Ciscoルータ Login Blockを使用したセキュリティ強化

Network

Ciscoルータに悪意のある第三者がTELNETやSSHに不正なアクセスして、ルータを乗っ取ることを防止するためには、当然、分かりにくいパスワードを利用する必要がありますが、外部の攻撃者はパスワードを推測して何度もパスワードを入力して不正なアクセスを試みようとします。

それを防止するには、Login Blockの機能を使用して、接続試行の失敗が複数回検出された場合に、「待機時間」を設定がすることで「辞書攻撃」を減少させて、TELNET / SSH をDoS攻撃から保護できます。

Login Blockの設定

コマンドモード:グローバルコンフィグレーションモード。

Router(config)# login block-for 10 attempts 3 within 60

60秒以内に3回連続でLogin認証に失敗したら10秒間 Login要求を受け付けなくさせます。

Router(config)# login delay 5

Loginに失敗してから、次のプロンプトが出るまでの5秒かかるようにします。

Router(config)# login on-failure log

Login認証に失敗したらSyslogに出力させます。

Router(config)# login on-success log

Login認証に成功したらSyslogに出力させます。

Router(config)# do copy running-config startup-config

設定を保存します。

タイトルとURLをコピーしました