ログインの拡張機能に関する情報:ログインブロック
ログインの拡張機能:ログインブロックの概要
ログインの拡張機能(ログインブロック)機能により、ユーザーはサービス拒絶(DoS)攻撃と思われる攻撃が検出された場合、ログイン試行を自動的にブロックするオプションを設定して、デバイスのセキュリティを強化できます。
この機能により導入された Login Block オプションおよび Login Delay オプションで、Telnet または SSH 仮想接続を設定できます。この機能をイネーブルにすると、接続試行の失敗が複数回検出された場合に、「待機時間」を強制して「辞書攻撃」をスローダウンし、ルーティング デバイスをサービス拒絶(DoS)攻撃攻撃から保護できます。
サービス拒絶攻撃および辞書ログイン攻撃からの保護
ユーザーまたは経営幹部レベルで、デバイスを管理する目的によるデバイスへの接続は、リモートコンソール(PC など)から Telnet または SSH(セキュアシェル)を使用して最も頻繁に実行されます。ユーザのデバイスと管理デバイスとの間の通信トラフィックが暗号化されるため、SSH では、よりセキュアな接続オプションが提供されます。Login Block 機能をイネーブルにすると、Telnet 接続と SSH 接続の両方に適用されます。12.3(33)SRB2、12.2(33)SXH2、および 12.4(15)T1 以降のリリースバージョンでは、ログインブロック機能は HTTP 接続にも適用されます。
この機能によって導入される自動アクティベーション、および Login Block 機能および Quiet Period 機能のロギングは、個人が使用するとネットワーク デバイスを阻害したり、損なう可能性のある 2 つの既知の方法に特に対処したりすることでデバイスのセキュリティをさらに強化するように設計されています。
デバイスの接続アドレスが検出され、到達可能である場合、悪意あるユーザが接続要求のフラッディングによってデバイスの通常の動作を妨げようとする可能性があります。通常のルーティング サービスを適切に処理しようとして、繰り返し行われるログイン接続試行を処理しようとしたり、デバイスがビジーになったり、正規のシステム管理者に通常のログイン サービスを提供できなくなる可能性があるため、この種の攻撃は、サービス拒絶(DoS)攻撃の試行と呼ばれます。
辞書攻撃の主な意図は、一般的な DoS 攻撃とは異なり、デバイスへの管理アクセスを実際に取得することです。辞書攻撃とは、数千、時には数百万ものユーザ名/パスワードの組み合わせでログインを試行する自動プロセスです(このタイプの攻撃は、まず最初に、有効なパスワードとして一般的な辞書で見られるあらゆる言葉が使用されるため、「辞書攻撃」と呼ばれています)。このアクセスを試行するためにスクリプトやプログラムが使用されていて、このような試みのプロファイルは通常、DoS 試行のものと同じです。短期間で複数のログインを試行します。
検出プロファイルをイネーブルにすることにより、ログイン試行の失敗が反復する場合は、以降の接続要求(ログインブロッキング)を拒否して対応するように、デバイスを設定できます。このブロックには「待機時間」と呼ばれる、一定の時間を設定できます。システム管理者との関連付けが把握されているアドレスを使用してアクセス リスト(ACL)を設定し、待機時間中でも正規の接続試行を許可できます。
連続するログイン試行間の遅延
デバイスは、仮想接続をできる限り高速で処理して受け入れることができます。ログイン試行間に遅延を導入すると、デバイスを辞書攻撃や DoS 攻撃などの悪意あるログイン接続から保護することができます。遅延は次のいずれかの方法でイネーブルにできます。
-
auto secure コマンドを使用します。AutoSecure 機能をイネーブルにすると、デフォルトで 1 秒のログイン遅延時間が自動的に強制されます。
-
login block-for コマンドを使用します。login delay コマンドを発行する前に、このコマンドを入力する必要があります。login block-for コマンドのみを入力すると、デフォルトで 1 秒のログイン遅延時間が自動的に強制されます。
-
グローバル コンフィギュレーション モード コマンド login delay を使用すると、強制されるログイン遅延時間を秒単位で指定できます。
DoS 攻撃が疑われる場合のログイン シャットダウン
設定された接続試行回数が指定された期間内に失敗した場合、デバイスは「待機時間」の間、追加接続を受け付けません。(事前定義されたアクセス コントロール リスト(ACL)によって許可されたホストは待機時間から除外されます)。
待機時間を発生させる接続試行の失敗回数は、新しいグローバル コンフィギュレーション モード コマンド login block-for で指定できます。待機時間から除外される定義済みの ACL は、新しいグローバル コンフィギュレーション モード コマンド login quiet-mode access-class で指定できます。
この機能は、デフォルトではディセーブルです。AutoSecure がイネーブルの場合はイネーブルになりません。