購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
3194
閲覧回数
0
いいね!
0
コメント

ASA: threat-detection scanning-threat を用いたスキャニングの調査

Taisuke Nakamura
Cisco Employee
Cisco Employee

‎2015-06-27 10:39 PM ‎2017-08-31 10:49 AM 更新

 

 

はじめに

"threat-detection scanning-threat"コマンドを実行する事で、ASAは情報収集を開始し、Network Scanや Port Sweepを行う、もしくは その脅威を受けている特定ホストやサブネットの検知を試みる事が可能です。

本ドキュメントでは試験構成での結果をベースに、スキャニングのAttackerとTargetの調査例について紹介します。

なお、"threat-detection scanning-threat"を有効化した場合、1割程度の性能低下が発生する恐れがあります。その為、利用時はASAのCPU使用率に注意し、トラブルシューティング時のみの利用を検討して下さい。

本ドキュメントは、ASAバージョン 9.4(1)を利用し確認、作成してます。


 

試験構成

Attacker(172.16.0.1)から Target(172.16.0.2)に Port Sweepを実行し、ASAにて その検知と、AttackerとTargetの調査を試みます。



ASA有効化設定  

"threat-detection basic-threat"はデフォルト有効で、パフォーマンス影響は殆どありません。

"threat-detection scanning-threat"を有効化すると、ASAはスキャニング分析用のデータベースを作成し、分析を行います。1割程度のパフォーマンス影響の恐れがある為、高負荷のシステムでは慎重に実行して下さい。

"threat-detection rate scanning-threat"コマンドで検知レートの調整が可能です。本試験では 検知しやすいよう各rateを下げテストしていますが、rateを下げると false positive(誤検知)の可能性も上がる為、通信環境に合わせ rateを調整してください。通常はまずはデフォルトで問題ありません。

ciscoasa(config)# show run threat
threat-detection basic-threat
threat-detection scanning-threat
threat-detection rate scanning-threat rate-interval 600 average-rate 1 burst-rate 1
threat-detection rate scanning-threat rate-interval 3600 average-rate 4 burst-rate 8


Attackerの IPアドレスが判明している場合、より詳細な分析の為に、キャプチャコマンドを 合わせ有効化します。

ciscoasa# capture IN buffer 33554432 interface inside match ip host 172.16.0.1 any


 

Attackerが Port Sweep実行時、ASA出力

ASAはスキャニングの脅威を検出すると シスログメッセージ %ASA-4-733100 を生成します。

ciscoasa# show log | in Scan
May 11 2015 12:47:28: %ASA-4-733100: [ Scanning] drop rate-1 exceeded. Current burst rate is 0 per second, max configured rate is 0; Current average rate is 7 per second, max configured rate is 0; Cumulative total count is 4456
May 11 2015 12:47:48: %ASA-4-733100: [ Scanning] drop rate-1 exceeded. Current burst rate is 0 per second, max configured rate is 0; Current average rate is 5 per second, max configured rate is 0; Cumulative total count is 3373
May 11 2015 12:48:08: %ASA-4-733100: [ Scanning] drop rate-1 exceeded. Current burst rate is 4 per second, max configured rate is 0; Current average rate is 2 per second, max configured rate is 0; Cumulative total count is 1307


"show threat-detection scanning-threat"コマンドで、AttackerとTargetの、ホストやサブネット情報一覧を出力します。

ciscoasa(config)# show threat scanning
Latest Target Host & Subnet List:
    172.16.0.2 (outside)
Latest Attacker Host & Subnet List:
    172.16.0.1 (inside)


事前にキャプチャを有効にしている場合、"show capture <capname>"コマンドで Attackerのパケット傾向を分析します。必要に応じて、コチラを参照し、ASAからpcapファイル形式でキャプチャデータを取得し分析します。以下の検知例の場合、172.16.0.1 --> 172.16.0.2 宛の TCP SYN Port Sweepが試みられている事が わかります。

ciscoasa# show capture
capture IN type raw-data buffer 33554432 interface inside [Capturing - 158116 bytes]
  match ip host 172.16.0.1 any
ciscoasa#
ciscoasa# show capture IN
2194 packets captured
   1: 13:01:14.176046       172.16.0.1.35729 > 172.16.0.2.5900: S 1856858029:1856858029(0) win 1024 <mss 1460>
   2: 13:01:14.176657       172.16.0.1.35729 > 172.16.0.2.23: S 1856858029:1856858029(0) win 1024 <mss 1460>
   3: 13:01:14.176901       172.16.0.1.35729 > 172.16.0.2.80: S 1856858029:1856858029(0) win 1024 <mss 1460>
   4: 13:01:14.177053       172.16.0.1.35729 > 172.16.0.2.199: S 1856858029:1856858029(0) win 1024 <mss 1460>
   5: 13:01:14.177206       172.16.0.1.35729 > 172.16.0.2.443: S 1856858029:1856858029(0) win 1024 <mss 1460>
   6: 13:01:14.177328       172.16.0.1.35729 > 172.16.0.2.256: S 1856858029:1856858029(0) win 1024 <mss 1460>
   7: 13:01:14.177435       172.16.0.1.35729 > 172.16.0.2.1025: S 1856858029:1856858029(0) win 1024 <mss 1460>
   8: 13:01:14.177526       172.16.0.1.35729 > 172.16.0.2.8888: S 1856858029:1856858029(0) win 1024 <mss 1460>
   9: 13:01:14.177633       172.16.0.1.35729 > 172.16.0.2.1720: S 1856858029:1856858029(0) win 1024 <mss 1460>
  10: 13:01:14.177694       172.16.0.1.35729 > 172.16.0.2.53: S 1856858029:1856858029(0) win 1024 <mss 1460>


 

Scanning-threat 情報のクリア

"clear threat-detection scanning-threat"コマンドを実行する事で、検知エンジン内の関連情報のクリアと、再検知が可能です。rateを変更し再分析したい時などに実行します。

ciscoasa(config)# clear threat scann
ciscoasa(config)# sh threat scann
Latest Target Host & Subnet List:
Latest Attacker Host & Subnet List:


 

調査完了後

有効化した scanning-threat 設定とキャプチャを無効化します。

ciscoasa(config)# no threat-detection scanning-threat
ciscoasa(config)# no capture IN


 

参考情報

ASA の脅威検出機能および設定
http://www.cisco.com/cisco/web/support/JP/111/1116/1116677_asa-threat-detection.html

ASA: パケットキャプチャ機能の活用(CLI)
https://supportforums.cisco.com/ja/document/12437966

0 いいね!
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents