Segurança no acesso aos roteadores

André Ortega 16/12/2008 2 minutes read

Três medidas muito simples aumentam significativamente a segurança no acesso aos roteadores.

Além das configurações padrões de usuário, senha, senha de enable e access-lists que restringem o acesso a partir de determinadas máquinas, devemos configurar também:

1°) Configurar na lines, console e aux, o timeout para a sessão:
Esta medida impede que um usuário aproveite-se de uma sessão previamente estabelecida e não finalizada.

Exemplo:
Brainwork01#conf t
Brainwork01(config)#line vty 0 4
Brainwork01(config-line)#exec-timeout 5
Brainwork01(config-line)#end
Brainwork01#wr

Com o comando exec-timeout 5, a conexão será encerrada após 5 minutos de inatividade.

2°) Bloquear o login após 3 tentativas falhas:
Podemos configurar o roteador para que o acesso fique indisponível por um período determinado, caso o usuário erre o login várias vezes.

Exemplo:
Brainwork01#conf t
Brainwork01(config)#login block-for 300 attempts 3 within 60
Brainwork01(config)#exit
Brainwork01#wr

No exemplo acima, caso o usuário erre 3 vezes a senha em 60 segundos, mesmo usuário ou usuários diferentes, o acesso ao roteador fica bloqueado por 300 segundos, para todos os usuários.

Para isso o roteador cria automaticamente uma access-lists (exibida abaixo), que é aplicada temporáriamente na line e auxiliar.

Brainwork01#show access-list
Extended IP access list sl_def_acl
    10 deny tcp any any eq telnet log
    20 deny tcp any any eq www log
    30 deny tcp any any eq 22 log
    40 permit ip any any log
Brainwork01#

3°) Habilitar o log:
Por último, mas não menos importante, devemos habilitar o log para registrar a ocorrência de falhas no login.

Exemplo:
Brainwork01#conf t
Brainwork01(config)#security authentication failure rate 3 log
Brainwork01(config)#exit
Brainwork01#wr

Assim, se o usuário errar 3 vezes o login em um minuto, será gerado um log como exibido abaixo, que será armazenado no buffer do roteador ou enviado para o log server, dependendo que como o equipamento esteja configurado.

*Dec 16 16:34:04.328: %LOGIN-3-TOOMANY_AUTHFAILS: Too many Login Authentication failures have occurred in the last one minute on the line 323.

Até a próxima.

About The Author

André Ortega

Formando em Processamento de Dados e Ciência da Computação. Especialista Cisco (CCNP Enterprise e CCNP Security). Vinte anos de experiência com redes e segurança.

See author's posts

Relacionado

victorinoadmin em Componentes AVI Networks Load Balancer (NSX Advanced Load Balancer)24/11/2025
Ótimo material! Seria bem legal se aprofundar mais no tema.
./fernando em Aprenda Python e ganhe pontos para renovar as certificações CCNA, CCNP e CCIE29/10/2024
Excelente conteúdo, André! Obrigado por compartilhar.
André Ortega em Reset Cisco FTD (zerar FTD sem reinstalar)18/10/2024
Quando é feito o reset, sim volta a ter os 90 dias de trial. No procedimento acima, confesso que não…
ALEX LIRA CAMACHO em Reset Cisco FTD (zerar FTD sem reinstalar)15/10/2024
Muito boa a dica, mas ficou a duvida sobre a licença, com reset de fabrica ela volta para os 90…
André Ortega em Atualizando Cisco 9300 (Install Mode)30/08/2024
Olá Dominique. Essas são os arquivos usados para cada modo (install ou bundle). O modo install (que "quebra o arquivo…

André Ortega

Configurando Syslog no Cisco Firewall (FMC)

Como identificar um MAC Address aleatório (Locally Administered)

Senhas vazadas em escala: lições do relatório 2026

You may have missed