在安全防火牆威脅防禦上為遠端訪問VPN服務配置威脅檢測

下載選項

  • PDF     (691.1 KB)
    在多種裝置上使用 Adobe Reader 檢視
已更新: 2024 年 10 月 25 日
文件 ID:222383

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本檔案介紹在思科安全防火牆威脅防禦(FTD)上為遠端存取VPN服務設定威脅檢測的程式。

    必要條件

    思科建議您瞭解以下主題:

    • 思科安全防火牆威脅防禦(FTD)。
    • 思科安全防火牆管理中心(FMC)。
    • FTD上的遠端存取VPN(RAVPN)。

    需求

    以下列出的思科安全防火牆威脅防禦版本支援這些威脅檢測功能:

    • 7.0版本系列->在此特定系列中從7.0.6.3和更新版本獲得支援。
    • 7.2版本系列->在此特定系列中支援7.2.9版和更新版本。
    • 7.4版本系列->在此特定系列中從7.4.2.1和更新版本獲得支援。
    • 7.6版本系列->受7.6.0及任何更新版本的支援。

    附註:這些功能目前在7.1版或7.3版系列中不受支援

    採用元件

    本檔案所述的資訊是根據以下硬體和軟體版本:

    • 思科安全防火牆威脅防禦虛擬版本7.0.6.3。

    本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。

    背景資訊

    針對遠端訪問VPN服務的威脅檢測功能通過自動阻止超過配置閾值的主機(IP地址)來阻止來自IPv4地址的拒絕服務(DoS)攻擊,從而阻止進一步的嘗試,直到您手動刪除IP地址的迴避。有單獨的服務可用於下一型別的攻擊:

    • 遠端訪問VPN服務的身份驗證嘗試反複失敗(暴力使用者名稱/密碼掃描攻擊)。
    • 客戶端啟動攻擊,攻擊者啟動但不完成從單個主機重複一次的遠端訪問VPN頭端連線嘗試。
    • 嘗試連線無效的遠端訪問VPN服務。也就是說,當攻擊者嘗試連線到僅用於裝置內部運行的特定內建隧道組時。合法終端不應嘗試連線到這些隧道組。

    這些攻擊,即使嘗試獲取訪問失敗,也會消耗計算資源,並阻止有效使用者連線到遠端訪問VPN服務。

    啟用這些服務時,安全防火牆會自動避開超過已配置閾值的主機(IP地址),以防止進一步嘗試,直到您手動刪除IP地址的迴避。

    注意:預設情況下禁用遠端訪問VPN的所有威脅檢測服務。

    設定

    附註:當前僅支援通過FlexConfig在安全防火牆威脅防禦上配置這些功能。

    1.登入到安全防火牆管理中心。

    2.要配置FlexConfig對象,請導航到對象>對象管理> FlexConfig > FlexConfig對象,然後按一下新增FlexConfig對象

    FlexConfig Object Menu

    3.開啟Add FlexConfig Object 視窗後,新增所需的配置以啟用遠端訪問VPN的威脅檢測功能:

    • FlexConfig對象名稱:enable-threat-detection-ravpn
    • FlexConfig對象說明:為遠端訪問VPN服務啟用威脅檢測。
    • 部署:每次
    • Type:附加。
    • 文本框:根據下文所述的可用功能新增「威脅檢測服務」命令。

    附註:您可以使用同一FlexConfig對象為遠端接入VPN啟用3個可用的威脅檢測功能,或者可以為要啟用的每個功能單獨建立一個FlexConfig對象。

    功能1:嘗試連線到僅內部(無效)VPN服務的威脅檢測

    若要啟用此服務,請在FlexConfig對象文本框中新增threat-detection service invalid-vpn-access命令。

    功能2:針對遠端訪問VPN客戶端發起攻擊的威脅檢測

    若要啟用此服務,請在FlexConfig對象文本框中新增threat-detection service remote-access-client-initiations hold-down <minutes> threshold <count>命令,其中:

    • 按住<minutes>定義上次啟動嘗試後的時間段,在該時間段內將計數連續的連線嘗試。如果在此時間段內連續連線嘗試次數達到配置的閾值,則會避開攻擊者的IPv4地址。您可以將此時間設定為1到1440分鐘。
    • threshold <count>是在抑制期內觸發shun所需的連線嘗試次數。您可以將該閾值設定為5到100之間。

    例如,如果抑制期為10分鐘,閾值為20,則如果在任何10分鐘跨度內連續嘗試20次連線,則會自動迴避IPv4地址。

    附註:設定抑制和閾值時,應考慮NAT使用情況。如果使用PAT(允許來自同一IP地址的許多請求),請考慮使用更高的值。這可確保有效使用者有足夠的時間進行連線。例如,在酒店中,許多使用者可以在短時間內嘗試連線。

    功能3:針對遠端訪問VPN身份驗證失敗的威脅檢測

    若要啟用此服務,請在FlexConfig對象文本框中新增threat-detection service remote-access-authentication hold-down<minutes> threshold <count>命令,其中:

    • 按住<minutes>定義上次失敗嘗試後的時間段,在該時間段內將計算連續失敗的次數。如果連續身份驗證失敗數在此期間內達到配置的閾值,則會避開攻擊者的IPv4地址。您可以將此時間設定為1到1440分鐘。
    • threshold <count>是在抑制期內觸發shun所需的身份驗證失敗嘗試次數。您可以將該閾值設定為1到100之間。

    例如,如果抑制期為10分鐘,閾值為20,則如果任何10分鐘span內有20個連續身份驗證失敗,則會自動迴避IPv4地址。

    附註:設定抑制和閾值時,應考慮NAT使用情況。如果使用PAT(允許來自同一IP地址的許多請求),請考慮使用更高的值。這可確保有效使用者有足夠的時間進行連線。例如,在酒店中,許多使用者可以在短時間內嘗試連線。

    附註:尚不支援通過SAML進行身份驗證失敗。 

    此示例配置為遠端訪問VPN啟用三種可用的威脅檢測服務,抑制時間為10分鐘,客戶端啟動和身份驗證嘗試失敗的閾值為20。根據您的環境要求配置抑制閾值

    此示例使用單個FlexConfig對象來啟用3個可用功能。

    threat-detection service invalid-vpn-access
    threat-detection service remote-access-client-initiations hold-down 10 threshold 20
    threat-detection service remote-access-authentication hold-down 10 threshold 20

    New FlexConfig Object新建FlexConfig對象

    4.儲存FlexConfig對象。

    5.導覽至Devices > FlexConfig,然後選擇分配給安全防火牆的FlexConfig策略。

    6.從左窗格中顯示的可用FlexConfig對象中,選擇您在步驟3中配置的FlexConfig對象,單擊「>」,然後保存更改。

    FlexConfig Object Assignment

    7.部署更改並進行驗證。

    Deployment

    驗證

    若要顯示威脅檢測RAVPN服務的統計資訊,請登入到FTD的CLI並運行show threat-detection service [service] [entries|details]命令。服務的位置:remote-access-authentication、remote-access-client-initiations或invalid-vpn-access

    您可以通過新增以下引數進一步限制檢視:

    • 條目 — 僅顯示威脅檢測服務正在跟蹤的條目。例如,身份驗證嘗試失敗的IP地址。
    • details — 顯示服務詳細資訊和服務條目。

    運行show threat-detection service命令以顯示所有已啟用威脅檢測服務的統計資訊。

    ciscoftd# show threat-detection service
    Service: invalid-vpn-access State : Enabled     Hold-down : 1 minutes
    Threshold : 1
    Stats:
        failed      :          0
        blocking    :          0
        recording   :          0
        unsupported :          0
        disabled    :          0
    Total entries: 0
Service: remote-access-authentication State : Enabled     Hold-down : 10 minutes
    Threshold : 20
    Stats:
        failed      :          0
        blocking    :          1
        recording   :          4
        unsupported :          0
        disabled    :          0
    Total entries: 2
Name: remote-access-client-initiations State : Enabled
    Hold-down : 10 minutes
    Threshold : 20
    Stats:
        failed      :          0
        blocking    :          0
        recording   :          0
        unsupported :          0
        disabled    :          0
    Total entries: 0

    若要檢視針對遠端訪問身份驗證服務跟蹤的潛在攻擊者的更多詳細資訊,請運行show threat-detection service <service> entries命令。

    ciscoftd# show threat-detection service remote-access-authentication entries
    Service: remote-access-authentication
    Total entries: 2

Idx Source              Interface            Count          Age        Hold-down
--- ------------------- -------------------- -------------- ---------- ---------
  1 192.168.100.101/ 32              outside              1        721         0
  2 192.168.100.102/ 32              outside              2        486       114
Total number of IPv4 entries: 2

NOTE: Age is in seconds since last reported. Hold-down is in seconds remaining.

    要檢視特定威脅檢測遠端訪問VPN服務的一般統計資訊和詳細資訊,請運行show threat-detection service <service> details命令。

    ciscoftd# show threat-detection service remote-access-authentication details
    Service: remote-access-authentication
    State     : Enabled
    Hold-down : 10 minutes
    Threshold : 20
    Stats:
        failed      :          0
        blocking    :          1
        recording   :          4
        unsupported :          0
        disabled    :          0
     Total entries: 2

Idx Source              Interface            Count          Age        Hold-down
--- ------------------- -------------------- -------------- ---------- ---------
  1 192.168.100.101/ 32              outside              1        721         0
  2 192.168.100.102/ 32              outside              2        486       114
Total number of IPv4 entries: 2

NOTE: Age is in seconds since last reported. Hold-down is in seconds remaining.

    附註:條目僅顯示威脅檢測服務所跟蹤的IP地址。如果IP地址滿足要迴避的條件,則blocking 計數增加,並且IP地址不再顯示為條目。

    此外,您可以監控VPN服務應用的分流器,並使用以下命令刪除單個IP地址或所有IP地址的分流器:

    • show shun [ip_address]

    顯示被迴避的主機,包括那些通過VPN服務的威脅檢測自動迴避的主機,或使用shun命令手動迴避的主機。或者,您可以將檢視限製為指定的IP地址。

    • no shun ip_address [interface if_name]

    刪除應用於指定IP地址的迴避。

    如果在多個介面上迴避IP地址,並且未提及任何特定介面,則該命令僅從一個介面刪除迴避。此介面的選擇取決於對迴避IP地址的路由查詢。要從其他介面刪除shun,必須顯式指定介面。

    • clear shun

    從所有IP地址和所有介面刪除迴避。

    附註:針對VPN服務的威脅檢測規避的IP地址不會顯示在show threat-detection shun命令中,該命令僅適用於掃描威脅檢測。

    要閱讀與遠端訪問VPN的威脅檢測服務相關的每個命令輸出和可用系統日誌消息的所有詳細資訊,請參閱命令參考文檔。

    相關資訊

    修訂記錄

    修訂 發佈日期 意見
    2.0
    25-Oct-2024
    更新的背景資訊,以便進一步明確。
    1.0
    12-Sep-2024
    初始版本
    TAC Authored

    由思科工程師貢獻

    • Angel Ortiz Jimenez
      Security Technical Leader

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您

    本文件適用於這些產品