Блог

  1. Главная страница
  2. Блог
  3. Cisco Login Block like Fail2Ban

Cisco Login Block like Fail2Ban

Роутер — устройство торчащее попой наружу и отделяющее Вашу локальную сеть от глобальной, а посему, найдётся много «доброжелателей» пытающихся заполучить контроль на Вашим роутером. Чаще всего это брутфорс.

Самый частый сценарий — тот в котором вы сами не сможете на него(роутер) попасть или он перестанет обрабатывать пакетики и тырнет в офисе встанет. Чтобы спастись нужно включить Cisco IOS Login Enhancements.

Настраиваем.

Проверим текущее состояние службы:

#sh login
     No login delay has been applied.
     No Quiet-Mode access list has been configured.

     Router NOT enabled to watch for login Attacks

Это значит что «Login-Block» выключена.Сейчас настроим…

  1. Включим ожидание между последовательными входами (время в секундах на ваше усмотрение)
  2. Логируем успешные авторизации
  3. Логируем ложные авторизации
  4. Включаем саму службу с нужными нам параметрами
configure terminal
login delay 10
login on-success log
login on-failure log
login block-for 180 attempts 3 within 180

Мы сказали что после 3х неверных попыток входа, придётся отдыхать 180 секунд. После этого уже все брутфорсеры начинают напрягаться ?

Давайте на них посмотрим:

#show login failures
Total failed logins: 33
Detailed information about last 50 failures

Username      lPort  Count      TimeStamp                SourceIPAddr
root            23    2     20:52:09 UTC Mon Sep 14 2020 95.129.151.122
telnetadmin     23    1     20:52:03 UTC Mon Sep 14 2020 60.254.96.8
admin           22    11    21:25:18 UTC Mon Sep 14 2020 103.145.12.194
root            23    1     20:57:18 UTC Mon Sep 14 2020 27.5.29.191
ubnt            23    1     20:57:27 UTC Mon Sep 14 2020 27.5.29.191
NJ0233          22    1     21:00:42 UTC Mon Sep 14 2020 103.145.12.194
support         23    1     21:01:14 UTC Mon Sep 14 2020 121.98.53.182
prodstlouis     22    1     21:04:58 UTC Mon Sep 14 2020 103.145.12.194
admin           23    1     21:08:15 UTC Mon Sep 14 2020 115.96.66.165
administrator   23    1     21:08:24 UTC Mon Sep 14 2020 115.96.66.165
user            22    1     21:13:20 UTC Mon Sep 14 2020 85.206.165.112
root            23    2     21:16:50 UTC Mon Sep 14 2020 220.161.160.91
mother          23    1     21:16:51 UTC Mon Sep 14 2020 95.129.151.122
signa           22    1     21:20:52 UTC Mon Sep 14 2020 103.145.12.194
admin           23    1     21:25:13 UTC Mon Sep 14 2020 27.6.199.175

Видим всех желающих попасть на мой роутер.

#sh login
     A login delay of 5 seconds is applied.
     No Quiet-Mode access list has been configured.
     All successful login is logged.
     All failed login is logged.

     Router enabled to watch for login Attacks.
     If more than 3 login failures occur in 180 seconds or less,
     logins will be disabled for 180 seconds.

     Router presently in Normal-Mode.
     Current Watch Window
         Time remaining: 148 seconds.
         Login failures for current window: 0.
     Total login failures: 33

В решении есть минусы. Помимо всех «доброжелателей» мы блокируем вход и себе.

Добавим исключения (пример для хоста 192.168.100.5):

access-list 10 permit 192.168.100.5
login quiet-mode access-class 1
01.02.2020
Информация
OK