소개
이 문서에서는 Cisco Secure Firewall ASA에서 원격 액세스 VPN에 대한 위협 탐지 기능을 구성하는 프로세스에 대해 설명합니다.
배경 정보
원격 액세스 VPN 서비스에 대한 위협 탐지 기능은 구성된 임계값을 초과하는 호스트(IP 주소)를 자동으로 차단하여 IP 주소의 차단 상태를 수동으로 제거할 때까지 추가 시도를 방지하여 IPv4 주소에서 DoS(서비스 거부) 공격을 방지하는 데 도움이 됩니다. 다음 공격 유형에 사용할 수 있는 별도의 서비스가 있습니다.
- 원격 액세스 VPN 서비스에 대해 실패한 인증 시도가 반복되었습니다(무작위 대입 사용자 이름/비밀번호 스캔 공격).
- 클라이언트 시작 공격. 공격자는 단일 호스트에서 여러 번 반복된 원격 액세스 VPN 헤드엔드에 대한 연결 시도를 시작하지만 완료하지 않습니다.
- 연결이 잘못된 원격 액세스 VPN 서비스를 시도합니다. 즉, 공격자가 디바이스의 내부 기능만을 위해 특정한 내장형 터널 그룹에 연결하려고 할 때 합법적인 엔드포인트는 이러한 터널 그룹에 연결을 시도해서는 안 됩니다.
이러한 공격은 액세스 확보에 실패한 경우에도 컴퓨팅 리소스를 소비하고 유효한 사용자가 원격 액세스 VPN 서비스에 연결하는 것을 방지할 수 있습니다.
이러한 서비스를 활성화하면 보안 방화벽이 구성된 임계값을 초과하는 호스트(IP 주소)를 자동으로 차단하여 IP 주소의 차단을 수동으로 제거할 때까지 추가 시도를 방지합니다.
참고: 원격 액세스 VPN에 대한 모든 위협 탐지 서비스는 기본적으로 비활성화되어 있습니다.
사전 요구 사항
Cisco에서는 다음과 같은 주제에 대해 숙지할 것을 권장합니다.
- Cisco Secure Firewall ASA(Adaptive Security Appliance)
- ASA의 RAVPN(Remote Access VPN)
요구 사항
이러한 위협 탐지 기능은 다음 Cisco Secure Firewall ASA 버전에서 지원됩니다.
- 9.16 버전 train->은(는) 이 특정 열차 내의 9.16(4)67 이상 버전에서 지원됩니다.
- 9.17 버전 train->은(는) 9.17(1)45 이후 버전에서 지원됩니다.
- 9.18 버전 train->은(는) 이 특정 열차 내의 9.18(4)40 이상 버전에서 지원됩니다.
- 9.19 버전 train->은(는) 이 특정 열차의 9.19(1).37 이상 버전에서 지원됩니다.
- 9.20 버전 train->은(는) 9.20(3) 이후 버전에서 지원됩니다.
- 9.22 버전 train->은(는) 9.22(1.1) 이상 버전에서 지원됩니다.
참고: 9.22(1)은 릴리스되지 않았습니다. 첫 번째 릴리스는 9.22(1.1)입니다.
사용되는 구성 요소
이 문서에 설명된 정보는 다음 하드웨어 및 소프트웨어 버전을 기반으로 합니다.
- Cisco Secure Firewall ASA 버전 9.20(3)
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
구성
글로벌 컨피그레이션 모드에서 Secure Firewall CLI(Command Line Interface)에 로그인하고 원격 액세스 VPN에 사용 가능한 위협 감지 서비스 중 하나 이상을 활성화합니다.
내부 전용(유효하지 않음) VPN 서비스에 대한 연결 시도에 대한 위협 감지
이 서비스를 활성화하려면 threat-detection service invalid-vpn-access 명령을 실행합니다.
원격 액세스 VPN 클라이언트 시작 공격을 위한 위협 탐지
이 서비스를 활성화하려면 threat-detection service remote-access-client-initiations hold-down <minutes> threshold <count> 명령을 실행합니다.
- hold-down <minutes>는 연속 연결 시도가 카운트되는 마지막 시작 시도 이후의 기간을 정의합니다. 연속 연결 시도 횟수가 이 기간 내에 구성된 임계값을 충족하면 공격자의 IPv4 주소가 차단됩니다. 이 기간은 1분에서 1440분 사이로 설정할 수 있습니다.
- threshold <count>는 중지를 트리거하는 데 필요한 연결 시도 횟수입니다. 임계값을 5~100으로 설정할 수 있습니다.
예를 들어, 보류 기간이 10분이고 임계값이 20이면 10분 범위 내에서 20회 연속 연결 시도가 있으면 IPv4 주소가 자동으로 차단됩니다.
참고: 보류 및 임계값을 설정할 때 NAT 사용을 고려하십시오. 동일한 IP 주소에서 많은 요청을 허용하는 PAT를 사용하는 경우 더 높은 값을 고려하십시오. 이렇게 하면 유효한 사용자가 연결할 수 있는 충분한 시간이 확보됩니다. 예를 들어, 호텔에서는 수많은 사용자가 단기간에 연결을 시도할 수 있다.
원격 액세스 VPN 인증 실패에 대한 위협 감지
이 서비스를 활성화하려면 threat-detection service remote-access-authentication hold-down<minutes> threshold <count> 명령을 실행합니다.
- hold-down <minutes>는 연속 실패가 계산되는 마지막 실패 시도 이후의 기간을 정의합니다. 연속 인증 실패 수가 이 기간 내에 구성된 임계값을 충족하면 공격자의 IPv4 주소가 차단됩니다. 이 기간은 1분에서 1440분 사이로 설정할 수 있습니다.
- threshold <count>는 중지를 트리거하기 위해 보류 기간 내에 필요한 실패한 인증 시도 횟수입니다. 임계값을 1에서 100 사이로 설정할 수 있습니다.
예를 들어, 보류 기간이 10분이고 임계값이 20이면 10분 범위 내에 연속 인증 실패가 20개 있는 경우 IPv4 주소가 자동으로 차단됩니다.
참고: 보류 및 임계값을 설정할 때 NAT 사용을 고려하십시오. 동일한 IP 주소에서 많은 요청을 허용하는 PAT를 사용하는 경우 더 높은 값을 고려하십시오. 이렇게 하면 유효한 사용자가 연결할 수 있는 충분한 시간이 확보됩니다. 예를 들어, 호텔에서는 수많은 사용자가 단기간에 연결을 시도할 수 있다.
참고: SAML을 통한 인증 실패는 아직 지원되지 않습니다.
다음 예제 컨피그레이션에서는 원격 액세스 VPN에 사용할 수 있는 세 가지 위협 감지 서비스를 활성화합니다. 이 세 가지 위협 감지 서비스는 클라이언트 시작 및 실패한 인증 시도에 대해 보류 기간이 10분이고 임계값이 20입니다.
threat-detection service invalid-vpn-access
threat-detection service remote-access-client-initiations hold-down 10 threshold 20
threat-detection service remote-access-authentication hold-down 10 threshold 20
다음을 확인합니다.
위협 감지 RAVPN 서비스에 대한 통계를 표시하려면 show threat-detection service [service] [entries|details] 명령을 실행합니다. 여기서 서비스는 remote-access-authentication, remote-access-client-initiations 또는 invalid-vpn-access일 수 있습니다.
다음 매개변수를 추가하여 보기를 더 제한할 수 있습니다.
- entries — 위협 감지 서비스에서 추적하는 항목만 표시합니다. 예를 들어, 인증 시도가 실패한 IP 주소.
- details — 서비스 세부 정보와 서비스 항목을 모두 표시합니다.
활성화된 모든 위협 탐지 서비스의 통계를 표시하려면 show threat-detection service 명령을 실행합니다.
ciscoasa# show threat-detection service
Service: invalid-vpn-access
State : Enabled
Hold-down : 1 minutes
Threshold : 1
Stats:
failed : 0
blocking : 0
recording : 0
unsupported : 0
disabled : 0
Total entries: 0
Service: remote-access-authentication
State : Enabled
Hold-down : 10 minutes
Threshold : 20
Stats:
failed : 0
blocking : 1
recording : 4
unsupported : 0
disabled : 0
Total entries: 2
Name: remote-access-client-initiations
State : Enabled
Hold-down : 10 minutes
Threshold : 20
Stats:
failed : 0
blocking : 0
recording : 0
unsupported : 0
disabled : 0
Total entries: 0
원격 액세스 인증 서비스에 대해 추적되는 잠재적 공격자에 대한 자세한 내용을 보려면 show threat-detection service <service> entries 명령을 실행합니다.
ciscoasa# show threat-detection service remote-access-authentication entries
Service: remote-access-authentication
Total entries: 2
Idx Source Interface Count Age Hold-down
--- ------------------- -------------------- -------------- ---------- ---------
1 192.168.100.101/ 32 outside 1 721 0
2 192.168.100.102/ 32 outside 2 486 114
Total number of IPv4 entries: 2
NOTE: Age is in seconds since last reported. Hold-down is in seconds remaining.
특정 위협 감지 원격 액세스 VPN 서비스의 일반 통계 및 세부 정보를 보려면 show threat-detection service <service> details 명령을 실행합니다.
ciscoasa# show threat-detection service remote-access-authentication details
Service: remote-access-authentication
State : Enabled
Hold-down : 10 minutes
Threshold : 20
Stats:
failed : 0
blocking : 1
recording : 4
unsupported : 0
disabled : 0
Total entries: 2
Idx Source Interface Count Age Hold-down
--- ------------------- -------------------- -------------- ---------- ---------
1 192.168.100.101/ 32 outside 1 721 0
2 192.168.100.102/ 32 outside 2 486 114
Total number of IPv4 entries: 2
NOTE: Age is in seconds since last reported. Hold-down is in seconds remaining.
참고: 항목은 위협 탐지 서비스에서 추적하는 IP 주소만 표시합니다. IP 주소가 차단 조건을 충족하면 차단 수가 증가하고 IP 주소가 더 이상 항목으로 표시되지 않습니다.
또한 VPN 서비스에 의해 적용된 차단을 모니터링하고 단일 IP 주소 또는 모든 IP 주소에 대한 차단을 다음 명령으로 제거할 수 있습니다.
차단된 호스트를 표시합니다. 여기에는 VPN 서비스에 대한 위협 탐지에 의해 자동으로 차단되거나 shun 명령을 수동으로 사용하는 호스트가 포함됩니다. 선택적으로 보기를 지정된 IP 주소로 제한할 수 있습니다.
- shun ip_address [interface if_name] 없음
지정된 IP 주소에서만 shun을 제거합니다. 둘 이상의 인터페이스에서 주소가 차단되고 일부 인터페이스에서 shun을 그대로 두려는 경우 선택적으로 shun에 대한 인터페이스 이름을 지정할 수 있습니다.
모든 IP 주소 및 모든 인터페이스에서 shun을 제거합니다.
참고: VPN 서비스에 대한 위협 탐지로 차단된 IP 주소는 show threat-detection shun 명령에 나타나지 않으며, 이는 스캐닝 위협 탐지에만 적용됩니다.
원격 액세스 VPN에 대한 위협 감지 서비스와 관련된 각 명령 출력 및 사용 가능한 syslog 메시지에 대한 모든 세부 정보를 읽으려면 Cisco Secure Firewall ASA Firewall CLI 컨피그레이션 가이드, 9.20을 참조하십시오. 장: 위협 감지 문서.
관련 정보