ブルートフォース攻撃からのシスコデバイスの保護

7

ユーザーが誤ったパスワードを何度も入力した場合に、Cisco IOSデバイスを構成できないようにしようとしています。これは私が使用しているコマンドです:

Router(config)# login block-for 120 attempts 3 within 60

不正なパスワードが60秒以内に3回入力された場合に、120秒間のログイン試行をブロックする必要があります。私はこれをパケットトレーサーで試してみましたが、機能していないようです。ルーターのユーザーEXECモードにアクセスして、3回試行してもブロックされない不正なパスワードを使用しようとすると、唯一のことは、「不正なパスワード」の場合は、引き続き試行できます。このコマンドはどのタイプのログインをブロックすることになっていますか?ユーザーEXEC、特権EXEC、コンソールポート?

cisco  security  cisco-ios 
アクセルケネダール
ソース
の出力はshow access-list sl_def_acl何ですか?クワイエットモードACLが開発されsl_def_aclていない場合は、running-configに表示されないデフォルトのACL が使用されます。
ライアンフォーリー
Router> en Router#show access-list sl_def_acl Router#conf t設定コマンドを1行に1つずつ入力します。CNTL / Zで終了します。Router(config)#show access-list sl_def_acl ^% '^'マーカーで無効な入力が検出されました。また、私はあなたが何を話しているのか分かりません。@Fizzle
アクセル
@ AxelKennedal-TechTutorは、設定モードの場合、showコマンドの構文を変更する必要があることを覚えておいてください。正しい構文は次のとおりですdo show access-list sl_def_acl
radtrentasei 2014年
@radicetrentasei彼は特権execでこのコマンドを実行しています。に注意してくださいRouter#show access-list sl_def_acl
Ryan Foley 14年
@Fizzleコメントに投稿されたコマンドを参照していました。
radtrentasei 2014年

回答:

7

コメントに基づいて、sl_def_acl何らかの理由でデフォルトACLが設定に読み込まれませんでした。このlogin-block機能の動作は、特定のパラメーターに違反した後に静止モードを使用することです。あなたの場合、60秒以内に3回失敗した後、120秒間の待機期間ACLが適用されます。クワイエットモードを明示的に定義していない場合、デフォルトで以下のACLになります。

Router#show access-lists sl_def_acl

 Extended IP access list sl_def_acl
     10 deny tcp any any eq telnet
     20 deny tcp any any eq www
     30 deny tcp any any eq 22
     40 permit ip any any

Cisco IOSログイン拡張(ログインブロック)のデフォルトsl_def_aclACLサンプル。

これらのパラメーターに独自のACLを手動で定義するのが理想的です。

login quiet-mode access-class {acl-name | acl-number}

この機能がどのように機能するかについての追加情報が必要な場合は、詳細についてこれをカバーしているシスコのドキュメントに進んでください。

ライアン・フォーリー
ソース
7

機能がどのように機能するかについて誤解があるかもしれません...これは私の基本構成です...基本的な機能が機能するために明示的なACLは必要ありません

login block-for機能を構成する前のベースライン構成

xconnect01#sh runn | i username|aaa|access-list
username cisco privilege 15 password 7 13061E010803
aaa new-model
aaa authentication login default local-case
aaa authentication enable default enable
aaa session-id common
xconnect01#
xconnect01#sh runn | b line vty
line vty 0 4
 password 7 070C285F4D06
!
ntp clock-period 17180450
ntp server vrf mgmtVrf 172.16.1.5
end

xconnect01#

機能の構成

次に、基本login block-for機能を構成します...

xconnect01#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
xconnect01(config)# login block-for 120 attempts 3 within 60
xconnect01(config)#end
xconnect01#quit
Connection closed by foreign host.
[mpenning@tsunami ~]$

失敗の実証

意図的に自分をブロックするために、いくつかの間違ったログインを入力する。

[mpenning@tsunami ~]$ date; telnet 172.16.1.240
Thu Mar  6 06:05:20 CST 2014
Trying 172.16.1.240...
Connected to 172.16.1.240.
Escape character is '^]'.


User Access Verification

Username: foobarme
Password:

% Authentication failed

Username: foobarme
Password:

% Authentication failed

Username: foobarme
Password:

% Authentication failed
Connection closed by foreign host.
[mpenning@tsunami ~]$

120秒間のブロックのデモ

myの直前の日付コマンドに注意してくださいtelnet。これらのドキュメントは、ラボのルーターにTelnetで接続したときとまったく同じです。

[mpenning@tsunami ~]$ date; telnet 172.16.1.240
Thu Mar  6 06:05:37 CST 2014
Trying 172.16.1.240...
telnet: Unable to connect to remote host: Connection refused
[mpenning@tsunami ~]$
[mpenning@tsunami ~]$ date; telnet 172.16.1.240
Thu Mar  6 06:06:51 CST 2014
Trying 172.16.1.240...
telnet: Unable to connect to remote host: Connection refused
[mpenning@tsunami ~]$

120秒の休止期間後にログインが成功したことを示す

ブロックされてから2分後にもう一度ログインできます...

[mpenning@tsunami ~]$ date; telnet 172.16.1.240
Thu Mar  6 06:07:56 CST 2014
Trying 172.16.1.240...
Connected to 172.16.1.240.
Escape character is '^]'.


User Access Verification

Username: cisco
Password:

xconnect01>
マイク・ペニントン
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.