3
Cisco - nach 3 Anmeldeversuchen IP sperren
Hallo, habe einen Cisco 2811 Router der als VPN Gateway eingesetz wird,
jetzt ist es so, das doch reletiv oft versucht wird, sich da einzuloggen.
Mit allen möglichen Uder/Passwort kombinationen. Kann man hier nicht her gehen
und die IP einfach automtisch sperren lassen für 15min oder so ?
Am besten wäre natürlich wenn, die Abfrage kommen würde, aber selbst mit dem richtigen
Kennwort kein login mehr möglich wäre, somit kann man in ruhe mit loggen und
der Angreifer hat keine chance mehr rein zu kommen ?
z.B.
vpn-gateway Notice 07/04/01 22:13:19 72136: Apr 1 20:13:18.177: %SSH-5-SSH2_USERAUTH: User 'root' authentication for SSH2 Session from *.*.*.* (tty = 0) using crypto cipher 'aes128-cbc', hmac 'hmac-sha1' Failed
vpn-gateway Notice 07/04/01 22:13:19 72137: Apr 1 20:13:18.177: %SSH-5-SSH2_CLOSE: SSH2 Session from *.*.*.* (tty = 0) for user 'root' using crypto cipher 'aes128-cbc', hmac 'hmac-sha1' closed
vpn-gateway Notice 07/04/01 22:13:15 72135: Apr 1 20:13:14.521: %SSH-5-SSH2_SESSION: SSH2 Session request from *.*.*.* (tty = 0) using crypto cipher 'aes128-cbc', hmac 'hmac-sha1' Succeeded
vpn-gateway Notice 07/04/01 22:13:12 72133: Apr 1 20:13:11.777: %SSH-5-SSH2_USERAUTH: User 'root' authentication for SSH2 Session from *.*.*.* (tty = 0) using crypto cipher 'aes128-cbc', hmac 'hmac-sha1' Failed
vpn-gateway Notice 07/04/01 22:13:12 72134: Apr 1 20:13:11.777: %SSH-5-SSH2_CLOSE: SSH2 Session from *.*.*.* (tty = 0) for user 'root' using crypto cipher 'aes128-cbc', hmac 'hmac-sha1' closed
jetzt ist es so, das doch reletiv oft versucht wird, sich da einzuloggen.
Mit allen möglichen Uder/Passwort kombinationen. Kann man hier nicht her gehen
und die IP einfach automtisch sperren lassen für 15min oder so ?
Am besten wäre natürlich wenn, die Abfrage kommen würde, aber selbst mit dem richtigen
Kennwort kein login mehr möglich wäre, somit kann man in ruhe mit loggen und
der Angreifer hat keine chance mehr rein zu kommen ?
z.B.
vpn-gateway Notice 07/04/01 22:13:19 72136: Apr 1 20:13:18.177: %SSH-5-SSH2_USERAUTH: User 'root' authentication for SSH2 Session from *.*.*.* (tty = 0) using crypto cipher 'aes128-cbc', hmac 'hmac-sha1' Failed
vpn-gateway Notice 07/04/01 22:13:19 72137: Apr 1 20:13:18.177: %SSH-5-SSH2_CLOSE: SSH2 Session from *.*.*.* (tty = 0) for user 'root' using crypto cipher 'aes128-cbc', hmac 'hmac-sha1' closed
vpn-gateway Notice 07/04/01 22:13:15 72135: Apr 1 20:13:14.521: %SSH-5-SSH2_SESSION: SSH2 Session request from *.*.*.* (tty = 0) using crypto cipher 'aes128-cbc', hmac 'hmac-sha1' Succeeded
vpn-gateway Notice 07/04/01 22:13:12 72133: Apr 1 20:13:11.777: %SSH-5-SSH2_USERAUTH: User 'root' authentication for SSH2 Session from *.*.*.* (tty = 0) using crypto cipher 'aes128-cbc', hmac 'hmac-sha1' Failed
vpn-gateway Notice 07/04/01 22:13:12 72134: Apr 1 20:13:11.777: %SSH-5-SSH2_CLOSE: SSH2 Session from *.*.*.* (tty = 0) for user 'root' using crypto cipher 'aes128-cbc', hmac 'hmac-sha1' closed
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 55593
Url: https://administrator.de/contentid/55593
Printed on: April 24, 2024 at 23:04 o'clock
3 Comments
Latest comment
Nein, das ist nicht möglich mit Bordmitteln. Das ist auch mehr oder weniger normal wenn du ihn mit einem Bein im öffentlichen Netz hast. Ein Schicksal das alle PCs Router usw. teilen die nun mal im freien Internet sind.
Hier gilt das System wasserdicht zu machen. Also: telnet Server abschalten und nur SSH benutzen, Cisco Discovery Protokoll (CDP) abschalten, Web Management abschalten !. Sicher passwörter und Usernamen verwenden. Ggf. die Authentifizierung nicht lokal sondern über einen TACACS+ oder Radius Server machen lassen !
ACLs auf dem Port aufsetzen und alle nicht benutzten Dienste von außen sperren lassen.
Damit bekommt man das alles relativ sicher !
Hier gilt das System wasserdicht zu machen. Also: telnet Server abschalten und nur SSH benutzen, Cisco Discovery Protokoll (CDP) abschalten, Web Management abschalten !. Sicher passwörter und Usernamen verwenden. Ggf. die Authentifizierung nicht lokal sondern über einen TACACS+ oder Radius Server machen lassen !
ACLs auf dem Port aufsetzen und alle nicht benutzten Dienste von außen sperren lassen.
Damit bekommt man das alles relativ sicher !
Ah OK, schade eigentlich 
Ich weis gar nicht warum man sowas nicht vorsieht
Zu dem CDP, kannst du mir den Befehl sagen wie ich das Abschalte ?
Sonst so den Rest habe ich schon - DANKE mal für die Hilfe.
Ich weis gar nicht warum man sowas nicht vorsieht
Zu dem CDP, kannst du mir den Befehl sagen wie ich das Abschalte ?
Sonst so den Rest habe ich schon - DANKE mal für die Hilfe.
Ich weis gar nicht warum man sowas nicht vorsieht....
Ich denke mal diese Frage kannst du dir sehr leicht selbst beantworten...denn was denkst du wieviele Millionen IP Adressen aus dem öffentlichen Internet sollte sich die Maschine denn merken ??? Ich glaube dir leuchtet selber ein wieviel HW Resourcen und Performance sowas kostet....
Dein Kommando was du global eingeben solltest heisst no cdp enable
Ich denke mal diese Frage kannst du dir sehr leicht selbst beantworten...denn was denkst du wieviele Millionen IP Adressen aus dem öffentlichen Internet sollte sich die Maschine denn merken ??? Ich glaube dir leuchtet selber ein wieviel HW Resourcen und Performance sowas kostet....
Dein Kommando was du global eingeben solltest heisst no cdp enable
