För att få komma åt en router eller switch upprättas terminalanslutningar. Nätverkshanterare har en konsolport för en lokalt åtkomst och för fjärranslutning krävs att Ethernetportar är IP-konfigurerade. Det finns också andra typer av portar. Lokalt åtkomst är via en fysisk konsolport och dess terminal medan fjärråtkomst är via virtuella terminaler (vty). För att konfigurera konsolporten används kommandot line console 0 och för att konfigurera de virtuella terminaler används kommandot line vty.

Som standard kräver ovan nämnda portar inget lösenord för administrativ åtkomst. När man säkrar dessa portar med kommando password och login kan lösenord krypteras endast med krypteringsalgoritmen typ 7. Den typ av kryptering anses inte tillräckligt säkert och därför bör man konfigurera konsolen och andra portar för autentisering av användarnamn/lösenord med kommandot login local. Dessutom bör vty-linjerna endast konfigureras för SSH-åtkomst.

Observera att vissa Cisco-enheter har fler än fem vty-linjer (virtuella terminaler). Till exempel stöder Cisco-switchar upp till 16 samtidiga vty-linjer, numrerade 0 till 15.

Förbättring av inloggningsprocessen

Att konfigurera lösenord och lokal autentisering hindrar inte attacker. Cisco IOS inloggningsförbättringarna ger mer säkerhet genom att bromsa exempelvis DOS-attacker. Genom att aktivera en detektionsprofil kan man konfigurera en nätverksenhet att reagera på upprepade misslyckade inloggningsförsök genom att avslå ytterligare anslutningsförfrågningar (blockering av inloggning).

Detta blockering kan konfigureras för en tidsperiod, vilket kallas en tyst period (quiet). Åtkomstkontrollistor (ACL) kan användas för att tillåta legitima/tillåtna anslutningar.
Banners (varningsmeddelande) är inaktiverade som standard och efter lämpliga konfigurationer måste vara aktiverade. Använd kommandot banner från det globala konfigurationsläge. Banners skyddar organisationen ur ett juridiskt perspektiv. Bannermeddelande bör granskas av juridiska rådgivare innan det placeras på nätverkshanterare. Använd aldrig ordet välkommen eller någon annan välbekant hälsning som kan misstolkas som en inbjudan att använda nätverket.

Exempel på ett lämpligt meddelande:

This equipment is privately owned and access is logged. Disconnect immediately if you are not an authorized user. Violators will be prosecuted to the fullest extent of the law.

Säkerhetsförbättringar för virtuell inloggning

• Implementera förseningar mellan på varandra följande inloggningsförsök
• Aktivera avstängning av inloggning om DoS-attacker misstänks
• Generera systemloggningsmeddelanden för inloggningsdetektering

Kommandosyntax för banner:

R1(config)# banner {motd | exec | logga in } delimeter message delimeter

Konfigurera inloggningsförbättringsfunktioner

Studera exempel nedan:

• login block-for 15 (nya inloggningsförsök hindras i 15 sekunder) attempts 5 (efter 5 misslyckade försök) within 60 (inom 60 sekunder)
• ip access-list standard PERMIT-ADMIN (en åtkomstlista med namn PERMIT-ADMIN skapas)
• permit 192.168.10.10 (åtkomst tillåts till datorn adresserade med IP 192.168.10.10)
• permit 192.168.11.10 (samma som ovan)
• login quiet-mode access-class PERMIT-ADMIN (kommandot mappas till en ACL som identifierar de tillåtna datorer)
• login delay 10 (användaren måste vänta 10 sekunder mellan misslyckade inloggningsförsök.)
• login on-success log (registrera lyckade inloggning)
• login om-failure log (registrera misslyckade inloggning)

Observera att kommandona login on-success log och login om-failure log gäller inte konsolanslutningar. Vid hantering av konsolanslutningar antas det att endast behörig personal har fysisk åtkomst till enheterna. Kommandona ovan är en del av den utökad inloggningsförbättringar som endast aktiveras om den lokala databasen används för autentisering vid lokal och fjärråtkomst.

Kommandot login block-for övervakar inloggningsförsök i två läge:

• Normal mode – Routern håller räkningen av antal misslyckade inloggningsförsök inom en identifierad tidsperiod.
• Quiet mode – Om antalet misslyckade inloggningar överskrider den konfigurerade gånger, nekas alla inloggningsförsök med Telnet, SSH och HTTP under den tid som anges i kommandot login block-for.

När Quiet mode har aktiverats är alla inloggningsförsök, inklusive giltig administrativ åtkomst, inte tillåtna. Men för att ge en kontrollerad åtkomst till nätverksadministratörer kan användas en ACL som åsidosätter begränsningen. ACL bindas ihop med Quiet mode med hjälp av kommandot login quiet-mode access-class.

Som visas i bilden ovan identifieras de IP-adresser som exkluderas från Quiet mode och som tillåts administrativ åtkomst. Det här exemplet visar en konfiguration som anropar en ACL med namnet PERMIT-ADMIN. Datorernas IP-adress som matchar med ACL PERMIT-ADMIN är undantagna från Quiet mode.

När kommandot login block-for implementeras, anropas automatiskt en fördröjning på en sekund mellan inloggningsförsöken. För att göra det svårare för en angripare kan fördröjningstiden mellan inloggningsförsök ökas med kommandot login delay. Fördröjningen inträffar för alla inloggningsförsök, inklusive misslyckade eller lyckade försök.
Kommandona för inloggningsblockering login block-for, login quiet-mode access-class och login delay hjälper till att blockera misslyckade inloggningsförsök under en begränsad tidsperiod. De kan dock inte stoppa fler nya försök (lösenordsattack), så hur kan en nätverksadministratör veta när någon försöker få åtkomst till nätverket genom att gissa lösenordet?

Det finns tre kommandon som kan konfigureras för att hjälpa en nätverksadministratör att upptäcka en lösenordsattack:

• login on-success log [every login]
• login on-failure log [every login]
• security authentication failure rate threshold-rate log

Varje kommando gör det möjligt för en nätverkshanterare att generera syslog-meddelanden för lyckade eller misslyckade inloggningsförsök. Antalet inloggningsförsök innan ett syslog-meddelande genereras kan anges med syntaxen [every login], där standardvärdet är 1 försök. Det giltiga intervallet är från 1 till 65 535.

Som ett alternativ till kommandot login on-failure log, kan kommandot security authentication failure rate konfigureras för att generera ett syslog-meddelande när inloggningsfelfrekvensen överskrids.

Använd kommandot show login för att verifiera kommandoinställningar i login block-for. Som exempel router R1 har konfigurerats för att blockera inloggningsförsök i 120 sekunder om fler än 5 inloggningsförsökningar misslyckas inom 60 sekunder.

Observera att routern R1 är i Normal-Mode och att det har inträffat fyra inloggningsfel under de senaste 55 sekunderna eftersom det är fem sekunder kvar i normalt läge.

Ett annat exempel vad som händer när antal misslyckade inloggningsförsök överskrids.

Observera att routern R1 nu är i Quiet-Mode och kommer att förbli i det läget i ytterligare 105 sekunder. Autentisering av datorn med IP-adressen 10.10.10.10 misslyckades eftersom den adress inte är med i ACL listan PERMIT-ADMIN.