Guía de configuración de la Seguridad de Cisco IOS: Sujeción de los servicios de usuario, versión 12.2SR
Cisco IOS Login Enhancements (Bloqueo de Login)
2 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 202 KB | Inglés (28 Enero 2011) | Comentarios

Contenidos

Cisco IOS Login Enhancements (Bloqueo de Login)

Encontrar la información de la característica

Contenido

Información sobre Cisco IOS Login Enhancements

Protección contra Ataques de Negación de Servicio y Ataques de Login de Diccionario

Descripción General de la Funcionalidad de Mejoras de Login

Demoras entre los Intentos de Login Sucesivos

Cierre de Login si se Sospechan Ataques DoS

Cómo Configurar Cisco IOS Login Enhancements

Configurar los parámetros del login

Ejemplos de Configuración de los Parámetros de Login

Configuración de los Parámetros de Login: Ejemplo:

Mostrar los parámetros del login: Ejemplo:

Referencias adicionales

Documentos Relacionados

Asistencia Técnica

Información de la característica para las mejoras del login del Cisco IOS (bloque del login)


Cisco IOS Login Enhancements (Bloqueo de Login)


Primera publicación: Agosto de 2005
Última actualización: De marzo el 14 de 2011

La característica de las mejoras del login del Cisco IOS (bloque del login) permite que los usuarios aumenten la Seguridad de un router configurando las opciones para bloquear automáticamente otros intentos de inicio de sesión cuando se detecta un ataque de Negación de servicio (DoS) posible.

El bloque del login y las opciones del retardo del login introducidas por esta característica se pueden configurar para Telnet o las conexiones virtuales de SSH. Habilitando esta característica, usted puede retrasar los “establecimientos de diccionario” aplicando un “período tranquilo” si se detectan las tentativas múltiples de la falla de conexión, de tal modo protegiendo el dispositivo de ruteo contra un tipo de establecimiento de rechazo del servicio.

Encontrar la información de la característica

Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea “información de la característica para el Cisco IOS iniciar sesión la sección de las mejoras (bloque del login)”.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en Cisco.com no se requiere.

Contenido

Información sobre Cisco IOS Login Enhancements

Cómo Configurar Cisco IOS Login Enhancements

Ejemplos de Configuración de los Parámetros de Login

Referencias adicionales

Información de la característica para las mejoras del login del Cisco IOS (bloque del login)

Información sobre Cisco IOS Login Enhancements

Protección contra Ataques de Negación de Servicio y Ataques de Login de Diccionario

Descripción General de la Funcionalidad de Mejoras de Login

Protección contra Ataques de Negación de Servicio y Ataques de Login de Diccionario

La conexión con un dispositivo de ruteo con el propósito de administrar (manejo) el dispositivo, en el usuario o el ejecutivo llano, lo más frecuentemente se realiza usando Telnet o SSH (Secure Shell) de una consola remota (tal como un PC). SSH proporciona una más opción de conexión segura porque el tráfico de comunicación entre el dispositivo del usuario y el dispositivo administrado se cifra. La capacidad del bloque del login, cuando está habilitada, se aplica a las conexiones Telnet y a las conexiones SSH. Comenzando en las versiones 12.3(33)SRB2, 12.2(33)SXH2, y 12.4(15)T1, la capacidad del bloque del login también se aplica a las conexiones HTTP.”

La activación y el registro automatizados de las capacidades del bloque y del período tranquilo del login introducidas por esta característica son diseñados para aumentar más lejos la Seguridad de sus dispositivos específicamente dirigiendo dos métodos bien conocidos que los individuos utilicen para intentar para interrumpir o los dispositivos de la red de compromiso.

Si el direccionamiento de la conexión de un dispositivo se descubre y es accesible, un usuario malintencionado puede intentar interferir con los funcionamientos normales del dispositivo inundándolo con los pedidos de conexión. Refieren a este tipo de ataque como servicio negado frustrado, porque es posible que el dispositivo puede convertirse en el intentar demasiado ocupado procesar los intentos de conexión relanzados del login de manejar correctamente los servicios de ruteo normales o no puede proporcionar el servicio normal del login para legitimar a los administradores de sistema.

La intención primaria de un establecimiento de diccionario, a diferencia de un ataque típico DOS, es tener realmente el acceso administrativo al dispositivo. Un establecimiento de diccionario es un proceso automatizado a intentar iniciar sesión intentando los millares, o aún millones, de Combinaciones de nombre de usuario/contraseña. (Llaman este tipo de ataque un “establecimiento de diccionario” porque utiliza típicamente, como un comienzo, cada palabra encontrados en un diccionario típico como contraseña posible.) Pues los scripts o los programas se utilizan para intentar este acceso, el perfil para tales tentativas es típicamente lo mismo que para las tentativas DOS; intentos de inicio de sesión múltiples en un período corto.

Habilitando un perfil de la detección, el dispositivo de ruteo se puede configurar para reaccionar a los intentos fallidos de ingreso al sistema relanzados rechazando el pedido de conexión adicional (login que bloquea). Este bloque se puede configurar por un período de tiempo, llamado un “período tranquilo”. Los intentos de conexión legítimos se pueden todavía permitir durante un período tranquilo configurando una lista de acceso (ACL) con los direccionamientos que usted sabe para ser asociado a los administradores de sistema.

Descripción General de la Funcionalidad de Mejoras de Login

Demoras entre los Intentos de Login Sucesivos

Cierre de Login si se Sospechan Ataques DoS

Demoras entre los Intentos de Login Sucesivos

Un dispositivo Cisco IOS puede validar las conexiones virtuales tan rápidamente como pueden ser procesadas. La introducción de un retardo entre los intentos de inicio de sesión ayuda a proteger el dispositivo basado en software del Cisco IOS contra las conexiones malévolas del login tales como establecimientos de diccionario y ataques DOS. Los retardos se pueden habilitar en una de las maneras siguientes:

Con auto secure el comando. Si usted habilita la característica de AutoSecure, el tiempo de retraso predeterminado del login del segundo se aplica automáticamente.

Con login block-for el comando. Usted debe ingresar este comando antes de publicar login delay el comando. Si usted ingresa solamente login block-for el comando, el tiempo de retraso predeterminado del login del segundo se hace cumplir automáticamente.

Con el nuevo comando del modo de configuración global login delay, que permite que usted especifique el tiempo de retraso del login de ser aplicado, en los segundos.

Cierre de Login si se Sospechan Ataques DoS

Si el número configurado de intentos de conexión falla dentro de un periodo de tiempo especificado, el dispositivo Cisco IOS no valida ninguna conexiones adicional por un “período tranquilo.” (Los hosts que son permitidos por un [ACL] predefinido de la lista de control de acceso se excluyen a partir del período tranquilo.)

El número de tentativas de la falla de conexión que accionen el período tranquilo se puede especificar con el nuevo comando del modo de configuración global login block-for. El ACL predefinido que se excluye a partir del período tranquilo se puede especificar con el nuevo comando del modo de configuración global login quiet-mode access-class.

Estas funciones se inhabilitan por abandono, y no se habilitan si AutoSecure si están habilitadas.

Cómo Configurar Cisco IOS Login Enhancements

Configurando los parámetros del login (requeridos)

Verificando los parámetros del login, página 5 (opcional)

Configurar los parámetros del login

Utilice esta tarea de configurar su dispositivo Cisco IOS para los parámetros del login que ayudan a detectar sospecharon los ataques DOS y retrasan los establecimientos de diccionario.

Todos los parámetros del login se inhabilitan por abandono. Usted debe publicar login block-for el comando, que habilita las funciones predeterminadas del login, antes de usar otros comandos login. Después de que login block-for se habilite el comando, se aplican los valores por defecto siguientes:

Un retardo predeterminado del login del segundo

Todos los intentos de inicio de sesión hechos con Telnet o SSH se niegan durante el período tranquilo; es decir, no hay ACL exentos a partir del período del login hasta que login quiet-mode access-class se publique el comando.

PASOS SUMARIOS

1. enable

2. configure terminal

3.login block-for seconds tentativastries dentro seconds

4.login quiet-mode access-class {acl-name | acl-number}

5.login delay segundos

6. exit

7.

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

login block-for seconds attempts tries within seconds

Example:

Router(config)# login block-for 100 attempts 2 within 100

Configura su dispositivo Cisco IOS para los parámetros del login que ayudan a proporcionar la detección DOS.

Observeeste comando debe ser publicado antes de que cualquier otro comando login pueda ser utilizado.

Paso 4 

login quiet-mode access-class {acl-name | acl-number}

Example:

Router(config)# login quiet-mode access-class myacl

(Opcional) aunque este comando sea opcional, se recomienda que esté configurado para especificar un ACL que deba ser aplicado al router cuando los switches del router para callar el modo. Cuando el router está en el modo reservado, se niegan todos los pedidos de registro y la única conexión disponible está a través de la consola.

Si este comando no se configura, después el sl_def_acl del ACL predeterminado se crea en el router. Este ACL se oculta en la configuración corriente. Utilice show access-list sl_def_acl para ver los parámetros para el ACL predeterminado.

Por ejemplo:

Router#show access-lists sl_def_acl

Extended IP access list sl_def_acl
    10 deny tcp any any eq telnet
    20 deny tcp any any eq www
    30 deny tcp any any eq 22
    40 permit ip any any

Paso 5 

login delay seconds

Example:

Router(config)# login delay 10

(Opcional) configura un retardo entre los intentos de inicio de sesión sucesivos.

Paso 6 

exit

Example:

Router# exit

Sale al modo EXEC privilegiado.

Paso 7 

show login [failures]

Example:

Router# show login

Parámetros del login de las visualizaciones.

failures — Visualizaciones relacionadas con la información solamente a los intentos fallidos de ingreso al sistema.

Ejemplos de Configuración de los Parámetros de Login

Configuración de los Parámetros de Login: Ejemplo:

Mostrar los parámetros del login: Ejemplo:

Configuración de los Parámetros de Login: Ejemplo:

Las demostraciones del siguiente ejemplo cómo configurar a su router para ingresar un segundo período tranquilo 100 si 15 intentos fallidos de ingreso al sistema se exceden en el plazo de 100 segundos; todos los pedidos de registro se niegan durante el período tranquilo excepto los hosts del ACL “myacl.”

Router(config)# login block-for 100 attempts 15 within 100
Router(config)# login quiet-mode access-class myacl

Mostrar los parámetros del login: Ejemplo:

La salida de muestra siguiente show login del comando verifica que no se haya especificado ningunos parámetros del login:

Router# show login

No login delay has been applied.
No Quiet-Mode access list has been configured.
All successful login is logged and generate SNMP traps.
All failed login is logged and generate SNMP traps

Router NOT enabled to watch for login Attacks

La salida de muestra siguiente show login del comando verifica que login block-for el comando esté publicado. En este ejemplo, se configura el comando de bloquear los hosts del login por 100 segundos si 16 o más pedidos de registro fallan en el plazo de 100 segundos; cinco pedidos de registro han fallado ya.

Router# show login

A default login delay of 1 seconds is applied.
No Quiet-Mode access list has been configured.
All successful login is logged and generate SNMP traps.
All failed login is logged and generate SNMP traps.

Router enabled to watch for login Attacks.
If more than 15 login failures occur in 100 seconds or less, logins will be disabled for 
100 seconds.

Router presently in Watch-Mode, will remain in Watch-Mode for 95 seconds.
Present login failure count 5.

La salida de muestra siguiente show login del comando verifica que el router esté en el modo reservado. En este ejemplo, login block-for el comando fue configurado de bloquear los hosts del login por 100 segundos si 3 o más pedidos de registro fallan en el plazo de 100 segundos.

Router# show login

A default login delay of 1 seconds is applied.
No Quiet-Mode access list has been configured.
All successful login is logged and generate SNMP traps.
All failed login is logged and generate SNMP traps.

Router enabled to watch for login Attacks.
If more than 2 login failures occur in 100 seconds or less, logins will be disabled for 
100 seconds.

Router presently in Quiet-Mode, will remain in Quiet-Mode for 93 seconds.
Denying logins from all sources.

La salida de muestra siguiente show login failures del comando muestra todos los intentos fallidos de ingreso al sistema en el router:

Router# show login failures

Information about login failure's with the device

Username      Source IPAddr  lPort Count  TimeStamp
try1          10.1.1.1        23    1     21:52:49 UTC Sun Mar 9 2003
try2          10.1.1.2        23    1     21:52:52 UTC Sun Mar 9 2003

La salida de muestra siguiente show login failures del comando verifica que no se registre ninguna información actualmente:

Router# show login failures

*** No logged failed login attempts with the device.***

Referencias adicionales

Documentos Relacionados

Tema relacionado
Título del documento

AutoSecure

Módulo de función de “AutoSecure”.

Asegure la Administración/el acceso administrativo

Módulo de función “del acceso basado en Role CLI”.


Asistencia Técnica

Descripción
Link

El Web site del soporte y de la documentación de Cisco proporciona los recursos en línea para descargar la documentación, el software, y las herramientas. Utilice estos recursos para instalar y para configurar el software y para resolver problemas y para resolver los problemas técnicos con los Productos Cisco y las Tecnologías. El acceso a la mayoría de las herramientas en el Web site del soporte y de la documentación de Cisco requiere una identificación del usuario y una contraseña del cisco.com.

http://www.cisco.com/cisco/web/LA/support/index.html


Información de la característica para las mejoras del login del Cisco IOS (bloque del login)

La Tabla 1 muestra el historial de versiones de esta función.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software. El Cisco Feature Navigator le permite para determinar qué imágenes del software soportan una versión de software, un conjunto de características, o una plataforma específico. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.


Observelas listas del cuadro 1 solamente la versión de software que introdujo el soporte para una característica dada en un tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión de software también soportan esa característica.


Información de la característica del cuadro 1 para las mejoras del login del Cisco IOS (bloque del login) 

Nombre de la función
Versiones
Información sobre la Función

Cisco IOS Login Enhancements (Bloqueo de Login)

‘12.3(4)T’
12.2(25)S
12.2(33)SRA
12.2(33)SRB 12.2(33)SXH
12.4(15)T1

La característica de las mejoras del login del Cisco IOS (bloque del login) permite que los usuarios aumenten la Seguridad de un router configurando las opciones para bloquear automáticamente otros intentos de inicio de sesión cuando se detecta un ataque posible DOS.

Esta característica fue introducida en el Cisco IOS Release 12.3(4)T.

Esta función se integró en Cisco IOS Release 12.2(25)S.

Esta función se integró en Cisco IOS Release 12.2(33)SRA.

El soporte para el bloqueo del login HTTP era integrado en el Cisco IOS Release 12.2(33)SRB, 12.2(33)SXH, 12.4(15)T1.



Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks can be found at www.cisco.com/go/trademarks. Third party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1005R)

Las direcciones IP (Internet Protocol) y los números de teléfono utilizados en este documento no son direcciones y números de teléfono reales. Cualesquiera ejemplos, muestra de la salida de comandos, diagramas de topología de red y otras figuras incluidos en el documento se muestran solamente con fines ilustrativos. El uso de direcciones IP o números de teléfono reales en contenido ilustrativo es involuntario y fortuito.

Cisco Systems, Inc. 2005-2011 del © Todos los derechos reservados.