(4) Comentários

Por André Ortega, 28/10/2010 10:45

Como sabemos os switches e roteadores Cisco permitem a conexão Telnet para outros dispositivos, pois são clientes Telnet. Ou seja, de um switch podemos acessar outro equipamento que seja um servidor Telnet. O mesmo se aplica ao SSH.

Para usar esta funcionalidade (Telnet/SSH Client), basta entrar na line vty do equipamento de onde a conexão se originará e utilizar o comando transport output. Com ele podemos especificar o tipo de conexão que será permitida sair do equipamento(Telnet, SSH).

Por padrão os equipamentos vem com o Telnet liberado.

Exemplo: Liberando SSH originado no switch/roteador

BrainGW01#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
BrainGW01(config)#line vty 0 4
BrainGW01(config-line)#transport output  ssh
BrainGW01(config-line)#end
BrainGW01#

Também é possível bloquear as conexões Telnet e SSH originadas no equipamento. Para isso bastar usar a opção none.

Exemplo: Bloqueando conexões Telnet e SSH originadas em um switch

BrainGW01#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
BrainGW01(config)#line vty 0 4
BrainGW01(config-line)#transport output  none
BrainGW01(config-line)#end
BrainGW01#

Output none

Com o comando transport output none configurado, caso alguém tente realizar um Telnet ou SSH para outro dispositivo o equipamento gerará a seguinte mensagem:

Unable to Telnet to other devices, and the %telnet connections not permitted from this terminal

Até a próxima.

Seja o primeiro a comentar

Por André Ortega, 16/12/2008 15:55

Três medidas muito simples aumentam significativamente a segurança no acesso aos roteadores.

Além das configurações padrões de usuário, senha, senha de enable e access-lists que restringem o acesso a partir de determinadas máquinas, devemos configurar também:

1°) Configurar na lines, console e aux, o timeout para a sessão:
Esta medida impede que um usuário aproveite-se de uma sessão previamente estabelecida e não finalizada.

Com o comando exec-timeout 5, a conexão será encerrada após 5 minutos de inatividade.

2°) Bloquear o login após 3 tentativas falhas:
Podemos configurar o roteador para que o acesso fique indisponível por um período determinado, caso o usuário erre o login várias vezes.

Exemplo:
Brainwork01#conf t
Brainwork01(config)#login block-for 300 attempts 3 within 60
Brainwork01(config)#exit
Brainwork01#wr

No exemplo acima, caso o usuário erre 3 vezes a senha em 60 segundos, mesmo usuário ou usuários diferentes, o acesso ao roteador fica bloqueado por 300 segundos, para todos os usuários.

Para isso o roteador cria automaticamente uma access-lists (exibida abaixo), que é aplicada temporáriamente na line e auxiliar.

Brainwork01#show access-list
Extended IP access list sl_def_acl
    10 deny tcp any any eq telnet log
    20 deny tcp any any eq www log
    30 deny tcp any any eq 22 log
    40 permit ip any any log
Brainwork01#

3°) Habilitar o log:
Por último, mas não menos importante, devemos habilitar o log para registrar a ocorrência de falhas no login.

Exemplo:
Brainwork01#conf t
Brainwork01(config)#security authentication failure rate 3 log
Brainwork01(config)#exit
Brainwork01#wr

Assim, se o usuário errar 3 vezes o login em um minuto, será gerado um log como exibido abaixo, que será armazenado no buffer do roteador ou enviado para o log server, dependendo que como o equipamento esteja configurado.

*Dec 16 16:34:04.328: %LOGIN-3-TOOMANY_AUTHFAILS: Too many Login Authentication failures have occurred in the last one minute on the line 323.

Até a próxima.