Bảo vệ thiết bị của Cisco khỏi các cuộc tấn công vũ phu

Tôi đang cố gắng chặn người dùng định cấu hình thiết bị Cisco IOS nếu họ đã nhập mật khẩu không chính xác nhiều lần. Đây là lệnh tôi đang sử dụng:

Router(config)# login block-for 120 attempts 3 within 60

Nên chặn các lần thử đăng nhập trong 120 giây trong trường hợp mật khẩu không chính xác đã được nhập ba lần trong vòng 60 giây. Tôi đã thử điều này trong Packet Tracer và nó dường như không hoạt động: Nếu bạn thử truy cập vào chế độ EXEC của người dùng Bộ định tuyến và sử dụng mật khẩu không chính xác, bạn sẽ không bị chặn sau 3 lần thử, điều duy nhất xảy ra là nó nói " mật khẩu xấu "và sau đó bạn có thể tiếp tục thử. Những loại đăng nhập này là lệnh này để chặn? người dùng EXEC, EXEC đặc quyền, cổng console?

cisco security cisco-ios

— Axel Kennedy
nguồn

Đầu ra của là show access-list sl_def_aclgì? Nếu ACL chế độ im lặng chưa được phát triển, nó sẽ sử dụng sl_def_aclACL mặc định không hiển thị trong running-config.

— Ryan Foley

Bộ định tuyến> vi Bộ định tuyến # hiển thị danh sách truy cập sl_def_acl Bộ định tuyến # conf t Nhập các lệnh cấu hình, mỗi lệnh trên một dòng. Kết thúc với CNTL / Z. Bộ định tuyến (cấu hình) #show danh sách truy cập sl_def_acl ^% Đầu vào không hợp lệ được phát hiện tại điểm đánh dấu '^'. Ngoài ra, tôi không biết bạn đang nói về cái gì. @Fizzle

— Axel Kennedal

@ AxelKennedal-TechTutor hãy nhớ rằng nếu bạn đang ở chế độ cấu hình, bạn cần thay đổi cú pháp cho lệnh show. Cú pháp đúng làdo show access-list sl_def_acl

— radtrentasei

@radicetrentasei Ông đang chạy lệnh này tại đặc quyền exec. Hãy lưu ý Router#show access-list sl_def_acl.

— Ryan Foley

@Fizzle Tôi đã tham khảo các lệnh được đăng trong các ý kiến.

— radtrentasei

Câu trả lời:

Dựa trên nhận xét của bạn, sl_def_aclACL mặc định không tải vào cấu hình của bạn, vì bất kỳ lý do gì. Hành vi của login-blocktính năng là sử dụng chế độ im lặng sau khi một số tham số nhất định đã bị vi phạm. Trong trường hợp của bạn, sau 3 lần thất bại trong vòng 60 giây sẽ áp dụng ACL trong khoảng thời gian yên tĩnh trong 120 giây. Nếu bạn chưa xác định rõ ràng chế độ im lặng, nó sẽ mặc định là ACL bên dưới.

Router#show access-lists sl_def_acl

 Extended IP access list sl_def_acl
     10 deny tcp any any eq telnet
     20 deny tcp any any eq www
     30 deny tcp any any eq 22
     40 permit ip any any

^{sl_def_aclMẫu mã ACL mặc định của Cải tiến đăng nhập Cisco IOS (Khối đăng nhập) .}

Xác định thủ công ACL của riêng bạn cho các tham số này là lý tưởng.

login quiet-mode access-class {acl-name | acl-number}

Nếu bạn muốn biết thêm thông tin về cách thức hoạt động của chức năng này, hãy bật lên Tài liệu của Cisco bao gồm điều này để biết thêm chi tiết.

— Ryan Foley
nguồn

Có lẽ có sự hiểu lầm về cách thức hoạt động của tính năng này ... đây là cấu hình cơ sở của tôi ... không yêu cầu ACL rõ ràng để chức năng cơ bản hoạt động

Cấu hình đường cơ sở trước khi định cấu hình `login block-for`tính năng

xconnect01#sh runn | i username|aaa|access-list
username cisco privilege 15 password 7 13061E010803
aaa new-model
aaa authentication login default local-case
aaa authentication enable default enable
aaa session-id common
xconnect01#
xconnect01#sh runn | b line vty
line vty 0 4
 password 7 070C285F4D06
!
ntp clock-period 17180450
ntp server vrf mgmtVrf 172.16.1.5
end

xconnect01#

Cấu hình tính năng

Bây giờ tôi định cấu hình login block-fortính năng cơ bản ...

xconnect01#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
xconnect01(config)# login block-for 120 attempts 3 within 60
xconnect01(config)#end
xconnect01#quit
Connection closed by foreign host.
[mpenning@tsunami ~]$

Chứng tỏ thất bại

Nhập một số thông tin đăng nhập sai để cố ý chặn chính tôi.

[mpenning@tsunami ~]$ date; telnet 172.16.1.240
Thu Mar  6 06:05:20 CST 2014
Trying 172.16.1.240...
Connected to 172.16.1.240.
Escape character is '^]'.


User Access Verification

Username: foobarme
Password:

% Authentication failed

Username: foobarme
Password:

% Authentication failed

Username: foobarme
Password:

% Authentication failed
Connection closed by foreign host.
[mpenning@tsunami ~]$

Chứng minh các khối trong 120 giây

Lưu ý các lệnh ngày ngay trước khi tôi telnet; những tài liệu này chính xác khi tôi telnet đến bộ định tuyến phòng thí nghiệm.

[mpenning@tsunami ~]$ date; telnet 172.16.1.240
Thu Mar  6 06:05:37 CST 2014
Trying 172.16.1.240...
telnet: Unable to connect to remote host: Connection refused
[mpenning@tsunami ~]$
[mpenning@tsunami ~]$ date; telnet 172.16.1.240
Thu Mar  6 06:06:51 CST 2014
Trying 172.16.1.240...
telnet: Unable to connect to remote host: Connection refused
[mpenning@tsunami ~]$

Chứng minh đăng nhập thành công sau khoảng thời gian yên tĩnh 120 giây

Hai phút sau khi bị chặn, tôi có thể đăng nhập lại ...

[mpenning@tsunami ~]$ date; telnet 172.16.1.240
Thu Mar  6 06:07:56 CST 2014
Trying 172.16.1.240...
Connected to 172.16.1.240.
Escape character is '^]'.


User Access Verification

Username: cisco
Password:

xconnect01>

— Mike Pennington
nguồn