Protegendo o IOS contra ataques de brute-force usando periodo de penalização

Ataques de Brute Force ou força bruta tem como objectivo aceder a um determinado sistema por meio da tentativa de determinar uma combinação de acesso (por exemplo username/password) que seja valida pelo sistema de autenticação. Os atacantes mais experientes geralmente sabe que tecnicas como esta fazem muito ‘barulho’ no sistema alvo, de modo que muitas das vezes o objectivo pode ser portanto nao aceder ao sistema, mas quem sabe ocupar linhas de terminal virtual (vty) dum determinado router.
Depois disso alia-se o facto de que o sistema pode nao aguentar a carga de tanto pedidos de processamento. Então urge necessario evitar ou dirimir isto. Como? Existem varias formas. Uma delas pode ser por meio de ACLs. Mas ainda assim havia o risco do atacante utilizar e ser bem sucedido com tecnicas como IP Spoofing ou o uso de ataques em rede local/hosts confiaveis.

Um administrador pode entao definir periodos de penalização a tentativas mal-sucedidas de acesso ao sistema. Por exemplo, ele pode decidir que dentro de 45 segundos ninguem pode falhar mais de 3 logins consecutivos. Se alguem falhar entao é penalizado e impedido de tentar novamente durante cerca de 1 min e 30s (90 s) .

O administrador pode ainda assim entrar no sistema durante o periodo de penalização (quiet period) criando uma lista de acesso padrao. O exemplo abaixo pretende mostrar isso:

TESOURARIA#conf t
TESOURARIA(config)#username SNNANgola secret SNNANGOLA12345
TESOURARIA(config)#line vty 0 7
TESOURARIA(config-line)#login local
TESOURARIA(config-line)#exit
TESOURARIA(config)#login block-for 90 attempts 3 within 45
TESOURARIA(config)#ip access-list standard PERMITIRACESSOADMIN
TESOURARIA(config-std-nacl)#permit 10.1.1.2
TESOURARIA(config-std-nacl)#exit
TESOURARIA(config)#login quiet-mode access-class PERMITIRACESSOADMIN

Tambem é possivel introduzir uma atraso de x segundos entre sucessivas tentativas falhadas ou nao de logins. Por exemplo introduzamos um atraso de 2 segundos:

TESOURARIA(config)#login delay 2

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s