Seit im April vermehrt Password-Spraying- und Brute-Force-Attacken auf VPN-Log-ins vorkamen, hatte Cisco Tipps zur Absicherung von VPNs gegeben. Inzwischen hat Cisco die Anleitung mehrfach aktualisiert – und auch weitere Firmware-Versionen von ASA- und FTD-Appliances mit aktivierbaren Schutzfunktionen ausgestattet. Admins sollten sie kennen und aktivieren.
Anzeige
Die Anleitung mit den Tipps von Cisco gibt zunächst Einblick in das grundsätzliche Problem: Angreifer versuchen, unbefugten Zugriff zu Nutzerkonten zu erlangen, indem sie einige üblicherweise verwendete Passwörter für mehrere Konten ausprobieren. Schlimmstenfalls erlangen die Angreifer Vollzugriff und können betroffene Geräte vollständig kompromittieren, aber auch das Aufbrauchen von Ressourcen und ein damit einhergehender Denial-of-Service können die Folge sein. Andere Nutzerinnen und Nutzer können dann etwa VPN zum Netzwerkzugriff nicht mehr nutzen.
Um Angriffe etwa mittels Password-Spraying-Attacken zu erkennen, sei eine Überwachung der Systemprotokolle und der Einsatz bestimmter "show"-Befehle nötig. Etwa eine unüblich hohe Rate von zurückgewiesenen Authentifizierungsversuchen deute auf einen Angriff, was etwa durch die ASA-Syslog-IDs %ASA-6-113015, %ASA-6-113005 oder %ASA-6-716039 in den Protokollen auffällt.
Um solche Ereignisse zu sehen, muss zunächst das Logging aktiviert werden. Im zweiten Schritt soll die Konfiguration von den Bedrohungserkennungen für die VPN-Dienste (Remote Access VPN Services) erfolgen. Diese ermöglichen dann für IPv4-Verbindungen automatische Blockade nach Überschreiten einstellbarer Schwellwerte. Die neuen Erkennungen stehen bereit für "Repeated failed authentication attempts" (wiederholte fehlgeschlagene Authentifizierungsversuche), "Client initiation attacks" (Angreifer starten einen Verbindungsversuch, beenden ihn aber nicht) sowie "Connection attempts to invalid remote access VPN services" (Angreifer versuchen, auf Tunnel-Gruppen zu verbinden, die ausschließlich für interne Gerätefunktionen gedacht sind).