思科安全客戶端(AnyConnect)建立VPN連線
嘗試使用Cisco Secure Client (AnyConnect)建立VPN連線時,使用者可能會間歇性看到如下錯誤消息:「Unable to complete connection.客戶端上未安裝Cisco Secure Desktop。」 此問題會阻止成功完成VPN連線過程。
Hostscan令牌耗盡
VPN頭端思科安全防火牆自適應安全裝置(ASA)或威脅防禦(FTD)顯示hostscan令牌分配失敗的症狀。要對此進行驗證,請運行debug menu webvpn 187 0命令。
ASA# debug menu webvpn 187 0
Allocated Hostscan token = 1000
Hostscan token allocate failure = xxx - - - - > Increments
異常數量的身份驗證請求
VPN頭端Cisco安全防火牆ASA或FTD顯示10萬次或數百萬次拒絕身份驗證嘗試的口令噴霧攻擊症狀。
檢測此情況的最佳方式是檢視系統日誌。查詢任何下一個ASA系統日誌ID的不尋常數量:
- %ASA-6-113015
%ASA-6-113015: AAA user authentication Rejected : reason = User was not found : local database : user = admin : user IP = x.x.x.x
- %ASA-6-113005
%ASA-6-113005: AAA user authentication Rejected : reason = Unspecified : server = x.x.x.x : user = ***** : user IP = x.x.x.x
- %ASA-6-716039
%ASA-6-716039: Group <DfltGrpPolicy> User <admin> IP <x.x.x.x> Authentication: rejected, Session Type: WebVPN.
在ASA上配置了no logging hide username命令之前,使用者名稱始終是隱藏的。
要進行驗證,請登入ASA或FTD命令列介面(CLI),運行show aaa-server命令,並調查嘗試的和拒絕的對任何已配置AAA伺服器的身份驗證請求的不尋常數量:
ciscoasa# show aaa-server
Server Group: LDAP-SERVER - - - - - >>>> Sprays against external server
Server Protocol: ldap
Server Hostname: ldap-server.example.com
Server Address: 10.10.10.10
Server port: 636
Server status: ACTIVE, Last transaction at unknown
Number of pending requests 0
Average round trip time 0ms
Number of authentication requests 2228536 - - - - - >>>> Unusual increments
Number of authorization requests 0
Number of accounting requests 0
Number of retransmissions 0
Number of accepts 1312
Number of rejects 2225363 - - - - - >>>> Unusual increments / Unusual rejection rate
Number of challenges 0
Number of malformed responses 0
Number of bad authenticators 0
Number of timeouts 1
Number of unrecognized responses 0
行動
雖然目前尚無可完全消除此風險的單一解決方案,但您可以檢視並應用推薦的下一個做法,這些做法旨在幫助降低發生此類暴力攻擊的可能性並減輕這些攻擊對RAVPN連線的影響。
1. 啟用記錄
記錄是網路安全的重要組成部分,涉及記錄系統中發生的事件。缺少詳細日誌會導致瞭解空白,從而妨礙對攻擊方法的明確分析。建議您啟用遠端系統日誌伺服器日誌記錄,以改進各種網路裝置之間的網路和安全事件的關聯和審計。
有關如何配置日誌記錄的資訊,請參閱以下平台特定指南:
Cisco ASA軟體:
- 使用指南保護ASA防火牆
- Cisco Secure Firewall ASA系列常規操作CLI配置指南的日誌記錄一章
Cisco FTD軟體:
- 透過防火牆管理中心(FMC)設定FTD上的記錄日誌
- 《Cisco Secure Firewall Management Center裝置配置指南》的「平台設定」一章中的「配置Syslog」部分
- 在Firepower裝置管理器中配置和驗證系統日誌
- Configuring System Logging Settings部分(位於適用於Firepower裝置管理器的Cisco Firepower威脅防禦配置指南的系統設定章節中)
2. 對遠端訪問VPN應用強化措施
要減輕這些攻擊的影響,請實施以下強化措施:
- 在DefaultWEBVPN和DefaultRAGroup連線配置檔案中停用AAA身份驗證(分步:ASA | FTD由FMC管理)。
- 從DefaultWEBVPNGroup和DefaultRAGroup停用Secure Firewall Posture (Hostscan)(分步操作:ASA) | FTD由FMC管理)。
- 停用組別名並在連線配置檔案的其餘部分啟用組URL(分步操作:ASA | FTD由FMC管理)。
有關更多詳細資訊,請參閱安全客戶端AnyConnect VPN實施強化措施指南。
3. 阻止來自惡意源的連線嘗試
為了阻止來自未授權源的連線嘗試,您可以實施下列任一選項:
實施介面級ACL
在ASA/FTD上實施介面級ACL,以過濾未授權的公共IP地址並防止它們發起遠端VPN會話。
使用「shun」指令
這是阻止惡意IP的簡單方法,但必須手動完成。有關更多詳細資訊,請參閱使用「shun」命令阻止安全防火牆的攻擊的備用配置部分。
配置控制平面ACL
在ASA/FTD上實施控制平面ACL以過濾未授權的公共IP地址並防止它們發起遠端VPN會話。 為安全防火牆威脅防禦和ASA配置控制層面訪問控制策略。
RAVPN的其他強化實施
目前提出的建議旨在降低攻擊對RAVPN服務的風險和影響。但是,您可以考慮需要對部署進行額外更改以強化遠端訪問VPN部署安全性的其他對策,例如對RAVPN採用基於證書的身份驗證。有關詳細的配置指南,請參閱安全客戶端AnyConnect VPN實施強化措施文檔。
其他資訊
- 面向急救人員的Cisco Firepower威脅防禦調查取證流程
- Cisco Talos威脅建議
- 如需其他幫助,請聯絡技術支援中心(TAC)。需要有效的支援合約:思科全球支援聯絡人。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
4.0 |
22-Apr-2024 |
更新了「背景資訊」和「建議」部分。 |
3.0 |
15-Apr-2024 |
連結的思科漏洞ID CSCwj45822,增加了「Hostscan Token Exhaustion」子部分,增加了「RAVPN的其他強化實施」部分 |
2.0 |
01-Apr-2024 |
更新了文檔標題,將「IoC」部分重新命名為「觀察到的異常模式」,並在「建議」部分下增加了更多詳細資訊。 |
1.0 |
26-Mar-2024 |
初始版本 |
意見