Cisco IOS/IOS-XE 계정 잠금 설정(보안 기능)

Today keys : cisco, login, block, 차단, acl, deny, 접속, 접근, 보안, 네트워크, network

---

login block-for란?

• login block-for 명령어는 지정된 시간 동안 로그인 시도를 차단하는 기능
• 특정 시간 내에 로그인 실패가 반복되면, 이후 일정 시간 동안 모든 로그인 시도를 차단
• 즉, 일정 횟수 이상 잘못된 로그인 시도가 감지되면, 시스템이 일시적으로 로그인 잠금 기능 제공

 

사용 목적

• SSH, Telnet 등의 관리 포트에 대한 브루트 포스 공격 차단
• 잘못된 패스워드 입력을 통해 반복 로그인 시도하는 비인가 사용자 방어
• 네트워크 장비 계정 탈취 시도에 대한 1차 방어선 제공

 

설정 방법

login block-for <차단 시간(초)> attempts <실패 허용 횟수> within <시간 간격(초)>

block-for 60 → 로그인 실패가 감지되면 60초 동안 로그인 시도 자체를 차단

attempts 3 → 3번의 로그인 실패가 발생하면

within 60 → 위의 실패 시도가 60초 이내에 발생한 경우 차단 조건 충족

즉, 60초 동안 로그인 실패가 3번 발생하면, 그 후 60초 동안 로그인 시도 차단

 

설정 및 접속 테스트

 

ZIGI-R2 장비에서 login block-for 기능을 다음과 같이 설정합니다.

접속 자단 시간을 60초로,

시도 횟수는 3회,

실패 시도의 횟수 조건 시간을 60초로 설정했습니다. 

 

ZIGI-R2 장비의 line설정 에는 별도의 ACL 없이 SSH 접근이 허용되도록 설정되어 있습니다.

 

이 때, ZIGI-R1 장비에서 ZIGI-R2로 접속을 시도하는 데, 

패스워드를 3회 이상 실패하면, 

 

ZIGI-R2에서는 다음과 같은 메시지가 출력됩니다. 

 

이 상태에서, line 설정 쪽을 살펴보면, 

acl이 자동으로 inbound 방향으로 자동 설정 된 것을 볼 수 있습니다.

 

 

설정된 ACL을 확인해 보면,

다음과 같이 telnet, www, 22에 대해서 deny 정책이 걸린 것을 볼 수 있습니다.

 

ssh에 대한 차단 정책이 걸려 있기 때문에

이후 접속은 설정한 시간만큼 아래와 같이 차단되는 것을 볼 수 있습니다.

 

 

그리고, 차단된 시간 동안에 접속을 시도한 내용은

자동으로 설정된 ACL의 설정의 log로 인해서 다음과 같이 차단 로그가 뜨는 것을 확인 할 수 있습니다.