Login Block

В качестве обеспечения безопасности можно использовать функцию полного блокирования доступа к устройству в течение определенного промежутка времени после заданного количества неуспешных попыток аутентификации. Осуществляется это командой (версия IOS должна быть не ниже 12.4)

login block-for 310 attempts 10 within 100

где 10 - максимальное количество неудачных попыток в течение 100 секунд, после которого будет активирован интервал в 310 секунд, в течение которого будут блокированы все последующие попытки аутентификации абсолютно для всех пользователей, в том числе легальных.

Чтобы избежать ситуации, когда администратор устройства не может получить к нему удаленный доступ, необходимо создать список доступа, на который правило в 310 секунд не будет распространяться, и объявить его командой login quiet-mode access-class AccessList, где AccessList - список IP адресов на который не распространяется запрет доступа.


Включить функцию слежения за неудачными попытками аутентификации командой login on-failure. Теперь можно просматривать количество неудачных попыток аутентификации командой show login. Командой show login failures можно просматривать IP адреса подозрительных устройств, с которых были инициированы попытки доступа к устройству, в том числе номера портов и количество неудачных попыток.


Пример настройки:

login block-for 310 attempts 10 within 100
login quiet-mode access-class AccessList
login delay 5
login on-failure