Разлика между версии на „Подсигуряване на административен достъп до устройства на Cisco“

от БАРЗИКТ Wiki
Направо към: навигация, търсене
(А)
 
Ред 3: Ред 3:
 
*Блокиране на линиите, ако има съмнения за "access" или DoS атака
 
*Блокиране на линиите, ако има съмнения за "access" или DoS атака
 
*Генериране на съобщения в журнала (log)
 
*Генериране на съобщения в журнала (log)
 +
 +
'''Важно е да се отбележи, че тези механизми не се отнасят за конзолата (console).'''
  
 
=Закъснение между два отделни опита за административен достъп=
 
=Закъснение между два отделни опита за административен достъп=
Ред 8: Ред 10:
 
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap;white-space: -pre-wrap;white-space: -o-pre-wrap; word-wrap: break-word">
 
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap;white-space: -pre-wrap;white-space: -o-pre-wrap; word-wrap: break-word">
 
Router(config)#  login delay [seconds]
 
Router(config)#  login delay [seconds]
 +
</pre>
 +
 +
Интервалът от време [seconds] може да бъде от 1 до 10 секунди.
 +
=Блокиране на линиите, ако има съмнения за "access" или DoS атака=
 +
При опити за достъп чрез речникова (dictionary) атака или по метода на грубата сила (bruteforce), административния достъп може да бъде допълнително защитен чрез командата:
 +
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap;white-space: -pre-wrap;white-space: -o-pre-wrap; word-wrap: break-word">
 +
Router(config)#  login block-for [seconds] attempts [tries] within [seconds]
 +
</pre>
 +
 +
Командата '''login block-for''' има три параметъра. Първият интервал от време дефинира продължителността на пълното заключване на административните линии за достъп. Вторият параметър [tries] задава какъв е броят на неуспешните опити, след които се преминава в т.нар. "тих режим" (Quiet mode), ако са извършени в последния времеви интервал.
 +
 +
Следващият пример конфигурира блокиране на административния достъп за 3 минути (180 s), ако има 10 неуспешни опита в рамките на 90 секунди:
 +
<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap;white-space: -pre-wrap;white-space: -o-pre-wrap; word-wrap: break-word">
 +
Router(config)#  login block-for 180 attempts 10 within 90
 
</pre>
 
</pre>

Версия от 07:54, 14 юли 2015

Подсигуряването на административния достъп до мрежовите устройства е изключително важен. Основна защита на Cisco IOS системи може да се извърши чрез:

  • Закъснение между два отделни опита за административен достъп
  • Блокиране на линиите, ако има съмнения за "access" или DoS атака
  • Генериране на съобщения в журнала (log)

Важно е да се отбележи, че тези механизми не се отнасят за конзолата (console).

Закъснение между два отделни опита за административен достъп

За да се зададе интервал от време, през който не се отчитат въведените данни за достъп след неуспешен опит за достъп до системата, може да се използва командата:

Router(config)#  login delay [seconds]

Интервалът от време [seconds] може да бъде от 1 до 10 секунди.

Блокиране на линиите, ако има съмнения за "access" или DoS атака

При опити за достъп чрез речникова (dictionary) атака или по метода на грубата сила (bruteforce), административния достъп може да бъде допълнително защитен чрез командата:

Router(config)#  login block-for [seconds] attempts [tries] within [seconds]

Командата login block-for има три параметъра. Първият интервал от време дефинира продължителността на пълното заключване на административните линии за достъп. Вторият параметър [tries] задава какъв е броят на неуспешните опити, след които се преминава в т.нар. "тих режим" (Quiet mode), ако са извършени в последния времеви интервал.

Следващият пример конфигурира блокиране на административния достъп за 3 минути (180 s), ако има 10 неуспешни опита в рамките на 90 секунди:

Router(config)#  login block-for 180 attempts 10 within 90