概要

CiscoデバイスにTelnet/SSHでログインする際に、ログイン試行を制限することができます。一定回数ログインに失敗すると、ログインをブロックします。これにより、ブルートフォース攻撃による不正なログインを防止します。

Ciscoデバイスのログイン試行を制限するための設定について解説します。

ログイン試行制限の設定コマンド login block-for

Telnet/SSHのログイン試行を制限するためには、login block-forコマンドを利用します。login block-forコマンドのフォーマットは以下の通りです。

ログイン試行の制限 login block-for

(config)#login block-for <block-time-period> attempts <fail-attempts> within <login-attempt-time-period>

<block-time-period> : ログインをブロックする時間(秒)
<fail-attempts> : ログインの試行回数
<login-attempt-time-period> : ログイン試行を監視する時間(秒)

<login-attempt-time-period>の間に、<fail-attempts>回のログインに失敗すると、<block-time-period>の間ログインできないようにブロックするという設定です。ログインをブロックしている状態をQuiet-Modeと呼びます。なお、単なるパスワード認証ではログイン試行の制限は機能しません。

また、ログインに失敗したときに、以下のコマンドで次のプロンプト表示をディレイさせることもできます。不正なログイン試行回数を減少させることができます。

ログインプロンプトのディレイ

(config)#login delay <second>

<second> : プロンプト表示のディレイ(秒)

login block-forコマンドの設定例

以下の条件で、Telnet/SSHのログイン試行を制限します。

  • 60秒間に3回ログインに失敗すると120秒間ログインできないようにします。
  • ログインのプロンプトの表示を3秒間ディレイさせます。

login block-forコマンドの設定例

login block-for 120 attempts 3 within 60
login delay 3

上記の設定を行っているルータR1(IPアドレス10.1.1.251)にTelnetして3回ログインに失敗します。すると、4回目はコネクションが拒否されます。

ログイン試行制限の確認

R2#telnet 10.1.1.251
Trying 10.1.1.251 ... Open


User Access Verification

Username: admin
Password:
% Login invalid

Username: admin
Password:
% Login invalid

Username: admin
Password:
% Login invalid

[Connection to 10.1.1.251 closed by foreign host]
R2#telnet 10.1.1.251
Trying 10.1.1.251 ...
% Connection refused by remote host

ログイン試行をブロックすると、以下のようなログメッセージが表示されます。

ログイン試行ブロック時のログ

*Mar  1 00:26:54.891: %SEC_LOGIN-1-QUIET_MODE_ON: Still timeleft for watching failures is 38 secs, [user: admin] [Source: 10.1.1.252] [localport: 23] [Reason: Login Authentication Failed - BadPassword] [ACL: sl_def_acl] at 00:26:54 UTC Fri Mar 1 2002

また、show loginおよびshow login failureは以下のように表示されます。

show login/show login failure

R1#show login
     A login delay of 3 seconds is applied.
     No Quiet-Mode access list has been configured.

     Router enabled to watch for login Attacks.
     If more than 3 login failures occur in 60 seconds or less,
     logins will be disabled for 120 seconds.

     Router presently in Quiet-Mode.
     Will remain in Quiet-Mode for 75 seconds.
     Denying logins from all sources.

R1#show login failures
Total failed logins: 3
Detailed information about last 50 failures

Username        SourceIPAddr    lPort Count TimeStamp
admin           10.1.1.252      23    3     00:26:54 UTC Fri Mar 1 2002

Ciscoのキホン