تكوين اكتشاف التهديدات للوصول عن بعد إلى خدمات VPN على ASA لجدار الحماية الآمن

المقدمة

يصف هذا المستند عملية تكوين إمكانيات اكتشاف التهديدات ل VPN للوصول عن بعد على Cisco Secure Firewall ASA.

معلومات أساسية

تساعد ميزات اكتشاف التهديدات الخاصة بخدمات VPN للوصول عن بعد في منع هجمات رفض الخدمة (DoS) من عناوين IPv4 عن طريق حظر المضيف (عنوان IP) الذي يتجاوز الحدود التي تم تكوينها تلقائيا، لمنع مزيد من المحاولات حتى تقوم بإزالة فجوة عنوان IP يدويا. تتوفر خدمات منفصلة للأنواع التالية من الهجمات:

• محاولات المصادقة الفاشلة المتكررة للوصول عن بعد إلى خدمات VPN (هجمات المسح الضوئي لاسم مستخدم/كلمة المرور بالقوة).
• هجمات بدء العميل، حيث يقوم المهاجم بتشغيل محاولات الاتصال للوصول عن بعد إلى وحدة الاستقبال والبث الخاصة بشبكة VPN مرات متكررة من مضيف واحد ولكنه لا يكمل هذه المحاولات.
• يحاول الاتصال الوصول إلى خدمات VPN للوصول عن بعد غير صالحة. أي عندما يحاول المهاجمين الاتصال بمجموعات أنفاق مدمجة معينة الغرض منها فقط هو التشغيل الداخلي للجهاز. ولا ينبغي لنقاط النهاية الشرعية ابدا ان تحاول الاتصال بمجموعات الانفاق هذه.

 

يمكن لهذه الهجمات، حتى عند فشلها في محاولة الوصول، إستهلاك موارد حسابية ومنع المستخدمين الحقيقيين من الاتصال بخدمات VPN للوصول عن بعد.

عند تمكين هذه الخدمات، يتجنب جدار الحماية الآمن المضيف (عنوان IP) الذي يتجاوز الحدود التي تم تكوينها تلقائيا، لمنع مزيد من المحاولات حتى تقوم بإزالة فجوة عنوان IP يدويا.

ملاحظة: يتم تعطيل جميع خدمات اكتشاف التهديدات للوصول عن بعد إلى VPN بشكل افتراضي.

المتطلبات الأساسية

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• أجهزة الأمان المعدلة Cisco Secure Firewall Adaptive Security Appliance (ASA)
• الوصول عن بعد لشبكة VPN (RAVPN) على ASA

المتطلبات

يتم دعم ميزات اكتشاف التهديدات هذه في إصدارات Cisco Secure Firewall ASA التالية:

• قطار الإصدار 9.16-> مدعوم من الإصدار 9.16(4)67 والإصدارات الأحدث ضمن هذا القطار المحدد.
• قطار الإصدار 9.17-> مدعوم من الإصدار 9.17(1)45 والإصدارات الأحدث ضمن هذا القطار المحدد.
• قطار الإصدار 9.18-> مدعوم من الإصدار 9.18(4)40 والإصدارات الأحدث ضمن هذا القطار المحدد.
• قطار الإصدار 9.19-> مدعوم من الإصدار 9.19(1).37 والإصدارات الأحدث ضمن هذا القطار المحدد.
• قطار الإصدار 9.20-> مدعوم من الإصدار 9.20(3) والإصدارات الأحدث ضمن هذا القطار المحدد.
• يتم دعم الإصدار 9.22 -> من الإصدار 9.22(1.1) وأي إصدارات أحدث.

ملاحظة: لم يتم إصدار الإصدار 9.22(1). وكان الإصدار الأول 9.22(1.1).

 

المكونات المستخدمة

أسست المعلومة يصف في هذا وثيقة على هذا جهاز وبرمجية صيغة:

• Cisco Secure Firewall ASA، الإصدار 9.20(3)

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

 

التكوين

سجل الدخول إلى واجهة سطر أوامر جدار الحماية الآمن (CLI) في وضع التكوين العام وقم بتمكين خدمة واحدة أو أكثر من خدمات اكتشاف التهديدات المتوفرة للوصول عن بعد VPN:

اكتشاف التهديدات لمحاولات الاتصال بخدمات VPN الداخلية (غير الصالحة) فقط

لتمكين هذه الخدمة، قم بتشغيل الأمر invalid-vpn-access لخدمة اكتشاف التهديدات.

 

اكتشاف التهديدات لهجمات بدء عميل شبكة VPN للوصول عن بعد

لتمكين هذه الخدمة، قم بتشغيل أمر <count>عتبة <count>عمليات بدء تشغيل خدمة الكشف عن التهديدات من بعد-دقائق>، حيث:

• يحدد الإيقاف المؤقت <minutes> الفترة بعد آخر محاولة بدء يتم خلالها حساب محاولات الاتصال المتتالية. إذا كان عدد محاولات الاتصال المتتالية يفي بالعتبة التي تم تكوينها خلال هذه الفترة، فسيتم تجنب عنوان IPv4 الخاص بالمهاجم. يمكنك تعيين هذه الفترة بين 1 و 1440 دقيقة.
• Threshold <count> هو عدد محاولات الاتصال المطلوبة خلال فترة الانتظار لتشغيل تجنب. يمكنك تعيين الحد الفاصل بين 5 و 100.

على سبيل المثال، إذا كانت فترة التعليق هي 10 دقائق والعتبة هي 20، فسيتم تجنب عنوان IPv4 تلقائيا إذا كانت هناك 20 محاولة توصيل متتالية في أي مدى 10 دقائق.

ملاحظة: عند تعيين قيم التعليق والحد، ضع إستخدام NAT في الاعتبار. إن يستعمل أنت ضرب، أي يسمح كثير طلب من ال نفسه عنوان، راعي قيمة أعلى. وهذا يضمن حصول المستخدمين الصحيحين على وقت كاف للاتصال. على سبيل المثال، في الفندق، يمكن للعديد من المستخدمين محاولة الاتصال في فترة قصيرة.

 

اكتشاف التهديدات لفشل مصادقة VPN للوصول عن بعد

لتمكين هذه الخدمة، قم بتشغيل أمر إيقاف مصادقة الوصول عن بعد لخدمة اكتشاف التهديدات<دقيقة>الحد <count>، حيث:

• يحدد الإيقاف المؤقت <minutes> الفترة بعد آخر محاولة فاشلة يتم خلالها حساب حالات الفشل المتتالية. وإذا كان عدد حالات فشل المصادقة المتتالية يستوفي الحد الذي تم تكوينه خلال هذه الفترة، فسيتم تجنب عنوان IPv4 للمهاجم. يمكنك تعيين هذه الفترة بين 1 و 1440 دقيقة.
• Threshold <count> هو عدد محاولات المصادقة الفاشلة المطلوبة خلال فترة الانتظار لتشغيل تجنب. يمكنك تعيين الحد الفاصل بين 1 و 100.

على سبيل المثال، إذا كانت فترة التعليق هي 10 دقائق والعتبة هي 20، فسيتم تجنب عنوان IPv4 تلقائيا إذا كان هناك 20 فشل مصادقة متتابع في أي مدى 10 دقائق.

ملاحظة: عند تعيين قيم التعليق والحد، ضع إستخدام NAT في الاعتبار. إن يستعمل أنت ضرب، أي يسمح كثير طلب من ال نفسه عنوان، راعي قيمة أعلى. وهذا يضمن حصول المستخدمين الصحيحين على وقت كاف للاتصال. على سبيل المثال، في الفندق، يمكن للعديد من المستخدمين محاولة الاتصال في فترة قصيرة.

ملاحظة: حالات فشل المصادقة عبر SAML غير مدعومة حتى الآن. 

 

ويتيح مثال التكوين التالي خدمات اكتشاف التهديدات الثلاثة المتوفرة لشبكة VPN الخاصة بالوصول عن بعد مع فترة توقف تبلغ 10 دقائق وعتبة تبلغ 20 لبدء العميل ومحاولات المصادقة الفاشلة. 

threat-detection service invalid-vpn-access
threat-detection service remote-access-client-initiations hold-down 10 threshold 20
threat-detection service remote-access-authentication hold-down 10 threshold 20

 

التحقق من الصحة

لعرض إحصائيات لخدمات WAPN الخاصة بكشف التهديدات، قم بتشغيل الأمر show Threat-detection service [service] [entries|details]. حيث يمكن أن تكون الخدمة: مصادقة الوصول عن بعد أو بدء الوصول عن بعد إلى العميل أو الوصول إلى VPN غير صالح.

يمكنك الحد من طريقة العرض عن طريق إضافة هذه المعلمات:

• الإدخالات — عرض الإدخالات التي يتم تعقبها فقط من خلال خدمة كشف التهديدات. على سبيل المثال، عناوين IP التي فشلت محاولات المصادقة.
• التفاصيل — عرض كل من تفاصيل الخدمة وإدخالات الخدمة.

 

قم بتشغيل الأمر show threat-detection service لعرض إحصائيات جميع خدمات اكتشاف التهديدات التي تم تمكينها.

ciscoasa# show threat-detection service
Service: invalid-vpn-access
    State     : Enabled
    Hold-down : 1 minutes
    Threshold : 1
    Stats:
        failed      :          0
        blocking    :          0
        recording   :          0
        unsupported :          0
        disabled    :          0
    Total entries: 0
Service: remote-access-authentication
    State     : Enabled
    Hold-down : 10 minutes
    Threshold : 20
    Stats:
        failed      :          0
        blocking    :          1
        recording   :          4
        unsupported :          0
        disabled    :          0
    Total entries: 2
Name: remote-access-client-initiations
    State     : Enabled
    Hold-down : 10 minutes
    Threshold : 20
    Stats:
        failed      :          0
        blocking    :          0
        recording   :          0
        unsupported :          0
        disabled    :          0
    Total entries: 0

 

لعرض مزيد من تفاصيل المهاجمين المحتملين الذين يتم تعقبهم لخدمة مصادقة الوصول عن بعد، قم بتشغيل الأمر show threat-detection service <service> entries.

ciscoasa# show threat-detection service remote-access-authentication entries
Service: remote-access-authentication
    Total entries: 2

Idx Source              Interface            Count          Age        Hold-down
--- ------------------- -------------------- -------------- ---------- ---------
  1 192.168.100.101/ 32              outside              1        721         0
  2 192.168.100.102/ 32              outside              2        486       114
Total number of IPv4 entries: 2

NOTE: Age is in seconds since last reported. Hold-down is in seconds remaining.

 

لعرض الإحصائيات العامة والتفاصيل الخاصة بخدمة الوصول عن بعد إلى VPN الخاصة بالكشف عن تهديدات معينة، قم بتشغيل الأمر show threat-detection service <service> details.

ciscoasa# show threat-detection service remote-access-authentication details
Service: remote-access-authentication
    State     : Enabled
    Hold-down : 10 minutes
    Threshold : 20
    Stats:
        failed      :          0
        blocking    :          1
        recording   :          4
        unsupported :          0
        disabled    :          0
     Total entries: 2

Idx Source              Interface            Count          Age        Hold-down
--- ------------------- -------------------- -------------- ---------- ---------
  1 192.168.100.101/ 32              outside              1        721         0
  2 192.168.100.102/ 32              outside              2        486       114
Total number of IPv4 entries: 2

NOTE: Age is in seconds since last reported. Hold-down is in seconds remaining.

ملاحظة: تعرض الإدخالات عناوين IP التي يتم تعقبها بواسطة خدمة اكتشاف التهديدات فقط. إذا كان عنوان IP قد استوفى الشروط المطلوب تجنبها، يزداد عدد الحظر ولا يتم عرض عنوان IP كإدخال.

 

وبالإضافة إلى ذلك، أنت يستطيع راقبت رفض يطبق ب VPN خدمة، وأزال رفض لعنوان وحيد أو كل عنوان ال IP مع الأمر التالي:

• [عرض تجاهل [ip_address

يظهر البيئات المضيفة المبعدة، بما في ذلك تلك التي تم تجاهلها تلقائيا بواسطة كشف التهديد لخدمات VPN، أو يدويا باستخدام أمر الإحجام. يمكنك تحديد طريقة العرض إختياريا إلى عنوان IP محدد.

• لا يوجد تجاهل ip_address [interface if_name]

إزالة تجنب عنوان IP المحدد فقط. أنت يستطيع إختياريا عينت القارن إسم ل اللعنة، إن العنوان يكون نبذت على أكثر من واحد قارن وأنت تريد أن يترك ال ينشق في مكانه على بعض قارن.

• تجاهل واضح

إزالة التجاوز من جميع عناوين IP وجميع الواجهات.

ملاحظة: لا تظهر عناوين IP التي تم تجنبها بواسطة اكتشاف التهديدات لخدمات VPN في الأمر show threat-detection"، والذي ينطبق على مسح اكتشاف التهديدات فقط.

لقراءة جميع التفاصيل لكل إخراج أمر ورسائل syslog المتاحة المتعلقة بخدمات اكتشاف التهديدات للوصول عن بعد إلى VPN، يرجى الرجوع إلى دليل تكوين واجهة سطر الأوامر (CLI) لجدار الحماية الآمن ل Cisco ASA Firewall، الإصدار 9.20. الفصل: وثيقة كشف التهديد.

معلومات ذات صلة

• للحصول على مساعدة إضافية، يرجى الاتصال بمركز المساعدة التقنية (TAC). يلزم عقد دعم صالح: جهات اتصال الدعم العالمية من Cisco.
• يمكنك أيضا زيارة مجتمع Cisco VPN هنا.