Guía de configuración de la Seguridad de Cisco IOS: Sujeción de los servicios de usuario, versión 12.2SR
Login Password Retry Lockout
2 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 205 KB | Inglés (26 Marzo 2008) | Comentarios

Contenidos

Login Password Retry Lockout

Encontrar la información de la característica

Contenido

Requisitos previos para el cierre de la recomprobación de la contraseña de inicio de sesión

Restricciones para el cierre de la recomprobación de la contraseña de inicio de sesión

Información sobre el cierre de la recomprobación de la contraseña de inicio de sesión

Bloquee de una cuenta de usuario local AAA

Cómo configurar el cierre de la recomprobación de la contraseña de inicio de sesión

Configurar el cierre de la recomprobación de la contraseña de inicio de sesión

Desbloquear a un usuario bloqueado-Hacia fuera del login

Borrar los intentos de inicio de sesión fracasados de un usuario

Monitoreando y mantener el estatus del cierre de la recomprobación de la contraseña de inicio de sesión

Ejemplos

Ejemplos de configuración para el cierre de la recomprobación de la contraseña de inicio de sesión

Visualizar la configuración del cierre de la recomprobación de la contraseña de inicio de sesión: Ejemplo:

Referencias adicionales

Documentos Relacionados

Estándares

MIB

RFC

Asistencia Técnica

Información de la característica para el cierre de la recomprobación de la contraseña de inicio de sesión

Glosario


Login Password Retry Lockout


Primera publicación: De marzo el 24 de 2005
Última actualización: De noviembre el 20 de 2009

La característica del cierre de la recomprobación de la contraseña de inicio de sesión permite que los administradores de sistema bloqueen hacia fuera una autenticación local, una autorización, y una cuenta de usuario de las estadísticas (AAA) después de un número configurado de tentativas fracasadas del usuario de iniciar sesión.

Encontrar la información de la característica

Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea “información de la característica para la sección del cierre de la recomprobación de la contraseña de inicio de sesión”.

Utilice Cisco Feature Navigator para buscar información sobre el soporte de plataformas y el soporte de imágenes del software Cisco IOS y Catalyst OS. Para acceder el Cisco Feature Navigator, vaya a http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp. Una cuenta en Cisco.com no se requiere.

Contenido

Requisitos previos para el cierre de la recomprobación de la contraseña de inicio de sesión

Restricciones para el cierre de la recomprobación de la contraseña de inicio de sesión

Información sobre el cierre de la recomprobación de la contraseña de inicio de sesión

Cómo configurar el cierre de la recomprobación de la contraseña de inicio de sesión

Ejemplos de configuración para el cierre de la recomprobación de la contraseña de inicio de sesión

Referencias adicionales

Información de la característica para el cierre de la recomprobación de la contraseña de inicio de sesión

Glosario

Requisitos previos para el cierre de la recomprobación de la contraseña de inicio de sesión

Usted debe funcionar con una imagen del Cisco IOS que contenga el componente AAA.

Restricciones para el cierre de la recomprobación de la contraseña de inicio de sesión

Los usuarios autorizados pueden bloquearse hacia fuera porque no hay distinción entre un atacante que esté conjeturando las contraseñas y a un usuario autorizado que esté ingresando los tiempos múltiples de la contraseña incorrectamente.

Un ataque de Negación de servicio (DoS) es posible; es decir, un usuario autorizado podría ser bloqueado hacia fuera por un atacante si el nombre de usuario del usuario autorizado se sabe al atacante.

Información sobre el cierre de la recomprobación de la contraseña de inicio de sesión

Para configurar la característica del cierre de la recomprobación de la contraseña de inicio de sesión, usted debe entender el concepto siguiente:

Bloquee de una cuenta de usuario local AAA

Bloquee de una cuenta de usuario local AAA

La característica del cierre de la recomprobación de la contraseña de inicio de sesión permite que los administradores de sistema bloqueen hacia fuera una cuenta de usuario local AAA después de que un número configurado de tentativas fracasadas del usuario de iniciar sesión usando el nombre de usuario que corresponde a la cuenta de usuario AAA. Un usuario bloqueado-hacia fuera no puede iniciar sesión con éxito otra vez hasta que la cuenta de usuario sea desbloqueada por el administrador.

Se genera un mensaje del sistema cuando un usuario es bloqueado por el sistema o desbloqueado por el administrador de sistema. Lo que sigue es un ejemplo de tal mensaje del sistema:

%AAA-5-USER_LOCKED: User user1 locked out on authentication failure.

El administrador de sistema no puede ser bloqueado hacia fuera.


Observeal administrador de sistema es un usuario especial que se ha configurado usando el nivel de privilegio máximo (privilegio de raíz — el nivel 15). Un usuario que se ha configurado usando un poco nivel de privilegio puede cambiar el nivel de privilegio usando enable el comando. Un usuario que puede cambiar al privilegio de raíz (nivel 15) puede actuar como administrador de sistema.


Esta característica es aplicable a cualquier método de autenticación de inicio de sesión, tal como ASCII, Challenge Handshake Authentication Protocol (CHAP), y protocolo password authentication (PAP).


No observeningún mensaje se visualizan a los usuarios después de las fallas de autenticación que son debido al estatus bloqueado (es decir, no hay distinción entre una falla de autenticación normal y una falla de autenticación debido al estatus bloqueado del usuario).


Cómo configurar el cierre de la recomprobación de la contraseña de inicio de sesión

Esta sección contiene los siguientes procedimientos:

Configurando el cierre de la recomprobación de la contraseña de inicio de sesión (opcional)

Desbloqueando a un usuario bloqueado-Hacia fuera del login (opcional)

Borrando los intentos de inicio de sesión fracasados de un usuario (opcional)

Monitoreando y mantener el estatus del cierre de la recomprobación de la contraseña de inicio de sesión (opcional)

Configurar el cierre de la recomprobación de la contraseña de inicio de sesión

Para configurar la característica del cierre de la recomprobación de la contraseña de inicio de sesión, realice los pasos siguientes.

PASOS SUMARIOS

1. enable

2. configure terminal

3.username name []privilege level password encryption-type password

4. aaa new-model

5. aaa local authentication attempts max-fail number-of-unsuccessful-attempts

6. aaa authentication login default method

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

username name [privilege level] password 
encryption-type password
Example:
Router(config)# username user1 privilege 15 
password 0 cisco

Establece un sistema de autenticación basado en el nombre de usuario.

Paso 4 

aaa new-model

Example:

Router(config)# aaa new-model

Habilita el modelo del control de acceso AAA.

Paso 5 

aaa local authentication attempts max-fail number-of-unsuccessful-attempts

Example:

Router(config)# aaa local authentication attempts max-fail 3

Especifica el número máximo de tentativas fracasadas antes de que un usuario esté bloqueado hacia fuera.

Paso 6 

aaa authentication login default method

Example:

Router(config)# aaa authentication login default local

Fija el método de autentificación del Authentication, Authorization, and Accounting (AAA) en el login. Por ejemplo, aaa authentication login default local especifica las bases de datos de usuarios locales AAA.

Desbloquear a un usuario bloqueado-Hacia fuera del login

Para desbloquear a un usuario bloqueado-hacia fuera del login, realice los pasos siguientes.


Observeesta tarea puede ser realizado solamente por los usuarios que tienen el privilegio de raíz (nivel 15).


PASOS SUMARIOS

1. enable

2. clear aaa local user lockout {username username | todos}

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

clear aaa local user lockout {username username | all}

Example:

Router# clear aaa local user lockout username user1

Desbloquea a un usuario bloqueado-hacia fuera.

Borrar los intentos de inicio de sesión fracasados de un usuario

Esta tarea es útil para los casos en los cuales la configuración de usuario fue cambiada y los intentos de inicio de sesión fracasados de un usuario que se registran ya deben ser borrados.

Para borrar los intentos de inicio de sesión fracasados de un usuario que se han registrado ya, realice los pasos siguientes.

PASOS SUMARIOS

1. enable

2. clear aaa local user fail-attempts {username username | todos}

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

clear aaa local user fail-attempts {username username | all}

Example:

Router# clear aaa local user fail-attempts username user1

Borra las tentativas fracasadas del usuario.

Este comando es útil para los casos en los cuales la configuración de usuario fue cambiada y las tentativas fracasadas que se registran ya deben ser borradas.

Monitoreando y mantener el estatus del cierre de la recomprobación de la contraseña de inicio de sesión

Para monitorear y mantener el estatus de la configuración del cierre de la recomprobación de la contraseña de inicio de sesión, realice los pasos siguientes.

PASOS SUMARIOS

1. enable

2. show aaa local user lockout

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

show aaa local user lockout

Example:

Router# show aaa local user lockout

Visualiza una lista de los usuarios bloqueados-hacia fuera para la configuración actual del cierre de la recomprobación de la contraseña de inicio de sesión.

Ejemplos

El producto siguiente muestra que el user1 está bloqueado hacia fuera:

Router# show aaa local user lockout

           Local-user          Lock time
           user1               04:28:49 UTC Sat Jun 19 2004

Ejemplos de configuración para el cierre de la recomprobación de la contraseña de inicio de sesión

Esta sección proporciona los siguientes ejemplos de configuración:

Visualizar la configuración del cierre de la recomprobación de la contraseña de inicio de sesión: Ejemplo:

Visualizar la configuración del cierre de la recomprobación de la contraseña de inicio de sesión: Ejemplo:

La salida show running-config del siguiente comando ilustra que el número máximo de tentativas falladas del usuario se ha fijado para 2 como la configuración del cierre de la recomprobación de la contraseña de inicio de sesión:

Router # show running-config

Building configuration...

Current configuration : 1214 bytes
!
version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname LAC-2
!
boot-start-marker
boot-end-marker
!
!
username sysadmin
username sysad privilege 15 password 0 cisco
username user1 password 0 cisco
aaa new-model
aaa local authentication attempts max-fail 2
!
!
aaa authentication login default local
aaa dnis map enable
aaa session-id common

Referencias adicionales

Las secciones siguientes proporcionan las referencias relacionadas con el cierre de la recomprobación de la contraseña de inicio de sesión.

Documentos Relacionados

Tema relacionado
Título del documento

Comandos de la Seguridad de Cisco IOS

Referencia de Comandos de Seguridad de Cisco IOS


Estándares

Estándares
Título

Ninguno


MIB

MIB
Link del MIB

Ninguno

Para localizar y descargar MIB de plataformas, versiones de Cisco IOS y conjuntos de funciones seleccionados, utilice Cisco MIB Locator, que se encuentra en la siguiente URL:

http://www.cisco.com/cisco/web/LA/support/index.html


RFC

RFC
Título

Ninguno


Asistencia Técnica

Descripción
Link

El sitio Web de soporte técnico de Cisco proporciona los recursos en línea extensos, incluyendo la documentación y las herramientas para localizar averías y resolver los problemas técnicos con los Productos Cisco y las Tecnologías.

Para recibir la Seguridad y la información técnica sobre sus Productos, usted puede inscribir a los diversos servicios, tales como la herramienta de alerta del producto (accedida de los Field Notice), el hoja informativa de los servicios técnicos de Cisco, y alimentaciones realmente simples de la sindicación (RSS).

El acceso a la mayoría de las herramientas en el sitio Web de soporte técnico de Cisco requiere una identificación del usuario y una contraseña del cisco.com.

http://www.cisco.com/cisco/web/LA/support/index.html


Información de la característica para el cierre de la recomprobación de la contraseña de inicio de sesión

La Tabla 1 muestra el historial de versiones de esta función.

Puede que no estén disponibles todos los comandos en su versión de software de Cisco IOS. Para la información de versión sobre un comando específico, vea la documentación de referencia de comandos.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software. Cisco Feature Navigator le permite determinar qué imágenes de Cisco IOS y Catalyst OS Software soportan una versión de software, un conjunto de funciones o una plataforma específica. Para acceder el Cisco Feature Navigator, vaya a http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp. Una cuenta en el cisco.com no se requiere.


Observelas listas del cuadro 1 solamente la versión de Cisco IOS Software que introdujo el soporte para una característica dada en un tren de versión del Cisco IOS Software dado. A menos que se indique lo contrario, las versiones posteriores de dicha serie de versiones de software de Cisco IOS también soportan esa función.


Información de la característica del cuadro 1 para el cierre de la recomprobación de la contraseña de inicio de sesión 

Nombre de la función
Versiones
Información sobre la Función

Login Password Retry Lockout

12.3(14)T 12.2(33)SRE

La característica del cierre de la recomprobación de la contraseña de inicio de sesión permite que los administradores de sistema bloqueen hacia fuera una cuenta de usuario local AAA después de un número configurado de tentativas fracasadas del usuario de iniciar sesión.

Esta característica fue introducida en el Cisco IOS Release 12.3(14)T.

Esta característica era integrada en el Cisco IOS Release 12.2(33)SRE.

Se han insertado o modificado los siguientes comandos: aaa local authentication attempts max-fail clear aaa local user fail-attempts clear aaa local user lockout.


Glosario

método local AAA — Método por el cual es posible configurar las bases de datos de usuarios locales en un router y tener la autenticación de la disposición AAA o autorización de los usuarios de esta base de datos.

usuario local AAA — Usuario que se autentica usando el método local AAA.