Cisco IOS - Login Enhancements ccnp_cch ccnp_cch
Sommaire • Introduction - Contenu • Information sur IOS Cisco Enhancements - Présentation de cette fonctionnalité - Délai entre tentatives de login successives - Blocage du login si une attaque DoS est suspectée - Génération de messages de logging sur détection de login • Comment configurer Cisco IOS Login Enhancements - Configurer les paramètres de login - Vérifier les paramètres de login • Exemples de configuration de paramètres de login - Fixer les paramètres de login ccnp_cch
Introduction Historique de la commande ccnp_cch La fonctionnalité Cisco IOS Login Enhancements permet aux utilisateurs de mieux sé- curiser leurs équipements avec Cisco IOS quand ils créent des connexions virtuelles telles Telnet, Secure shell (SSH) ou HTTP. Ainsi les utilisateurs peuvent faire décroître les attaques de type dictionnaire et protéger leur routeurs contre les attaques de type déni de service (DoS). Historique de la commande Release Modification 12.3(4)T Introduction de cette fonctionnalité. 12.2(25)S Cette fonctionnalité a été intégrée à l'IOS 12.2(25)S Contenu ● Informations sur Cisco IOS Login Enhancements ● Comment configurer Cisco IOS Login Enhancements ● Exemples de configuration de Cisco IOS Login Enhancements Informations sur Cisco IOS Login Enhancements Pour utiliser cette fonctionnalité, vous devez comprendre les concepts décrits dans: ● Présentation de Cisco IOS Login Enhancements Présentation de Cisco IOS Login Enhancements Pour mieux configurer la sécurité lors de l'ouverture d'une connexion login virtuelle, les exigences suivantes ont été ajoutées au processus de login: ● Délai entre tentatives de login successives. ● Blocage du login si des attaques de type DoS sont suspectées. ● Génération de messages système de Logging pour la détection de login. Délai entre tentatives de login successives Un équipement avec IOS Cisco peut accepter des connexions virtuelles aussi vite qu'elles peuvent être traitées. l'introduction d'un délai entre les tentatives de login aide à protéger le routeur contre une attaque possible de type dictionnaire qui essaie d'obtenir un accès à votre username et password. Les délais peuvent être validés d'une des manières suivantes: ● Via la nouvelle commande de configuration en mode global, login delay, qui vous permet de spécifier un nombre de secondes ccnp_cch
● Via la commande login block-for ● Via la commande login block-for. Vous devez entrer cette commande avant d'entrer la commande login delay; Toutefois, si vous entrez uniquement la commande login block-for, un délai d'une seconde est automatiquement mis en vigueur. Blocage de login si des attaques de type DoS sont suspectées Si le nombre de tentatives de connexion avec échec configuré est atteint ou dépassé dans la période de temps spécifié, l'équipement avec IOS Cisco n'acceptera plus de con- nexions pendant une période d'inactivité ou "quiet period". (Les hosts qui sont autori- sés par une liste d'accès [ACL] prédéfinie sont exclus de la période d'inactivité. Le nombre de tentatives de connexion avec échec qui déclenche la période d'inactivité peut être spécifié via la nouvelle commande login block-for en mode de configuration global. L'ACL prédéfinie qui est exclus de la période d'inactivité peut être spécifiée via la commande de configuration login quiet-mode access-class en mode de configura- tion global. Cette fonctionnalité est dévalidée par défaut est n'est pas validée si auto secure est validé. Génération de messages système de Logging sur détection de login Après que le routeur soit passé dans le mode inactif, des messages de logging système sont générés. Egalement, si cela a été configuré, des messages de logging sont générés à chaque requête de login avec ou sans échec. Les messages de logging peuvent être générés pour les requêtes de login réussies via la nouvelle commande de configuration login on-success en mode de configuration global; la commande login on-failure génère des lofs pour les requêtes de login avec échec. Le logging des message pour les tentatives de login avec échec sont automatiquement validés quand la commande auto-secure est entrée; Le logging des messages pour les tentatives de login avec succès n'est pas automatiquement validé via auto-secure. Note: De manière courante, seuls les messages de logging peuvent être générés pour des évènements relatifs au login. Messages système de Logging pour une période d'inactivité Le message suivant est un message généré après que le routeur soit passé en période d'inactivité. 00:04:07:%SEC_LOGIN-1-QUIET_MODE_ON:Still timeleft for watching failures is 158 seconds, [user:sfd] [Source:10.4.2.11] [localport:23] [Reason:Invalid login], [ACL:22] at 16:17:23 UTC Wed Feb 26 2005 Le message suivant est un message généré après que le routeur soit revenu en mode normal. 00:09:07:%SEC_LOGIN-5-QUIET_MODE_OFF:Quiet Mode is OFF, because block period timed out at 16:22:23 UTC Wed Feb 26 2005 ccnp_cch
Comment configurer Cisco IOS Login Enhancements Message système de Logging pour des requêtes de login réussies et en échec Le message suivant est généré sur requête de login réussie: 00:04:32:%SEC_LOGIN-5-LOGIN_SUCCESS:Login Success [user:test] [Source:10.4.2.11] [localport:23] at 20:55:40 UTC Fri Feb 28 2005 Le message suivant est généré sur requête de login en échec: 00:03:34:%SEC_LOGIN-4-LOGIN_FAILED:Login failed [user:sdfs] [Source:10.4.2.11] [localport:23] [Reason:Invalid login] at 20:54:42 UTC Fri Feb 28 2005 Comment configurer Cisco IOS Login Enhancements Cette section contient les procédures suivantes: ● Configuration des paramètres de login ● Vérification des paramètres de login Configuration des paramètres de login Exécutez cette tâche de configuration de votre équipement avec IOS Cisco pour les paramètres de login afin d'aider à la détection des attaques de types DoS et limiter les attaques de type dictionnaire. Paramètres de login par défaut Tous les paramètres de login sont dévalidés par défaut. Vous devez entrer la comman- de login block-for qui valide la fonctionnalité de login par défaut avant d'utiliser les autres commandes de login. Après que la commande login block-for ait été validée, les paramètres par défaut sont mis en vigueur: ● Le délai de login par défaut est 1 seconde. ● Toutes les tentatives de login faîtes via Telnet, SSH et HTTP sont refusées durant la période de login jusqu'à ce que la commande login quiet-mode access-class soit entrée. Résumé des étapes 1. enable 2. configure terminal 3. login block-for seconds attempts tries within seconds 4. login quiet-mode access-class {acl-name | acl-number} 5. login delay seconds 6. login on-failure log [every login] 7. login on-success log [every login] ccnp_cch
ccnp_cch Etapes détaillées Commande ou Action But enable Exemple: Router> enable Entrée en mode EXEC privilégié. ● Entrez un mot de passe sur demande configure terminal Router# configure terminal Entrée en mode de configuration global. login block-for seconds attempts tries within seconds Router(config)# login block-for 100 attempts 2 within 100 Configure votre équipement avec IOS Cisco pour que les paramètres de login fournissent une aide à la détection d'attaques de type DoS. Note: Cette commande doit être entrée avant que toute autre commande de login puisse être utili- sée. login quiet-mode access-class { acl-name | acl-number} Router(config)# login quiet-mode access-class myacl (Optionnel) Spécifie une ACL qui est à appliquer au routeur quand il passe en période d'inactivité. Si cette commande n'est pas validée, toutes les re- quêtes de login durant la période d'inactivité seront ignorées. login delay seconds Router(config)# login delay 30 (Optionnel) Configure le délai entre des tentatives de login successives. login on-failure log [every login] Router(config)# login on-failure log (Optionnel) Génère des messages de logging pour des tentatives de login avec échec. login on-success log [every login] Router(config)# login on-success log every 5 (Optionnel) Génère des messages de logging pour des tentatives de login avec succès. Que faire ensuite Après avoir configuré les paramètres de login sur votre routeur, vous désirez certaine- ment vérifier ces paramètres. Pour exécuter cette tâche, référez-vous à la section "Vérification des Paramètres de login". ccnp_cch
Vérifier les paramètres de login Exécutez cette tâche pour vérifier la configuration de login appliquée et l'état de login actuel sur votre routeur. Résumé des étapes 1. enable 2. show login [failures] Etapes détaillées Commande ou Action But enable Exemple: Router> enable Entrée en mode EXEC privilégié. ● Entrez un mot de passe sur demande show login [failures] Router# show login Affiche les paramètres de login. ● failures - Affiche les informations relatives uni- quement aux tentatives avec échec. Exemples L'exemple de sotie suivant de la commande show login vérifie qu'aucun paramètre de login n'a été spécifié. Router# show login No login delay has been applied. No Quiet-Mode access list has been configured. All successful login is logged and generate SNMP traps. All failed login is logged and generate SNMP traps Router NOT enabled to watch for login Attacks L'exemple de sortie suivant de la commande show login vérifie que la commande login block-for est entrée. Dans cet exemple, la commande est configurée pour bloquer le login de hosts pour 100 secondes si 16 tentatives ou plus de login échouent dans une période de 100 secondes; cinq requêtes de login ont déjà échoué. Router# show login A default login delay of 1 seconds is applied. All failed login is logged and generate SNMP traps. Router enabled to watch for login Attacks. If more than 15 login failures occur in 100 seconds or less, logins will be disabled for 100 seconds. Router presently in Watch-Mode, will remain in Watch-Mode for 95 seconds. Present login failure count 5. ccnp_cch
L'exemple de sortie suivant de la commande show login vérifie que le routeur est en période d'inactivité. Dans cet exemple, la commande login block-for a été configurée pour bloquer le login de hosts pour 100 secondes si trois requêtes de login ont échoué dans une période de 100 secondes. Router# show login A default login delay of 1 seconds is applied. No Quiet-Mode access list has been configured. All successful login is logged and generate SNMP traps. All failed login is logged and generate SNMP traps. Router enabled to watch for login Attacks. If more than 2 login failures occur in 100 seconds or less, logins will be disabled for 100 seconds. Router presently in Quiet-Mode, will remain in Quiet-Mode for 93 seconds. Denying logins from all sources. L'exemple de sortie suivant de la commande show login failures montre toutes les tentatives de login qui ont échoué sur le routeur. Router# show login failures Information about login failure's with the device Username Source IPAddr lPort Count TimeStamp try1 10.1.1.1 23 1 21:52:49 UTC Sun Mar 9 2005 try2 10.1.1.2 23 1 21:52:52 UTC Sun Mar 9 2005 L'exemple de sortie suivant de la commande show login failures montre qu'il n'y a aucune tentative de tentatives de login avec échec. Router# show login failures *** No logged failed login attempts with the device.*** ccnp_cch
Exemples de configuration de paramètres de login Fixer les paramètres de login L'exemple suivant montre comment configurer votre routeur pour qu'il entre dans une période d'inactivité de 100 secondes si plus de 15 tentatives de login avec échec sont faites en 100 secondes; toutes les tentatives de login seront refusées durant cette pé- riode d'inactivité sauf pour les hosts de l'ACL "myacl". Des messages de logging seront également générés toutes les 10 tentatives de login avec échec et toutes les 15 tentati- ves de login réussies. Router(config)# login block-for 100 attempts 15 within 100 Router(config)# login quiet-mode access-class myacl Router(config)# login on-failure log every 10 Router(config)# login on-success log every 15 ccnp_cch