Подсигуряване на административен достъп до устройства на Cisco

от БАРЗИКТ Wiki
Направо към: навигация, търсене

Подсигуряването на административния достъп до мрежовите устройства е изключително важен. Основна защита на Cisco IOS системи може да се извърши чрез:

  • Закъснение между два отделни опита за административен достъп
  • Блокиране на линиите, ако има съмнения за "access" или DoS атака
  • Генериране на съобщения в журнала (log)

Важно е да се отбележи, че тези механизми не се отнасят за конзолата (console).

Закъснение между два отделни опита за административен достъп

За да се зададе интервал от време, през който не се отчитат въведените данни за достъп след неуспешен опит за достъп до системата, може да се използва командата: 

Router(config)# login delay [seconds]

Интервалът от време [seconds] може да бъде от 1 до 10 секунди.

Блокиране на линиите, ако има съмнения за "access" или DoS атака

При опити за достъп чрез речникова (dictionary) атака или по метода на грубата сила (bruteforce), административния достъп може да бъде допълнително защитен чрез командата: 

Router(config)# login block-for [seconds] attempts [tries] within [seconds]

Командата login block-for има три параметъра. Първият интервал от време дефинира продължителността на пълното заключване на административните линии за достъп. Вторият параметър [tries] задава какъв е броят на неуспешните опити, след които се преминава в т.нар. "тих режим" (Quiet mode), ако са извършени в последния времеви интервал.

Следващият пример конфигурира блокиране на административния достъп за 3 минути (180 s), ако има 10 неуспешни опита в рамките на 90 секунди: 

Router(config)# login block-for 180 attempts 10 within 90

При "тих режим" всички административни линии са заключени и ако е необходимо легитимен администратор да получи отдалечен достъп ще е невъзможно. За да се избегне тази ситуация може да се зададе ACL, която да определя от кои устройства (мрежи) да може да се осигури достъп до устройството, дори в "Quiet mode". 

Router(config)# login quiet-mode access-class {acl-name | acl-number}

В следващият пример е разрешен достъп само от устройства 10.0.0.2 и 10.0.0.10, ако системата е с активен "тих режим": 

Router(config)# ip access-list standard ADMIN-PC
Router(config-std-nacl)# permit host 10.0.0.2
Router(config-std-nacl)# permit host 10.0.0.10
Router(config-std-nacl)# exit
Router(config)# login quiet-mode access-class ADMIN-PC

За да се проверят настройките за подсигуряването на административния достъп може да се използва командата "show login": 

Router#show login
     A default login delay of 1 seconds is applied.
     Quiet-Mode access list ADMIN-PC is applied.

     Router enabled to watch for login Attacks.
     If more than 10 login failures occur in 90 seconds or less,
     logins will be disabled for 180 seconds.

     Router presently in Normal-Mode.
     Current Watch Window remaining time 79 seconds.
     Present login failure count 0.
Взето от „http://wiki.ict.academy/index.php?title=Подсигуряване_на_административен_достъп_до_устройства_на_Cisco&oldid=269“.