Seja o primeiro a comentar

Por André Ortega, 23/11/2011 13:50

Quando criamos uma VPN remote access, onde os usuários usam um cliente para realizar o acesso remoto, o mais comum é que cada usuário tenha suas credenciais (usuário e senha/token/certificado).

Mas eventualmente é necessário o uso de credenciais compartilhadas. Ou seja, pessoas diferentes realizam o acesso utilizando o mesmo usuário e senha, simultaneamente.

Por padrão o ASA permite que até 3 conexões VPN sejam estabelecidas com o mesmo usuário. Mas podemos aumentar (ou diminuir) este número de acordo com a necessidade.

Com a configuração default, caso um quarto usuário tente se logar na VPN usando o username vpnuser1, um dos usuários será desconectado.

Para mudar este parâmetro, basta usar o comando vpn-simultaneous-logins, dentro do group-policy em uso.

Aumentando o número de logins simultâneos na VPN, com o mesmo usuário:

group-policy BRAIN attributes

vpn-simultaneous-logins 5

Mais informação sobre este comando aqui.

Até a próxima.

Só um comentário

Por André Ortega, 27/07/2009 06:50

O básico para autenticação do acesso remoto a um roteador é a senha de enable, e a senha especificada para o método de acesso (console, auxiliar, Telnet, SSH,…). Assim normalmente é configurado o seguinte:

Exemplo: configuração sem a verificação de usuário para acesso Telnet:

! Entre no modo de configuração global
BrainRT01#conf t
! Crie a senha de enable
BrainRT01(config)#enable secret cisco
! Entre na line (onde é configurado o acesso Telnet)
BrainRT01(config)#line vty 0 4
! Cadastre a senha que será usada para telnet
BrainRT01(config-line)#password 123cisco
BrainRT01(config-line)#end
BrainRT01#

No entanto, com a configuração acima o usuário seria indagado apenas sobre a senha de acesso (que foi configurada na line) e a senha de enable, que é utilizada para entrar no modo de configuração privilegiado. Observe que o roteador não perguntou o nome do usuário para o acesso.

Para configurar o equipamento para pedir o usuário e senha, além do enable, precisamos primeiro criar no roteador um usuário (neste exemplo será configurada autenticação local). Depois basta ativar o AAA (authentication, authorization e accounting), e especificar o método de autenticação. Com estas configurações o roteador passará a solicitar usuário a quem estiver realizando o acesso.

Exemplo: Configurando usuário e senha para o roteador

! Entre no modo de configuração global
BrainRT01#conf t
! Crie um usuário e sua respectiva senha (neste exemplo o usário tem privilégio total – 15)
BrainRT01(config)#username brainwork privilege 15 password cisco123
! Habilite o aaa
BrainRT01(config)#aaa new-model
! Especifique que para o login deve ser usada a base de autenticação local
BrainRT01(config)#aaa authentication login default local
BrainRT01(config)#end
BrainRT01#

Com esta configuração o equipamento passará a pedir usuário e senha, quando o acesso remoto for realizado e ter um usuário e senha para cada usuário que acessa o equipamento.

Com a diferenciação entre os usuários podemos ter níveis de acesso diferenciado (authorization) e monitorar quem logou no equipamento, quando e o que fez (accounting). E além da base de usuário local, também podemos usar um servidor externo Radius ou TACACS para o AAA.

Até a próxima.

Seja o primeiro a comentar

Por André Ortega, 29/01/2009 12:55

Basicamente os roteadores Cisco possuem duas senhas: login e enable. A senha de login será solicitada quando o usuário conectar-se ao equipamento (via console, ssh, telnet…) e a senha de enable será solicitada para permitir que o usuário acesse o modo de configuração privilegiado.

Só para lembrar:

Router>               – modo usuário

Router#               – modo privilegiado

Router(config)#   – modo de configuração global

Assim, quando o usuário loga no equipamento ele tem direito apenas a alguns comandos (a maioria de verificação, como show, traceroute, ping…). Somente após passar pela senha de enable (que será solicitada quando ele estiver no modo usuário) ele será capaz de realizar as configurações.

Exemplo:

BrainworkRT# configure terminal
! Configurando senha de enable
BrainworkRT(config)# enable secret cisco@123
! Configurando a senha de login para console
BrainworkRT(config)# line con 0
BrainworkRT(config-line)# password 1234
BrainworkRT(config-line)# login
! Configurando senha de login para telnet
BrainworkRT(config-line)# line vty 0 4
BrainworkRT(config-line)# password brainwork
BrainworkRT(config-line)# login
BrainworkRT(config-line)#end
BrainworkRT#wr

Observe que podemos configurar senhas diferentes para cada tipo de acesso (console e telnet).

Note também que em IOS mais velho o comando enable secret não existe. Neste caso devemos utilizar o comando enable password. A diferença entre o enable secret e o enable password é que a senha é armazenada criptografada, no caso do enable secret, enquanto o enable password armazena a senha em clear text.

Até a próxima.

Seja o primeiro a comentar

Por André Ortega, 16/12/2008 15:55

Três medidas muito simples aumentam significativamente a segurança no acesso aos roteadores.

Além das configurações padrões de usuário, senha, senha de enable e access-lists que restringem o acesso a partir de determinadas máquinas, devemos configurar também:

1°) Configurar na lines, console e aux, o timeout para a sessão:
Esta medida impede que um usuário aproveite-se de uma sessão previamente estabelecida e não finalizada.

Com o comando exec-timeout 5, a conexão será encerrada após 5 minutos de inatividade.

2°) Bloquear o login após 3 tentativas falhas:
Podemos configurar o roteador para que o acesso fique indisponível por um período determinado, caso o usuário erre o login várias vezes.

Exemplo:
Brainwork01#conf t
Brainwork01(config)#login block-for 300 attempts 3 within 60
Brainwork01(config)#exit
Brainwork01#wr

No exemplo acima, caso o usuário erre 3 vezes a senha em 60 segundos, mesmo usuário ou usuários diferentes, o acesso ao roteador fica bloqueado por 300 segundos, para todos os usuários.

Para isso o roteador cria automaticamente uma access-lists (exibida abaixo), que é aplicada temporáriamente na line e auxiliar.

Brainwork01#show access-list
Extended IP access list sl_def_acl
    10 deny tcp any any eq telnet log
    20 deny tcp any any eq www log
    30 deny tcp any any eq 22 log
    40 permit ip any any log
Brainwork01#

3°) Habilitar o log:
Por último, mas não menos importante, devemos habilitar o log para registrar a ocorrência de falhas no login.

Exemplo:
Brainwork01#conf t
Brainwork01(config)#security authentication failure rate 3 log
Brainwork01(config)#exit
Brainwork01#wr

Assim, se o usuário errar 3 vezes o login em um minuto, será gerado um log como exibido abaixo, que será armazenado no buffer do roteador ou enviado para o log server, dependendo que como o equipamento esteja configurado.

*Dec 16 16:34:04.328: %LOGIN-3-TOOMANY_AUTHFAILS: Too many Login Authentication failures have occurred in the last one minute on the line 323.

Até a próxima.