Asegurar el dispositivo Cisco de ataques de fuerza bruta

Estoy tratando de impedir que los usuarios configuren un dispositivo Cisco IOS si han ingresado contraseñas incorrectas varias veces. Este es el comando que estoy usando:

Router(config)# login block-for 120 attempts 3 within 60

Lo que debería bloquear los intentos de inicio de sesión durante 120 segundos en caso de que se hayan ingresado contraseñas incorrectas tres veces en 60 segundos. He intentado esto en Packet Tracer y parece que no funciona: si intentas obtener acceso al modo EXEC del usuario del enrutador y usas contraseñas incorrectas, no estás bloqueado después de 3 intentos, lo único que sucede es que dice " contraseñas malas "y luego puedes seguir intentándolo. ¿Qué tipos de inicio de sesión se supone que este comando bloquea? usuario EXEC, EXEC privilegiado, puerto de consola?

cisco security cisco-ios Axel Kennedal
fuente

¿Cuál es la salida de show access-list sl_def_acl? Si no se ha desarrollado una ACL en modo silencioso, utilizará la sl_def_aclACL predeterminada que no aparece en la configuración de ejecución.

Ryan Foley

Router> es Router # show access-list sl_def_acl Router # conf t Ingrese los comandos de configuración, uno por línea. Termina con CNTL / Z. Router (config) #show access-list sl_def_acl ^% Entrada no válida detectada en el marcador '^'. Y además, no tengo idea de lo que estás hablando. @Fizzle

Axel Kennedal

@ AxelKennedal-TechTutor recuerda que si estás en el modo de configuración debes cambiar la sintaxis de un comando show. La sintaxis correcta esdo show access-list sl_def_acl

radtrentasei

@radicetrentasei Está ejecutando este comando con privilegios de ejecución. Tomar nota de Router#show access-list sl_def_acl.

Ryan Foley

@Fizzle Me refería a los comandos publicados en los comentarios.

radtrentasei

Respuestas:

Según sus comentarios, la sl_def_aclACL predeterminada no se cargó en su configuración, por cualquier razón. El comportamiento de la login-blockfunción es utilizar un modo silencioso después de que se hayan violado ciertos parámetros. En su caso, después de 3 intentos fallidos dentro de los 60 segundos, se aplicará un ACL de período de silencio durante 120 segundos. Si no ha definido explícitamente un modo silencioso, el valor predeterminado será la siguiente ACL.

Router#show access-lists sl_def_acl

 Extended IP access list sl_def_acl
     10 deny tcp any any eq telnet
     20 deny tcp any any eq www
     30 deny tcp any any eq 22
     40 permit ip any any

^{sl_def_aclMuestra de ACL predeterminada cortesía de las mejoras de inicio de sesión de Cisco IOS (bloqueo de inicio de sesión) .}

Definir manualmente su propia ACL para estos parámetros es ideal.

login quiet-mode access-class {acl-name | acl-number}

Si desea información adicional sobre cómo funciona esta función, vaya a la Documentación de Cisco que cubre esto para obtener más detalles.

Ryan Foley
fuente

Quizás haya un malentendido sobre cómo funciona la función ... esta es mi configuración base ... no se requiere una ACL explícita para que funcione la funcionalidad básica

Configuración de línea de base antes de configurar la `login block-for`función

xconnect01#sh runn | i username|aaa|access-list
username cisco privilege 15 password 7 13061E010803
aaa new-model
aaa authentication login default local-case
aaa authentication enable default enable
aaa session-id common
xconnect01#
xconnect01#sh runn | b line vty
line vty 0 4
 password 7 070C285F4D06
!
ntp clock-period 17180450
ntp server vrf mgmtVrf 172.16.1.5
end

xconnect01#

Configurar la función

Ahora configuro la login block-forfunción básica ...

xconnect01#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
xconnect01(config)# login block-for 120 attempts 3 within 60
xconnect01(config)#end
xconnect01#quit
Connection closed by foreign host.
[mpenning@tsunami ~]$

Demostrando fallas

Ingresando algunos inicios de sesión incorrectos para bloquearme intencionalmente.

[mpenning@tsunami ~]$ date; telnet 172.16.1.240
Thu Mar  6 06:05:20 CST 2014
Trying 172.16.1.240...
Connected to 172.16.1.240.
Escape character is '^]'.


User Access Verification

Username: foobarme
Password:

% Authentication failed

Username: foobarme
Password:

% Authentication failed

Username: foobarme
Password:

% Authentication failed
Connection closed by foreign host.
[mpenning@tsunami ~]$

Demostrando los bloques por 120 segundos

Observe los comandos de fecha justo antes de mi telnet; estos documentos exactamente cuando telnet al enrutador de laboratorio.

[mpenning@tsunami ~]$ date; telnet 172.16.1.240
Thu Mar  6 06:05:37 CST 2014
Trying 172.16.1.240...
telnet: Unable to connect to remote host: Connection refused
[mpenning@tsunami ~]$
[mpenning@tsunami ~]$ date; telnet 172.16.1.240
Thu Mar  6 06:06:51 CST 2014
Trying 172.16.1.240...
telnet: Unable to connect to remote host: Connection refused
[mpenning@tsunami ~]$

Demostrar un inicio de sesión exitoso después del período de silencio de 120 segundos

Dos minutos después de ser bloqueado, puedo volver a iniciar sesión ...

[mpenning@tsunami ~]$ date; telnet 172.16.1.240
Thu Mar  6 06:07:56 CST 2014
Trying 172.16.1.240...
Connected to 172.16.1.240.
Escape character is '^]'.


User Access Verification

Username: cisco
Password:

xconnect01>

Mike Pennington
fuente