Schutz des Cisco-Geräts vor Brute-Force-Angriffen

Ich versuche, Benutzer daran zu hindern, ein Cisco IOS-Gerät zu konfigurieren, wenn sie mehrmals falsche Kennwörter eingegeben haben. Dies ist der Befehl, den ich verwende:

Router(config)# login block-for 120 attempts 3 within 60

Dies sollte Anmeldeversuche für 120 Sekunden blockieren, falls innerhalb von 60 Sekunden dreimal falsche Passwörter eingegeben wurden. Ich habe dies in Packet Tracer versucht und es scheint nicht zu funktionieren: Wenn Sie versuchen, Zugriff auf den EXEC-Modus des Routers zu erhalten und falsche Kennwörter verwenden, werden Sie nach drei Versuchen nicht blockiert. Das einzige, was passiert, ist, dass " schlechte Passwörter "und dann können Sie es weiter versuchen. Welche Arten der Anmeldung soll dieser Befehl blockieren? Benutzer EXEC, privilegierte EXEC, Konsolenport?

cisco security cisco-ios

— Axel Kennedal
quelle

Was ist die Ausgabe von show access-list sl_def_acl? Wenn keine ACL im Ruhezustand entwickelt wurde, wird die Standard- sl_def_aclACL verwendet, die in running-config nicht angezeigt wird .

— Ryan Foley

Router> de Router # show access-list sl_def_acl Router # conf t Geben Sie Konfigurationsbefehle ein, einen pro Zeile. Beenden Sie mit CNTL / Z. Router (config) #show access-list sl_def_acl ^% Ungültige Eingabe bei Markierung '^' erkannt. Und außerdem habe ich keine Ahnung, wovon Sie sprechen. @ Fizzle

— Axel Kennedal

@ AxelKennedal-TechTutor Denken Sie daran, dass Sie im Konfigurationsmodus die Syntax für einen show-Befehl ändern müssen. Die korrekte Syntax istdo show access-list sl_def_acl

— radtrentasei

@radicetrentasei Er führt diesen Befehl bei privileg exec aus. Beachten Sie Router#show access-list sl_def_acl.

— Ryan Foley

@Fizzle Ich bezog mich auf die Befehle in den Kommentaren.

— Radtrentasei

Antworten:

Basierend auf Ihren Kommentaren wurde die Standard- sl_def_aclACL aus irgendeinem Grund nicht in Ihre Konfiguration geladen. Das Verhalten der login-blockFunktion besteht darin, einen ruhigen Modus zu verwenden, nachdem bestimmte Parameter verletzt wurden. In Ihrem Fall wird nach 3 fehlgeschlagenen Versuchen innerhalb von 60 Sekunden eine Ruheperioden-ACL für 120 Sekunden angewendet. Wenn Sie keinen stillen Modus explizit definiert haben, wird standardmäßig die folgende ACL verwendet.

Router#show access-lists sl_def_acl

 Extended IP access list sl_def_acl
     10 deny tcp any any eq telnet
     20 deny tcp any any eq www
     30 deny tcp any any eq 22
     40 permit ip any any

^{Standard- sl_def_aclACL-Beispiel für Cisco IOS Login Enhancements (Login Block) .}

Das manuelle Definieren Ihrer eigenen ACL für diese Parameter ist ideal.

login quiet-mode access-class {acl-name | acl-number}

Wenn Sie zusätzliche Informationen zur Funktionsweise dieser Funktion wünschen, lesen Sie die Cisco-Dokumentation , in der dies ausführlicher beschrieben wird.

— Ryan Foley
quelle

Möglicherweise gibt es ein Missverständnis darüber, wie die Funktion funktioniert ... dies ist meine Basiskonfiguration ... es ist keine explizite ACL erforderlich, damit die Grundfunktionalität funktioniert

Basiskonfiguration vor dem Konfigurieren der `login block-for`Funktion

xconnect01#sh runn | i username|aaa|access-list
username cisco privilege 15 password 7 13061E010803
aaa new-model
aaa authentication login default local-case
aaa authentication enable default enable
aaa session-id common
xconnect01#
xconnect01#sh runn | b line vty
line vty 0 4
 password 7 070C285F4D06
!
ntp clock-period 17180450
ntp server vrf mgmtVrf 172.16.1.5
end

xconnect01#

Funktion konfigurieren

Jetzt konfiguriere ich die Grundfunktion login block-for...

xconnect01#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
xconnect01(config)# login block-for 120 attempts 3 within 60
xconnect01(config)#end
xconnect01#quit
Connection closed by foreign host.
[mpenning@tsunami ~]$

Fehler demonstrieren

Geben Sie falsche Anmeldungen ein, um mich absichtlich zu blockieren.

[mpenning@tsunami ~]$ date; telnet 172.16.1.240
Thu Mar  6 06:05:20 CST 2014
Trying 172.16.1.240...
Connected to 172.16.1.240.
Escape character is '^]'.


User Access Verification

Username: foobarme
Password:

% Authentication failed

Username: foobarme
Password:

% Authentication failed

Username: foobarme
Password:

% Authentication failed
Connection closed by foreign host.
[mpenning@tsunami ~]$

Demonstration der Blöcke für 120 Sekunden

Beachten Sie die Datumsbefehle kurz vor meinem telnet; Diese dokumentieren genau, wann ich mit dem Labor-Router telnete.

[mpenning@tsunami ~]$ date; telnet 172.16.1.240
Thu Mar  6 06:05:37 CST 2014
Trying 172.16.1.240...
telnet: Unable to connect to remote host: Connection refused
[mpenning@tsunami ~]$
[mpenning@tsunami ~]$ date; telnet 172.16.1.240
Thu Mar  6 06:06:51 CST 2014
Trying 172.16.1.240...
telnet: Unable to connect to remote host: Connection refused
[mpenning@tsunami ~]$

Demonstration einer erfolgreichen Anmeldung nach der Ruhezeit von 120 Sekunden

Zwei Minuten nach dem Blockieren kann ich mich wieder anmelden ...

[mpenning@tsunami ~]$ date; telnet 172.16.1.240
Thu Mar  6 06:07:56 CST 2014
Trying 172.16.1.240...
Connected to 172.16.1.240.
Escape character is '^]'.


User Access Verification

Username: cisco
Password:

xconnect01>

— Mike Pennington
quelle