Разлика между версии на „Подсигуряване на административен достъп до устройства на Cisco“
(4 intermediate revisions by the same user not shown) | |||
Ред 1: | Ред 1: | ||
+ | [[Category:Cisco]] | ||
Подсигуряването на административния достъп до мрежовите устройства е изключително важен. Основна защита на Cisco IOS системи може да се извърши чрез: | Подсигуряването на административния достъп до мрежовите устройства е изключително важен. Основна защита на Cisco IOS системи може да се извърши чрез: | ||
*Закъснение между два отделни опита за административен достъп | *Закъснение между два отделни опита за административен достъп | ||
Ред 28: | Ред 29: | ||
При "тих режим" всички административни линии са заключени и ако е необходимо легитимен администратор да получи отдалечен достъп ще е невъзможно. За да се избегне тази ситуация може да се зададе ACL, която да определя от кои устройства (мрежи) да може да се осигури достъп до устройството, дори в "Quiet mode". | При "тих режим" всички административни линии са заключени и ако е необходимо легитимен администратор да получи отдалечен достъп ще е невъзможно. За да се избегне тази ситуация може да се зададе ACL, която да определя от кои устройства (мрежи) да може да се осигури достъп до устройството, дори в "Quiet mode". | ||
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap;white-space: -pre-wrap;white-space: -o-pre-wrap; word-wrap: break-word"> | <pre style="white-space: pre-wrap; white-space: -moz-pre-wrap;white-space: -pre-wrap;white-space: -o-pre-wrap; word-wrap: break-word"> | ||
− | Router(config)# login quiet-mode access-class | + | Router(config)# login quiet-mode access-class {acl-name | acl-number} |
</pre> | </pre> | ||
Ред 38: | Ред 39: | ||
Router(config-std-nacl)# exit | Router(config-std-nacl)# exit | ||
Router(config)# login quiet-mode access-class ADMIN-PC | Router(config)# login quiet-mode access-class ADMIN-PC | ||
+ | </pre> | ||
+ | |||
+ | За да се проверят настройките за подсигуряването на административния достъп може да се използва командата "show login": | ||
+ | <pre style="white-space: pre-wrap; white-space: -moz-pre-wrap;white-space: -pre-wrap;white-space: -o-pre-wrap; word-wrap: break-word"> | ||
+ | Router#show login | ||
+ | A default login delay of 1 seconds is applied. | ||
+ | Quiet-Mode access list ADMIN-PC is applied. | ||
+ | |||
+ | Router enabled to watch for login Attacks. | ||
+ | If more than 10 login failures occur in 90 seconds or less, | ||
+ | logins will be disabled for 180 seconds. | ||
+ | |||
+ | Router presently in Normal-Mode. | ||
+ | Current Watch Window remaining time 79 seconds. | ||
+ | Present login failure count 0. | ||
+ | </pre> | ||
+ | |||
+ | =Генериране на съобщения в журнала (log)= | ||
+ | За да се генерира съобщение в журнала при неуспешни опити за административен достъп може да се използват командите: | ||
+ | <pre style="white-space: pre-wrap; white-space: -moz-pre-wrap;white-space: -pre-wrap;white-space: -o-pre-wrap; word-wrap: break-word"> | ||
+ | Router(config)# login on-success log [every login] | ||
+ | Router(config)# login on-failure log [every login] | ||
+ | Router(config)# security authentication failure rate [threshold-rate] log | ||
+ | </pre> | ||
+ | |||
+ | Командата '''login on-success log''' генерира syslog съобщение при всеки '''успешен опит''' за административен достъп. При атака по метода на грубата сила е възможно да се получи голям брой съобщения, което да е нежелателно. За да се избегне тази ситуация може да се използва параметъра '''[every login]''', който да посочи броя, при достигане на който да се генерира съобщението. | ||
+ | |||
+ | Командата ''' login on-failure log''' има аналогична на '''login on-success log''' функционалност, но се генерира съобщение при '''неуспешен''' опит за административен достъп. | ||
+ | |||
+ | Последната команда '''security authentication failure rate''' генерира syslog съобщение, ако неуспешните опити за административен достъп до устройството надвишат стойността, посочена в параметъра '''[threshold-rate]'''. | ||
+ | |||
+ | Пример за приложение на гореописаните команди е: | ||
+ | <pre style="white-space: pre-wrap; white-space: -moz-pre-wrap;white-space: -pre-wrap;white-space: -o-pre-wrap; word-wrap: break-word"> | ||
+ | Router(config)# login on-success log | ||
+ | Router(config)# login on-failure log every 5 | ||
+ | Router(config)# security authentication failure rate 10 log | ||
+ | </pre> | ||
+ | |||
+ | =Извеждане на данни за неуспешни опити за административен достъп= | ||
+ | Полезна команда, която извежда подробна информация за неуспешните опити за административен достъп е '''show login failure'''. | ||
+ | <pre style="white-space: pre-wrap; white-space: -moz-pre-wrap;white-space: -pre-wrap;white-space: -o-pre-wrap; word-wrap: break-word"> | ||
+ | Router#show login failures | ||
+ | Information about last 50 login failure's with the device | ||
+ | |||
+ | Username SourceIPAddr lPort Count TimeStamp | ||
+ | admin 192.168.1.133 22 2 09:11:29 UTC Tue Jul 14 2015 | ||
+ | </pre> | ||
+ | |||
+ | =Ctrl+C/Ctrl+V= | ||
+ | <pre style="white-space: pre-wrap; white-space: -moz-pre-wrap;white-space: -pre-wrap;white-space: -o-pre-wrap; word-wrap: break-word"> | ||
+ | ip access-list standard ADMIN-PC | ||
+ | permit host 10.0.0.2 | ||
+ | permit host 10.0.0.10 | ||
+ | exit | ||
+ | |||
+ | login quiet-mode access-class ADMIN-PC | ||
+ | login block-for 180 attempts 10 within 90 | ||
+ | |||
+ | login on-success log | ||
+ | login on-failure log every 5 | ||
+ | security authentication failure rate 10 log | ||
</pre> | </pre> |
Текуща версия към 08:23, 14 юли 2015
Подсигуряването на административния достъп до мрежовите устройства е изключително важен. Основна защита на Cisco IOS системи може да се извърши чрез:
- Закъснение между два отделни опита за административен достъп
- Блокиране на линиите, ако има съмнения за "access" или DoS атака
- Генериране на съобщения в журнала (log)
Важно е да се отбележи, че тези механизми не се отнасят за конзолата (console).
Съдържание
Закъснение между два отделни опита за административен достъп
За да се зададе интервал от време, през който не се отчитат въведените данни за достъп след неуспешен опит за достъп до системата, може да се използва командата:
Router(config)# login delay [seconds]
Интервалът от време [seconds] може да бъде от 1 до 10 секунди.
Блокиране на линиите, ако има съмнения за "access" или DoS атака
При опити за достъп чрез речникова (dictionary) атака или по метода на грубата сила (bruteforce), административния достъп може да бъде допълнително защитен чрез командата:
Router(config)# login block-for [seconds] attempts [tries] within [seconds]
Командата login block-for има три параметъра. Първият интервал от време дефинира продължителността на пълното заключване на административните линии за достъп. Вторият параметър [tries] задава какъв е броят на неуспешните опити, след които се преминава в т.нар. "тих режим" (Quiet mode), ако са извършени в последния времеви интервал.
Следващият пример конфигурира блокиране на административния достъп за 3 минути (180 s), ако има 10 неуспешни опита в рамките на 90 секунди:
Router(config)# login block-for 180 attempts 10 within 90
При "тих режим" всички административни линии са заключени и ако е необходимо легитимен администратор да получи отдалечен достъп ще е невъзможно. За да се избегне тази ситуация може да се зададе ACL, която да определя от кои устройства (мрежи) да може да се осигури достъп до устройството, дори в "Quiet mode".
Router(config)# login quiet-mode access-class {acl-name | acl-number}
В следващият пример е разрешен достъп само от устройства 10.0.0.2 и 10.0.0.10, ако системата е с активен "тих режим":
Router(config)# ip access-list standard ADMIN-PC Router(config-std-nacl)# permit host 10.0.0.2 Router(config-std-nacl)# permit host 10.0.0.10 Router(config-std-nacl)# exit Router(config)# login quiet-mode access-class ADMIN-PC
За да се проверят настройките за подсигуряването на административния достъп може да се използва командата "show login":
Router#show login A default login delay of 1 seconds is applied. Quiet-Mode access list ADMIN-PC is applied. Router enabled to watch for login Attacks. If more than 10 login failures occur in 90 seconds or less, logins will be disabled for 180 seconds. Router presently in Normal-Mode. Current Watch Window remaining time 79 seconds. Present login failure count 0.
Генериране на съобщения в журнала (log)
За да се генерира съобщение в журнала при неуспешни опити за административен достъп може да се използват командите:
Router(config)# login on-success log [every login] Router(config)# login on-failure log [every login] Router(config)# security authentication failure rate [threshold-rate] log
Командата login on-success log генерира syslog съобщение при всеки успешен опит за административен достъп. При атака по метода на грубата сила е възможно да се получи голям брой съобщения, което да е нежелателно. За да се избегне тази ситуация може да се използва параметъра [every login], който да посочи броя, при достигане на който да се генерира съобщението.
Командата login on-failure log има аналогична на login on-success log функционалност, но се генерира съобщение при неуспешен опит за административен достъп.
Последната команда security authentication failure rate генерира syslog съобщение, ако неуспешните опити за административен достъп до устройството надвишат стойността, посочена в параметъра [threshold-rate].
Пример за приложение на гореописаните команди е:
Router(config)# login on-success log Router(config)# login on-failure log every 5 Router(config)# security authentication failure rate 10 log
Извеждане на данни за неуспешни опити за административен достъп
Полезна команда, която извежда подробна информация за неуспешните опити за административен достъп е show login failure.
Router#show login failures Information about last 50 login failure's with the device Username SourceIPAddr lPort Count TimeStamp admin 192.168.1.133 22 2 09:11:29 UTC Tue Jul 14 2015
Ctrl+C/Ctrl+V
ip access-list standard ADMIN-PC permit host 10.0.0.2 permit host 10.0.0.10 exit login quiet-mode access-class ADMIN-PC login block-for 180 attempts 10 within 90 login on-success log login on-failure log every 5 security authentication failure rate 10 log