你可能還沒有認識到使用針對Telnet、SSH或者HTTP端口的字典式拒絕服務的(DoS)攻擊可能成功的攻擊你的Cisco路由器。事實上,我敢打賭,即便是大多數網絡管理員沒有全部打開這些端口,那麼他至少也會打開其中一個端口用於路由器的管理。
針對路由器的DoS字典攻擊可以讓攻擊者取得Cisco路由器的訪問權 或者可能導致用戶無法使用路由器。在本文中,你可以找到如何使用Cisco 網絡操作系統的增強登陸功能來防止這種攻擊。
當然,在公網中開放這些端口要比在私網中開放這些端口危險的多。但是,無論是對公網開放還是對私網開放這些端口,你都需要保護你的路由器防止它們受到字典DoS攻擊,通過這種攻擊,攻擊者可能獲得路由器的訪問權或者在你的網絡中創建一個簡單的服務出口。
不過由於在網絡操作系統 12.3(4)T以及以後的版本中都有了增強的登陸功能,因此你可以為你的路由器提供額外的保護。這些新的增強的登陸功能提供以下各個方面的優勢:
在發現連續登陸嘗試後,創建一個登陸延遲。
如果出現太多的登陸嘗試失敗的話,將不再允許登陸。
在系統日志中創建相應的登陸信息或者發送SNMP陷阱來警告和記錄有關失敗和不允許登陸的額外信息。
如何知道你的路由器中是否包含這些代碼?最簡單的查找方法是到"全局配置模式(Global Configuration Mode)並且輸入"login(登陸)"",這個命令將返回一個選擇列表,具體顯示如下:
block-for--用於設置安靜模式活動時間周期。
delay--用於設置連續失敗登陸的時間間隔。
on-failure--用於設置試圖登陸失敗後的選項。
on-sucess--用於設置試圖登陸成功後的選項。
quiet-mode--用於設置安靜模式的選項。
如果你的路由器中的網絡操作系統中沒有這個代碼,它將返回一個"無法識別的命令"錯誤。
如果你的路由器中沒有這個功能,那麼使用Cisco 網絡操作系統的特征導航來為你的路由器找到這個功能(參照Cisco 網絡操作系統增強登陸功能)你還可以使用這個工具來查找你所需要的其他功能。記住,下載網絡操作系統代碼和訪問特征導航工具需要Cisco的維護合同。
用於配置這些功能的最基本的基表的命令是login block-for命令,這也是唯一的命令。一旦你激活了這個命令,其缺省的登陸延遲時間是一秒。在你指定的時間內,如果試圖登陸的最大次數超過你所給定的次數的話,系統將拒絕所有的登陸嘗試。
在全局配置模式下,執行下面的命令:
login block-for (在多長時間內拒絕所有的登陸嘗試)
attempts (如果登陸的次數超過此數)within (在多少秒以內)
下面給出一個例子
login block-for 120 attempts 5 within 60
該命令對系統進行如下配置:如果在60秒以內有五次登陸失敗的話,路由器系統將在120秒以內拒絕所有的登陸。如果此時你輸入show login的話,你將接收到以下輸出信息:
缺省情況下登陸延遲時間是一秒鐘。
沒有配置安靜模式訪問列表。
路由器激活了登陸攻擊監控程序。
如果在60秒左右的時間內有五次登陸失敗的話,
系統將禁用登陸操作120秒。
路由器目前處於正常模式。
目前的監控窗口還有54秒鐘。
目前的登陸失敗次數為0。
這些信息顯示了你的設置,包括缺省的登陸延遲時間為一秒鐘,以及其他的附加信息。它還告訴你目前路由器處於正常模式,這意味著路由器目前還允許你登陸。
如果路由器認為有人對其進行攻擊,它將進入安靜模式,並且開始拒絕所有的登陸操作。你還可以配置一個ACL,在其中說明這個路由器對哪些主機和網絡例外,無論是處於安靜模式還是處於其他狀態,都允許這些主機和網絡登陸路由器。
下面是這些命令中用於配置系統的一些選項:
登陸延遲(數字): 在失效登陸後增加延遲的秒數。你可以選擇1到10之間的任何數字。
登陸失敗和登陸成功:這些選項允許你選擇在登陸成功或者失敗時使用的日志和SNMP警告的類型。
登陸安靜模式訪問類(ACL數字):增加ACL數字,使用這個選項可以增加一個隔絕列表,無論路由器處於安靜模式還是處於正常模式,這個列表中的主機和網絡都可以登陸路由器。
通常情況下,為了安全,我建議在所有的路由器上都激活login block-for選項。這些新功能將可以幫助你更好的保證路由器的安全。
如果你正好從事這方面的工作,並且你還沒有做好准備的話,那麼可以考慮只在路由器上使用SSH並且只允許從內網訪問。SSH加密所有從PC到路由器的通信信息(包括用戶名和密碼)。
要想得到這些新特征的全部命令的參考信息,請登陸到Cisco IOS Login Enhancements Documentation 。