Configureer bedreigingsdetectie voor VPN-services voor externe toegang op beveiligde firewall ASA

Inleiding

Dit document beschrijft het proces van het configureren van bedreigingsdetectiemogelijkheden voor externe toegang VPN via Cisco Secure Firewall ASA.

Achtergrondinformatie

De functies voor detectie van bedreigingen voor externe toegang VPN-services helpen Denial of Service (DoS)-aanvallen van IPv4-adressen te voorkomen door automatisch de host (IP-adres) te blokkeren die de ingestelde drempels overschrijdt, om verdere pogingen te voorkomen totdat u handmatig de schuilplaats van het IP-adres verwijdert. Er zijn afzonderlijke services beschikbaar voor de volgende soorten aanvallen:

• Herhaalde mislukte verificatiepogingen naar VPN-services met externe toegang (brute-force gebruikersnaam/wachtwoordscanaanvallen).
• De initiatie van de cliënt aanvallen, waar de aanvaller begint maar niet de verbindingspogingen aan een verre uiteinde van toegangsVPN voltooit herhaalde tijden van één enkele gastheer.
• Verbinding probeert ongeldige VPN-services voor externe toegang te verkrijgen. Dat wil zeggen wanneer aanvallers proberen verbinding te maken met specifieke ingebouwde tunnelgroepen die uitsluitend bedoeld zijn voor de interne werking van het apparaat. Legitieme endpoints mogen nooit proberen verbinding te maken met deze tunnelgroepen.

 

Deze aanvallen, zelfs wanneer zij niet succesvol zijn in hun poging om toegang te krijgen, kunnen computerbronnen verbruiken en voorkomen dat geldige gebruikers verbinding maken met de VPN-services voor externe toegang.

Wanneer u deze services inschakelt, wordt de host (IP-adres) die de ingestelde drempels overschrijdt automatisch door de Secure Firewall omgedraaid om verdere pogingen te voorkomen totdat u het omdraaien van het IP-adres handmatig verwijdert.

Opmerking: alle services voor bedreigingsdetectie voor externe toegang VPN zijn standaard uitgeschakeld.

Voorwaarden

Cisco raadt u aan deze onderwerpen te kennen:

• Cisco Secure Firewall adaptieve security applicatie (ASA)
• Remote Access VPN (RAVPN) op ASA

Vereisten

Deze functies voor bedreigingsdetectie worden ondersteund in de volgende versies van Cisco Secure Firewall ASA:

• 9.16 versie trein-> ondersteund vanaf 9.16(4)67 en nieuwere versies binnen deze specifieke trein.
• 9.17 versie trein-> ondersteund vanaf 9.17(1)45 en nieuwere versies binnen deze specifieke trein.
• 9.18 versie trein-> ondersteund vanaf 9.18(4)40 en nieuwere versies binnen deze specifieke trein.
• 9.19 versie trein-> ondersteund vanaf 9.19(1).37 en nieuwere versies binnen deze specifieke trein.
• 9.20 versie train-> ondersteund vanaf 9.20(3) en nieuwere versies binnen deze specifieke trein.
• 9.22 versie trein-> ondersteund vanaf 9.22(1.1)en nieuwere versies.

Opmerking: 9.22(1) is niet vrijgegeven. De eerste release was 9.22(1.1).

 

Gebruikte componenten

De informatie die in dit document wordt beschreven, is gebaseerd op deze hardware- en softwareversies:

• Cisco Secure Firewall ASA versie 9.20(3)

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

 

Configureren

Log in op de Secure Firewall Command Line Interface (CLI) in globale configuratiemodus en schakel een of meer van de beschikbare bedreigingsdetectieservices voor externe toegang tot VPN in:

Bedreigingsdetectie voor pogingen om verbinding te maken met alleen interne (ongeldige) VPN-services

Om deze service in te schakelen, voert u de opdracht voor bedreigingsopsporing ongeldig-vpn-toegang uit.

 

Threat Detectie voor activeringsaanvallen van VPN-client voor externe toegang

Om deze service in te schakelen, voert u de opdracht voor het detecteren van bedreigingen op afstand, toegang tot de client en het opslaan van gegevens <minuten> drempel <count> uit, waarbij:

• hold-down <minuten> definieert de periode na de laatste initiatiepoging waarin opeenvolgende verbindingspogingen worden geteld. Als het aantal opeenvolgende verbindingspogingen binnen deze periode de ingestelde drempelwaarde bereikt, wordt het IPv4-adres van de aanvaller gewist. U kunt deze periode instellen op 1 tot 140 minuten.
• drempelwaarde <count> is het aantal verbindingspogingen dat tijdens de onderhoudsperiode is vereist om een melding te activeren. U kunt de drempelwaarde tussen 5 en 100 instellen.

Als de wachttijd bijvoorbeeld 10 minuten is en de drempelwaarde 20 minuten is, wordt het IPv4-adres automatisch geblokkeerd als er 20 opeenvolgende verbindingspogingen zijn binnen een periode van 10 minuten.

Opmerking: wanneer u de waarden voor hold-down en drempelwaarden instelt, dient u rekening te houden met NAT-gebruik. Als u PAT gebruikt, dat veel verzoeken van hetzelfde IP-adres toestaat, overweeg dan hogere waarden. Dit zorgt ervoor dat geldige gebruikers voldoende tijd hebben om verbinding te maken. Zo kunnen in een hotel talrijke gebruikers proberen in een korte periode verbinding te maken.

 

Bedreigingsdetectie voor fouten in VPN-verificatie van externe toegang

Om deze service in te schakelen, voert u de opdracht bedreigingsdetectie voor externe toegang-verificatie uit en houdt u de verificatie<minuten> <count> in, waarbij:

• hold-down <minuten> definieert de periode na de laatste mislukte poging tijdens welke opeenvolgende storingen worden geteld. Als het aantal opeenvolgende verificatiefouten binnen deze periode voldoet aan de ingestelde drempel, wordt het IPv4-adres van de aanvaller gewist. U kunt deze periode instellen op 1 tot 140 minuten.
• drempelwaarde <count> is het aantal mislukte verificatiepogingen dat tijdens de wachtperiode vereist is om een schuintrekken te activeren. U kunt de drempelwaarde tussen 1 en 100 instellen.

Als de wachttijd bijvoorbeeld 10 minuten is en de drempelwaarde 20 minuten is, wordt het IPv4-adres automatisch geblokkeerd als er 20 opeenvolgende verificatiefouten zijn binnen een periode van 10 minuten.

Opmerking: wanneer u de waarden voor hold-down en drempelwaarden instelt, dient u rekening te houden met NAT-gebruik. Als u PAT gebruikt, dat veel verzoeken van hetzelfde IP-adres toestaat, overweeg dan hogere waarden. Dit zorgt ervoor dat geldige gebruikers voldoende tijd hebben om verbinding te maken. Zo kunnen in een hotel talrijke gebruikers proberen in een korte periode verbinding te maken.

Opmerking: verificatiefouten via SAML worden nog niet ondersteund. 

 

De volgende voorbeeldconfiguratie laat de drie beschikbare diensten van de bedreigingsopsporing voor verre toegang VPN met een onderhoudsperiode van 10 minuten en een drempel van 20 voor cliëntinitiatie en ontbroken authentificatiepogingen toe. 

threat-detection service invalid-vpn-access
threat-detection service remote-access-client-initiations hold-down 10 threshold 20
threat-detection service remote-access-authentication hold-down 10 threshold 20

 

Verifiëren

Om statistieken voor de diensten van RAVPN van de bedreigingsopsporing te tonen, voer de dienst van de showbedreigingsopsporing [de dienst] [ingangen|details] bevel uit. Waar de dienst kan zijn: ver-toegang-authentificatie, ver-toegang-cliënt-initiaties, of ongeldig-vpn-toegang.

U kunt de weergave verder beperken door deze parameters toe te voegen:

• ingangen — Alleen de ingangen weergeven die door de bedreigingsopsporingsdienst worden bijgehouden. Bijvoorbeeld de IP-adressen waar de verificatiepogingen zijn mislukt.
• details — Geef zowel de servicedetails als de servicevermeldingen weer.

 

Draai het bevel van de show bedreigingsopsporing om statistieken van alle diensten van de bedreigingsopsporing te tonen die worden toegelaten.

ciscoasa# show threat-detection service
Service: invalid-vpn-access
    State     : Enabled
    Hold-down : 1 minutes
    Threshold : 1
    Stats:
        failed      :          0
        blocking    :          0
        recording   :          0
        unsupported :          0
        disabled    :          0
    Total entries: 0
Service: remote-access-authentication
    State     : Enabled
    Hold-down : 10 minutes
    Threshold : 20
    Stats:
        failed      :          0
        blocking    :          1
        recording   :          4
        unsupported :          0
        disabled    :          0
    Total entries: 2
Name: remote-access-client-initiations
    State     : Enabled
    Hold-down : 10 minutes
    Threshold : 20
    Stats:
        failed      :          0
        blocking    :          0
        recording   :          0
        unsupported :          0
        disabled    :          0
    Total entries: 0

 

Om meer details van potentiële aanvallers te bekijken die voor de ver-toegang-authentificatie dienst worden gevolgd, stel het bevel van de de de show van de bedreigingsopsporing dienst <service> ingangen in werking.

ciscoasa# show threat-detection service remote-access-authentication entries
Service: remote-access-authentication
    Total entries: 2

Idx Source              Interface            Count          Age        Hold-down
--- ------------------- -------------------- -------------- ---------- ---------
  1 192.168.100.101/ 32              outside              1        721         0
  2 192.168.100.102/ 32              outside              2        486       114
Total number of IPv4 entries: 2

NOTE: Age is in seconds since last reported. Hold-down is in seconds remaining.

 

Om de algemene statistieken en de details van een specifieke dienst van VPN van de bedreigingsopsporing de verre toegang in werking te stellen de dienst van de showbedreigingsopsporing <service> detailsbevel.

ciscoasa# show threat-detection service remote-access-authentication details
Service: remote-access-authentication
    State     : Enabled
    Hold-down : 10 minutes
    Threshold : 20
    Stats:
        failed      :          0
        blocking    :          1
        recording   :          4
        unsupported :          0
        disabled    :          0
     Total entries: 2

Idx Source              Interface            Count          Age        Hold-down
--- ------------------- -------------------- -------------- ---------- ---------
  1 192.168.100.101/ 32              outside              1        721         0
  2 192.168.100.102/ 32              outside              2        486       114
Total number of IPv4 entries: 2

NOTE: Age is in seconds since last reported. Hold-down is in seconds remaining.

Opmerking: de vermeldingen geven alleen de IP-adressen weer die door de bedreigingsdetectiedienst worden bijgehouden. Als een IP-adres aan de voorwaarden om te worden geweerd voldoet, wordt het blokkerende aantal verhoogd en wordt het IP-adres niet langer als invoer weergegeven.

 

Bovendien kunt u shuns die door de VPN-services worden toegepast, bewaken en shuns voor één IP-adres of alle IP-adressen verwijderen met de volgende opdrachten:

• toon shun [ip_address]

Toont geshunde hosts, inclusief de hosts die automatisch worden geshuned door bedreigingsdetectie voor VPN-services, of door handmatig de opdracht shun te gebruiken. U kunt de weergave naar keuze beperken tot een bepaald IP-adres.

• geen shun ip_address [interface if_name]

Verwijdert de mijden alleen van het opgegeven IP-adres. U kunt de interfacenaam voor de shun naar keuze specificeren, als het adres op meer dan één interface wordt gemeden en u wilt de shun op sommige interfaces op zijn plaats verlaten.

• clear shun

Verwijdert de shun van alle IP-adressen en alle interfaces.

Opmerking: IP-adressen die niet worden gedetecteerd door bedreigingsdetectie voor VPN-services, worden niet weergegeven in de opdracht voor detectie van bedreigingen van de show, die alleen van toepassing is op detectie van scanbedreigingen.

Raadpleeg de Cisco Secure Firewall ASA Firewall CLI Configuration Guide, 9.20 voor meer informatie over elke opdrachtoutput en beschikbare syslogberichten die betrekking hebben op de bedreigingsdetectieservices voor externe toegang tot VPN. Hoofdstuk: Threat Detection document.

Gerelateerde informatie

• Voor extra assistentie kunt u contact opnemen met het Technical Assistance Center (TAC). Er is een geldig ondersteuningscontract vereist:Cisco’s wereldwijde contactgegevens voor ondersteuning.
• U kunt hier ook de Cisco VPN-community bezoeken.