Segurança no acesso aos roteadores

Três medidas muito simples aumentam significativamente a segurança no acesso aos roteadores.

Além das configurações padrões de usuário, senha, senha de enable e access-lists que restringem o acesso a partir de determinadas máquinas, devemos configurar também:

1°) Configurar na lines, console e aux, o timeout para a sessão:
Esta medida impede que um usuário aproveite-se de uma sessão previamente estabelecida e não finalizada.

Com o comando exec-timeout 5, a conexão será encerrada após 5 minutos de inatividade.

2°) Bloquear o login após 3 tentativas falhas:
Podemos configurar o roteador para que o acesso fique indisponível por um período determinado, caso o usuário erre o login várias vezes.

Exemplo:
Brainwork01#conf t
Brainwork01(config)#login block-for 300 attempts 3 within 60
Brainwork01(config)#exit
Brainwork01#wr

No exemplo acima, caso o usuário erre 3 vezes a senha em 60 segundos, mesmo usuário ou usuários diferentes, o acesso ao roteador fica bloqueado por 300 segundos, para todos os usuários.

Para isso o roteador cria automaticamente uma access-lists (exibida abaixo), que é aplicada temporáriamente na line e auxiliar.

Brainwork01#show access-list
Extended IP access list sl_def_acl
    10 deny tcp any any eq telnet log
    20 deny tcp any any eq www log
    30 deny tcp any any eq 22 log
    40 permit ip any any log
Brainwork01#

3°) Habilitar o log:
Por último, mas não menos importante, devemos habilitar o log para registrar a ocorrência de falhas no login.

Exemplo:
Brainwork01#conf t
Brainwork01(config)#security authentication failure rate 3 log
Brainwork01(config)#exit
Brainwork01#wr

Assim, se o usuário errar 3 vezes o login em um minuto, será gerado um log como exibido abaixo, que será armazenado no buffer do roteador ou enviado para o log server, dependendo que como o equipamento esteja configurado.

*Dec 16 16:34:04.328: %LOGIN-3-TOOMANY_AUTHFAILS: Too many Login Authentication failures have occurred in the last one minute on the line 323.

Até a próxima.

About The Author

André Ortega

Formando em Processamento de Dados e Ciência da Computação. Especialista Cisco (CCNP Enterprise e CCNP Security). Vinte anos de experiência com redes e segurança.

See author's posts