目次
概要
CiscoデバイスにTelnet/SSHでログインする際に、ログイン試行を制限することができます。一定回数ログインに失敗すると、ログインをブロックします。これにより、ブルートフォース攻撃による不正なログインを防止します。
Ciscoデバイスのログイン試行を制限するための設定について解説します。
ログイン試行制限の設定コマンド login block-for
Telnet/SSHのログイン試行を制限するためには、login block-forコマンドを利用します。login block-forコマンドのフォーマットは以下の通りです。
ログイン試行の制限 login block-for
(config)#login block-for <block-time-period> attempts <fail-attempts> within <login-attempt-time-period>
<block-time-period> : ログインをブロックする時間(秒)
<fail-attempts> : ログインの試行回数
<login-attempt-time-period> : ログイン試行を監視する時間(秒)
<login-attempt-time-period>の間に、<fail-attempts>回のログインに失敗すると、<block-time-period>の間ログインできないようにブロックするという設定です。ログインをブロックしている状態をQuiet-Modeと呼びます。なお、単なるパスワード認証ではログイン試行の制限は機能しません。
また、ログインに失敗したときに、以下のコマンドで次のプロンプト表示をディレイさせることもできます。不正なログイン試行回数を減少させることができます。
ログインプロンプトのディレイ
(config)#login delay <second>
<second> : プロンプト表示のディレイ(秒)
login block-forコマンドの設定例
以下の条件で、Telnet/SSHのログイン試行を制限します。
- 60秒間に3回ログインに失敗すると120秒間ログインできないようにします。
- ログインのプロンプトの表示を3秒間ディレイさせます。
login block-forコマンドの設定例
login block-for 120 attempts 3 within 60 login delay 3
上記の設定を行っているルータR1(IPアドレス10.1.1.251)にTelnetして3回ログインに失敗します。すると、4回目はコネクションが拒否されます。
ログイン試行制限の確認
R2#telnet 10.1.1.251 Trying 10.1.1.251 ... Open User Access Verification Username: admin Password: % Login invalid Username: admin Password: % Login invalid Username: admin Password: % Login invalid [Connection to 10.1.1.251 closed by foreign host] R2#telnet 10.1.1.251 Trying 10.1.1.251 ... % Connection refused by remote host
ログイン試行をブロックすると、以下のようなログメッセージが表示されます。
ログイン試行ブロック時のログ
*Mar 1 00:26:54.891: %SEC_LOGIN-1-QUIET_MODE_ON: Still timeleft for watching failures is 38 secs, [user: admin] [Source: 10.1.1.252] [localport: 23] [Reason: Login Authentication Failed - BadPassword] [ACL: sl_def_acl] at 00:26:54 UTC Fri Mar 1 2002
また、show loginおよびshow login failureは以下のように表示されます。
show login/show login failure
R1#show login A login delay of 3 seconds is applied. No Quiet-Mode access list has been configured. Router enabled to watch for login Attacks. If more than 3 login failures occur in 60 seconds or less, logins will be disabled for 120 seconds. Router presently in Quiet-Mode. Will remain in Quiet-Mode for 75 seconds. Denying logins from all sources. R1#show login failures Total failed logins: 3 Detailed information about last 50 failures Username SourceIPAddr lPort Count TimeStamp admin 10.1.1.252 23 3 00:26:54 UTC Fri Mar 1 2002
Ciscoのキホン
- Ciscoルータのメモリ領域とコンフィグレーションレジスタ
- Ciscoルータの起動シーケンス
- 設定のための準備
- Cisco機器の設定ファイル running-configとstartup-config
- Cisco機器の設定の流れ
- Cisco CLIの基礎知識 ~コマンドの種類とモード~
- Cisco機器のインタフェース
- Cisco CLIのヘルプと補完
- Cisco CLIの主なエラーメッセージ
- Cisco 設定コマンドの削除
- default interfaceコマンド ~インタフェースの設定を初期化~
- Cisco コマンドの一括入力
- doコマンド ~コンフィグレーションモードからEXECコマンドを実行~
- interface rangeコマンド ~複数インタフェースの一括設定~
- showコマンド表示のフィルタ ~見たい情報だけを適切に表示~
- Cisco機器の時刻設定
- Cisco IOS 名前解決の設定
- terminal lengthコマンド ~コマンド出力の表示行数の設定~
- debugコマンド ~リアルタイムの動作確認~
- CLIログイン時に自動的に特権EXECモードに移行する
- Cisco 設定ファイルの保存とバックアップ
- 設定ファイルのバージョン管理 ~archiveコマンド~
- IOSファイルシステムの操作
- Catalystスイッチの管理 ~スイッチにIPアドレスを設定する意味~
- VTYアクセス(Telnet/SSH)によるリモート管理
- Cisco IOS SSH待ち受けポート番号の変更
- terminal monitorコマンド ~Telnet/SSHのログイン先のログを表示~
- 多段階Telnetのセッション中断
- Cisco パスワードの最小文字数設定
- ログイン試行の制限 ~login block-forコマンド~
- Cisco 初期設定の例
- CDP ~つながっている機器はなに?~
- Ciscoルータ パスワードリカバリ
- Catalystスイッチのパスワードリカバリ