Today keys : cisco, login, block, 차단, acl, deny, 접속, 접근, 보안, 네트워크, network
login block-for란?
- login block-for 명령어는 지정된 시간 동안 로그인 시도를 차단하는 기능
- 특정 시간 내에 로그인 실패가 반복되면, 이후 일정 시간 동안 모든 로그인 시도를 차단
- 즉, 일정 횟수 이상 잘못된 로그인 시도가 감지되면, 시스템이 일시적으로 로그인 잠금 기능 제공
사용 목적
- SSH, Telnet 등의 관리 포트에 대한 브루트 포스 공격 차단
- 잘못된 패스워드 입력을 통해 반복 로그인 시도하는 비인가 사용자 방어
- 네트워크 장비 계정 탈취 시도에 대한 1차 방어선 제공
설정 방법
login block-for <차단 시간(초)> attempts <실패 허용 횟수> within <시간 간격(초)>block-for 60 → 로그인 실패가 감지되면 60초 동안 로그인 시도 자체를 차단
attempts 3 → 3번의 로그인 실패가 발생하면
within 60 → 위의 실패 시도가 60초 이내에 발생한 경우 차단 조건 충족
즉, 60초 동안 로그인 실패가 3번 발생하면, 그 후 60초 동안 로그인 시도 차단
설정 및 접속 테스트
ZIGI-R2 장비에서 login block-for 기능을 다음과 같이 설정합니다.
접속 자단 시간을 60초로,
시도 횟수는 3회,
실패 시도의 횟수 조건 시간을 60초로 설정했습니다.
ZIGI-R2 장비의 line설정 에는 별도의 ACL 없이 SSH 접근이 허용되도록 설정되어 있습니다.
이 때, ZIGI-R1 장비에서 ZIGI-R2로 접속을 시도하는 데,
패스워드를 3회 이상 실패하면,
ZIGI-R2에서는 다음과 같은 메시지가 출력됩니다.
이 상태에서, line 설정 쪽을 살펴보면,
acl이 자동으로 inbound 방향으로 자동 설정 된 것을 볼 수 있습니다.
설정된 ACL을 확인해 보면,
다음과 같이 telnet, www, 22에 대해서 deny 정책이 걸린 것을 볼 수 있습니다.
ssh에 대한 차단 정책이 걸려 있기 때문에
이후 접속은 설정한 시간만큼 아래와 같이 차단되는 것을 볼 수 있습니다.
그리고, 차단된 시간 동안에 접속을 시도한 내용은
자동으로 설정된 ACL의 설정의 log로 인해서 다음과 같이 차단 로그가 뜨는 것을 확인 할 수 있습니다.
