Recommandations contre les attaques par pulvérisation de mot de passe visant les services VPN d'accès à distance dans Secure Firewall

Options de téléchargement

  • PDF     (309.4 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (121.9 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (102.9 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:6 septembre 2024
ID du document:221806

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit les recommandations à prendre en compte contre les attaques par mot de passe visant les services VPN d'accès à distance dans Secure Firewall.

    Informations générales

    Les attaques par pulvérisation de mots de passe sont un type d'attaque en force où un pirate tente d'obtenir un accès non autorisé à plusieurs comptes d'utilisateurs en essayant systématiquement quelques mots de passe couramment utilisés sur de nombreux comptes. Les attaques réussies par pulvérisation de mots de passe peuvent entraîner un accès non autorisé aux informations sensibles, des violations de données et des atteintes potentielles à l'intégrité du réseau

    En outre, ces attaques, même si elles échouent dans leur tentative d'accès, peuvent consommer des ressources informatiques du pare-feu sécurisé et empêcher les utilisateurs valides de se connecter aux services VPN d'accès à distance.

    Comportements observés

    Lorsque votre pare-feu sécurisé est la cible d'attaques par mot de passe dans les services VPN d'accès à distance, vous pouvez identifier ces attaques en surveillant les journaux système et en utilisant des commandes show spécifiques. Les comportements les plus courants à rechercher sont les suivants :

    Nombre inhabituel de demandes d'authentification rejetées

    La tête de réseau VPN Cisco Secure Firewall ASA ou FTD présente des symptômes d'attaques par pulvérisation de mot de passe avec un taux inhabituel (100 000 ou des millions) de tentatives d'authentification rejetées. 

    Remarque : ces tentatives inhabituelles d'authentification peuvent être dirigées vers la base de données LOCAL ou vers des serveurs d'authentification externes.

    La meilleure façon de détecter ceci est en regardant le syslog. Recherchez un nombre inhabituel d'ID syslog ASA suivants :

    • %ASA-6-113015 
    %ASA-6-113015: AAA user authentication Rejected : reason = User was not found : local database : user = admin : user IP = x.x.x.x

    • %ASA-6-113005 
    %ASA-6-113005: AAA user authentication Rejected : reason = Unspecified : server = x.x.x.x : user = ***** : user IP = x.x.x.x

    • %ASA-6-716039 
    %ASA-6-716039: Group <DfltGrpPolicy> User <admin> IP <x.x.x.x> Authentication: rejected, Session Type: WebVPN.

    Le nom d'utilisateur est toujours masqué jusqu'à ce que la commande no logging hide username soit configurée sur l'ASA.

    Remarque : ceci vous permet de vérifier si des utilisateurs valides sont générés ou connus par des adresses IP incorrectes. Cependant, soyez prudent car les noms d'utilisateurs seront visibles dans les journaux.

    Pour vérifier, connectez-vous à l'interface de ligne de commande (CLI) ASA ou FTD, exécutez la commande show aaa-server, et recherchez un nombre inhabituel de demandes d'authentification tentées et rejetées à l'un des serveurs AAA configurés :

    ciscoasa# show aaa-server

    Server Group: LDAP-SERVER - - - - - >>>> Sprays against external server
    Server Protocol: ldap
    Server Hostname: ldap-server.example.com
    Server Address: 10.10.10.10
    Server port: 636
    Server status: ACTIVE, Last transaction at unknown
    Number of pending requests 0
    Average round trip time 0ms
    Number of authentication requests 2228536 - - - - - >>>> Unusual increments
    Number of authorization requests 0
    Number of accounting requests 0
    Number of retransmissions 0
    Number of accepts 1312
    Number of rejects 2225363 - - - - - >>>> Unusual increments / Unusual rejection rate
    Number of challenges 0
    Number of malformed responses 0
    Number of bad authenticators 0
    Number of timeouts 1
    Number of unrecognized responses 0 

    Recommandations

    Examiner et appliquer les recommandations suivantes.

    1. Activez la journalisation.

    La journalisation est un élément essentiel de la cybersécurité qui implique l'enregistrement des événements se produisant dans un système. L'absence de journaux détaillés laisse des lacunes dans la compréhension, ce qui empêche une analyse claire de la méthode d'attaque. Il est recommandé d'activer la journalisation sur un serveur syslog distant pour améliorer la corrélation et l'audit des incidents réseau et de sécurité sur divers périphériques réseau.

    Pour plus d'informations sur la configuration de la journalisation, reportez-vous aux guides suivants spécifiques à la plate-forme :

    Logiciel Cisco ASA :

    Logiciel Cisco FTD :

    Remarque : les ID de message Syslog nécessaires pour vérifier les comportements décrits dans ce document (113015, 113005 & 716039), doivent être activés au niveau informatif (6). Ces ID font partie des classes de journalisation 'auth' et 'webvpn'.

    2. Configurez les fonctionnalités de détection des menaces ou les mesures de renforcement pour le VPN d'accès à distance.

    Pour réduire l'impact et la probabilité de ces attaques en force sur vos connexions RAVPN, vous pouvez passer en revue et appliquer les options de configuration suivantes :

    Option 1 (préférable) : configurez la détection des menaces pour les services VPN d'accès à distance.

    Les fonctionnalités de détection des menaces pour les services VPN d'accès à distance vous permettent de vous protéger contre ce type d'attaques en bloquant automatiquement l'hôte (adresse IP) qui dépasse les seuils configurés, afin d'empêcher toute nouvelle tentative jusqu'à ce que vous supprimiez manuellement la désactivation de l'adresse IP.

    Ces fonctions de détection des menaces sont actuellement prises en charge dans les versions de Cisco Secure Firewall suivantes :

    Logiciel ASA :

    • train version 9.16 -> pris en charge dans le train 9.16(4)67 et les versions plus récentes dans ce train spécifique
    • train version 9.18 -> pris en charge dans le train 9.18(4)40 et les versions plus récentes dans ce train spécifique
    • train version 9.20 -> pris en charge dans le train 9.20(3) et les versions plus récentes dans ce train spécifique

    Logiciel FTD :

    • train de versions 7.0 -> pris en charge dans la version 7.0.6.3 et les versions ultérieures de ce train spécifique.

    Remarque : ces fonctionnalités ne sont actuellement pas prises en charge dans les versions 7.1, 7.2, 7.3 ou 7.4. Ce document est mis à jour dès qu'ils sont disponibles.

    Pour obtenir des informations détaillées et des conseils de configuration, reportez-vous aux documents suivants :

    Option 2 : appliquer des mesures de renforcement pour le VPN d'accès à distance.

    Si les fonctions de détection des menaces pour les services VPN d'accès à distance ne sont pas prises en charge dans votre version Secure Firewall, mettez en oeuvre toutes les mesures de sécurisation suivantes afin d'atténuer l'impact de ces attaques :

    1. Désactiver l'authentification AAA dans les profils de connexion DefaultWEBVPN et DefaultRAGroup (étape par étape : ASA | FTD géré par FMC).
    2. Désactivez la position de pare-feu sécurisé (Hostscan) à partir des groupes DefaultWEBVPNGroup et DefaultRAGroup (étape par étape : ASA | FTD géré par FMC).
    3. Désactivez les alias de groupe et activez les URL de groupe dans le reste des profils de connexion (étape par étape : ASA | FTD géré par FMC).

    Remarque : si vous avez besoin d'une assistance avec FTD gérée via la gestion locale des pare-feu (FDM), contactez le centre d'assistance technique (TAC) pour obtenir des conseils d'experts.

    Pour plus de détails, veuillez vous reporter au guide Implémenter des mesures de renforcement pour le VPN AnyConnect Secure Client.

    Option 3 : bloquer manuellement les tentatives de connexion provenant de sources malveillantes.

    Afin d'empêcher les tentatives de connexion provenant de sources non autorisées, vous pouvez implémenter l'une des options suivantes :

    • Utilisez la commande « shun » :

    Il s'agit d'une approche simple pour bloquer une adresse IP malveillante, mais elle doit être effectuée manuellement. Veuillez lire la section Configuration alternative pour bloquer les attaques pour le pare-feu sécurisé en utilisant la commande « shun » pour plus de détails. 

    • Configurez la liste de contrôle d’accès du plan de contrôle :

    Implémentez une liste de contrôle d'accès du plan de contrôle sur l'ASA/FTD pour filtrer les adresses IP publiques non autorisées et les empêcher d'initier des sessions VPN distantes. Configurez les stratégies de contrôle d'accès au plan de contrôle pour Secure Firewall Threat Defense et ASA.

    Remarque : Cisco Talos a publié une liste d'adresses IP et d'identifiants associés à ces attaques. Un lien vers leur dépôt GitHub se trouve dans la section « IOC » de leur avis. Il est important de noter que les adresses IP source de ce trafic sont susceptibles de changer. Par conséquent, vous devez consulter les journaux de sécurité (syslog) pour identifier les adresses IP problématiques. Lors de l'identification, l'une des 3 options peut être utilisée pour les bloquer.

    Comportements connexes

    Certains symptômes peuvent apparaître lorsque le pare-feu sécurisé est la cible d'attaques par pulvérisation de mot de passe. Pour résoudre ces problèmes, il faut envisager de mettre en oeuvre les recommandations fournies dans le présent document.

    Symptôme latéral 1 : impossible d'établir des connexions VPN avec Cisco Secure Client (AnyConnect) lorsque la position du pare-feu (HostScan) est activée

    Lors d'une tentative d'établissement d'une connexion RAVPN à l'aide de Cisco Secure Client (AnyConnect), les utilisateurs peuvent rencontrer par intermittence un message d'erreur indiquant "Unable to complete connection. Cisco Secure Desktop n'est pas installé sur le client.". Ce comportement se produit généralement en cas d'échec d'allocation d'un jeton de balayage d'hôte par la tête de réseau VPN, qu'il s'agisse d'un pare-feu ASA ou FTD Cisco. Notamment, cet échec d'allocation est corrélé avec des cas d'attaques en force ciblant l'infrastructure du pare-feu sécurisé et empêche la réussite du processus de connexion VPN. Ce comportement a été suivi et résolu via l'ID de bogue Cisco CSCwj45822.

    secure_client_error

    Remarque : ce comportement spécifique se produit uniquement lorsque la position du pare-feu (HostScan) est activée en tête de réseau, quelle que soit la version du client sécurisé ou AnyConnect utilisée.

    Pour vérifier si la tête de réseau VPN Cisco Secure Firewall ASA ou FTD présente des symptômes d’échecs d’allocation de jeton hostscan, exécutez la commande debug menu webvpn 187 0.

    ASA# debug menu webvpn 187 0 
    Allocated Hostscan token = 1000
    Hostscan token allocate failure = xxx - - - - > Increments

    Remarque : la survenue de ce problème est une conséquence des attaques. Ce comportement a été suivi et résolu via l'ID de bogue Cisco CSCwj45822.

    Pour résoudre ce problème, pensez à mettre en oeuvre les recommandations fournies dans ce document.

    Implémentations de durcissement supplémentaires pour RAVPN

    Vous pouvez envisager des contre-mesures supplémentaires qui nécessitent des modifications supplémentaires dans vos déploiements pour renforcer la sécurité de votre déploiement VPN d'accès à distance, telles que l'adoption de l'authentification basée sur certificat pour RAVPN. Reportez-vous au document Implement Hardening Measures for Secure Client AnyConnect VPN pour obtenir des instructions de configuration détaillées.

    Additional Information

    Historique de révision

    Révision Date de publication Commentaires
    5.0
    06-Sep-2024
    Ajout de la recommandation « Configurer la détection des menaces pour le VPN d'accès à distance ».
    4.0
    22-Apr-2024
    Mise à jour des sections « Renseignements généraux » et « Recommandations ».
    3.0
    15-Apr-2024
    L'ID de bogue Cisco lié CSCwj45822, a ajouté la sous-section « Hostscan Token Exhaustion », a ajouté la section « Additional Hardening Implementations for RAVPN »
    2.0
    01-Apr-2024
    Mise à jour du titre du document, renommage la section « IoC » en « Modèles inhabituels observés » et ajout de détails sous la section « Recommandations ».
    1.0
    26-Mar-2024
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Angel Ortiz
      Responsable technique TAC
    • Kirollos Mikhail
      Ingénieur chef technique

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits