Protegendo o dispositivo Cisco contra ataques de força bruta

7

Estou tentando impedir que os usuários configurem um dispositivo Cisco IOS se eles tiverem digitado senhas incorretas várias vezes. Este é o comando que estou usando:

Router(config)# login block-for 120 attempts 3 within 60

O que deve bloquear as tentativas de login por 120 segundos, caso as senhas incorretas tenham sido inseridas três vezes em 60 segundos. Eu tentei isso no Packet Tracer e parece que não funciona: se você tentar obter acesso ao modo EXEC do usuário do roteador e usar senhas incorretas, não será bloqueado após três tentativas, a única coisa que acontece é que diz " senhas ruins "e você pode continuar tentando. Quais tipos de logon esse comando deve bloquear? usuário EXEC, EXEC privilegiado, porta do console?

Axel Kennedal
fonte
Qual é a saída de show access-list sl_def_acl? Se uma ACL de modo silencioso não tiver sido desenvolvida, ela usará a sl_def_aclACL padrão que não aparece na execução da configuração.
Ryan Foley
Router> pt Router # show-list sl_def_acl Router # conf t Digite os comandos de configuração, um por linha. Termine com CNTL / Z. #Show access-list do roteador (config) sl_def_acl ^% Entrada inválida detectada no marcador '^'. E também não tenho ideia do que você está falando. @Fizzle
Axel Kennedal
@ AxelKennedal-TechTutor lembre-se de que, se você estiver no modo de configuração, precisará alterar a sintaxe de um comando show. A sintaxe correta édo show access-list sl_def_acl
radtrentasei
@radicetrentasei Ele está executando este comando no privilégio executivo. Tome nota Router#show access-list sl_def_acl.
Ryan Foley
@Fizzle Eu estava me referindo aos comandos postados nos comentários.
Radtrentasei

Respostas:

7

Com base nos seus comentários, a sl_def_aclACL padrão não foi carregada na sua configuração, por qualquer motivo. O comportamento do login-blockrecurso é usar um modo silencioso após a violação de determinados parâmetros. No seu caso, após três tentativas falhas em 60 segundos, a ACL será aplicada por um período silencioso por 120 segundos. Se você não definiu explicitamente um modo silencioso, o padrão será a ACL abaixo.

Router#show access-lists sl_def_acl

 Extended IP access list sl_def_acl
     10 deny tcp any any eq telnet
     20 deny tcp any any eq www
     30 deny tcp any any eq 22
     40 permit ip any any

sl_def_aclAmostra padrão da ACL cortesia dos aprimoramentos de logon do Cisco IOS (bloco de logon) .

Definir manualmente sua própria ACL para esses parâmetros é ideal.

login quiet-mode access-class {acl-name | acl-number}

Se você quiser obter informações adicionais sobre como essa função funciona, acesse a Documentação da Cisco que cobre isso para obter mais detalhes.

Ryan Foley
fonte
7

Talvez haja um mal-entendido de como o recurso funciona ... essa é minha configuração básica ... nenhuma ACL explícita é necessária para que a funcionalidade básica funcione

Configuração da linha de base antes de configurar o login block-forrecurso

xconnect01#sh runn | i username|aaa|access-list
username cisco privilege 15 password 7 13061E010803
aaa new-model
aaa authentication login default local-case
aaa authentication enable default enable
aaa session-id common
xconnect01#
xconnect01#sh runn | b line vty
line vty 0 4
 password 7 070C285F4D06
!
ntp clock-period 17180450
ntp server vrf mgmtVrf 172.16.1.5
end

xconnect01#

Configurando o Recurso

Agora eu configuro o login block-forrecurso básico ...

xconnect01#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
xconnect01(config)# login block-for 120 attempts 3 within 60
xconnect01(config)#end
xconnect01#quit
Connection closed by foreign host.
[mpenning@tsunami ~]$

Demonstrando falhas

Inserir alguns logins errados para me bloquear intencionalmente.

[mpenning@tsunami ~]$ date; telnet 172.16.1.240
Thu Mar  6 06:05:20 CST 2014
Trying 172.16.1.240...
Connected to 172.16.1.240.
Escape character is '^]'.


User Access Verification

Username: foobarme
Password:

% Authentication failed

Username: foobarme
Password:

% Authentication failed

Username: foobarme
Password:

% Authentication failed
Connection closed by foreign host.
[mpenning@tsunami ~]$

Demonstrando os blocos por 120 segundos

Observe os comandos date imediatamente antes do meu telnet; estes documentos exatamente quando eu telnet para o roteador de laboratório.

[mpenning@tsunami ~]$ date; telnet 172.16.1.240
Thu Mar  6 06:05:37 CST 2014
Trying 172.16.1.240...
telnet: Unable to connect to remote host: Connection refused
[mpenning@tsunami ~]$
[mpenning@tsunami ~]$ date; telnet 172.16.1.240
Thu Mar  6 06:06:51 CST 2014
Trying 172.16.1.240...
telnet: Unable to connect to remote host: Connection refused
[mpenning@tsunami ~]$

Demonstrando um login bem-sucedido após o período silencioso de 120 segundos

Dois minutos depois de ser bloqueado, posso entrar novamente ...

[mpenning@tsunami ~]$ date; telnet 172.16.1.240
Thu Mar  6 06:07:56 CST 2014
Trying 172.16.1.240...
Connected to 172.16.1.240.
Escape character is '^]'.


User Access Verification

Username: cisco
Password:

xconnect01>
Mike Pennington
fonte