路由器记录登陆失败的尝试次数(cisco为例)
我们在设置思科路由器时,经常遇到被人为恶意破解的情况,即使最强壮的密码也会遭受暴力破解的攻击。暴力破解攻击的原理很简单,只是简单地尝试每一种可能的字母、数字和字符组合,直至发现正确的密码。当然,密码的字符数越多,可能的组合数也就越多,破解的难度也越高,路由器的安全性也更有保证。
简单地加长密码的字符并不是防密码猜测攻击的唯一方法,在默认情况下,Cisco IOS仅提供了3次机会登陆路由器。如果3次尝试都失败了,那么连接将被重置。不过这并不能让黑客停止密码猜测攻击,黑客会坚持不懈地再次进行3次尝试。
很多网络设备都会强制执行登陆失败率机制。通常是在预设的失败登陆次数之后,锁定系统一段时间或冻结用户的帐号,直至管理员重置该帐号。最起码也会创建一条日志消息,记录失败登陆的尝试次数。Cisco IOS也提供了多种该类功能特性。
自Cisco IOS软件版本12.3(1)之后,IOS就可以记录失败登陆的尝试次数。下例中解释了如何建立验证失败日志。
Router(config)#aaa new-model
Router(config)#aaa authentication attempts login 5
Router(config)#aaa authentication login local-policy local
Router(config)#security authentication failure rate threshold-rate log
Router(config)#
只有正确配置了AAA之后,Security authentication功能特性才能正常工作。默认情况下,Cisco IOS仅允许3次尝试登陆,可以用AAA来调整该参数,在上例中,AAA:
1、被启用了(aaa new-model);
2、将登陆尝试次数增加到了5次(IOS默认为3次);
3、创建一个被成为local-policy策略,使用本地用户名数据库来验证登陆到路由器的用户。
命令Security authentication只有一个参数threshold-rate,该参数定义了一分钟内失败的登陆尝试次数。此时将会生成一条syslog消息,threshold-rate的取值范围是2~1024,默认值为10。除了生成syslog消息,再次允许登陆尝试之前需要延时15秒。
需要注意的是,threshold-rate必须小于等于aaa authentication attempts login的设置值。否则,AAA将命令security authentication记录时间之前断开连接尝试。