Académique Documents
Professionnel Documents
Culture Documents
Introduction au chapitre
En juillet 2001, le ver Code Red a attaqué les serveurs Web du monde
entier, infectant plus de 350 000 hôtes. Le ver a non seulement perturbé
l'accès aux serveurs infectés, mais a également affecté les réseaux locaux
d'hébergement les serveurs, les rendant très lents ou inutilisables. Le ver
Code Red a provoqué un déni de service(DoS) à des millions d’utilisateurs.
Si les professionnels de la sécurité des réseaux responsables de ces
serveurs infectés par Code Red avaient développé
et mis en œuvre une politique de sécurité, les correctifs de sécurité
auraient été appliqués en temps opportun
manière. Le ver Code Red aurait été arrêté et ne mériterait qu'une note en
bas de page dans le réseau
historique de sécurité.
La sécurité du réseau est directement liée à la continuité des activités
d’une organisation. Sécurité Internet
les violations peuvent perturber le commerce électronique, entraîner la
perte de données commerciales, menacer la vie privée des personnes (avec
les conséquences juridiques potentielles) et compromettre l’intégrité des
informations. Ces violations
peut entraîner une perte de revenus pour les entreprises, un vol de
propriété intellectuelle et des poursuites judiciaires, et peut même
menacer la sécurité publique.
Le maintien d'un réseau sécurisé garantit la sécurité des utilisateurs du
réseau et protège les intérêts commerciaux.
Assurer la sécurité d’un réseau nécessite une vigilance de la part des
responsables de la sécurité du réseau d’une organisation.
professionnels. Les professionnels de la sécurité doivent constamment être
conscients des menaces et des attaques nouvelles et en évolution.
aux réseaux et aux vulnérabilités des appareils et des applications. Ces
informations sont utilisées pour
adapter, développer et mettre en œuvre des techniques d’atténuation.
Cependant, la sécurité du réseau est en fin de compte
la responsabilité de tous ceux qui l'utilisent. Pour cette raison, c'est le
travail de la sécurité du réseau
professionnel pour garantir que tous les utilisateurs reçoivent une
formation de sensibilisation à la sécurité. Maintenir un environnement
sécurisé,
Le réseau protégé offre un environnement de travail plus stable et
fonctionnel pour chacun.
Il existe de nombreux types d’attaques réseau autres que les virus, les
vers et les chevaux de Troie.
Pour atténuer les attaques, il est utile de catégoriser d’abord les
différents types d’attaques. En catégorisant
attaques de réseau, il est possible de s’attaquer à des types d’attaques
plutôt qu’à des attaques individuelles. Là
Il n’existe pas de méthode standardisée pour catégoriser les attaques
réseau. La méthode utilisée dans ce cours classe
attaques en trois grandes catégories.
Attaques de reconnaissance
Les attaques de reconnaissance impliquent la découverte et la cartographie
non autorisées de systèmes, de services ou
vulnérabilités. Les attaques de reconnaissance font souvent appel à des
renifleurs de paquets et à des scanners de ports,
qui sont largement disponibles en téléchargement gratuit sur Internet. La
reconnaissance est analogue à une
voleur inspectant un quartier à la recherche de maisons vulnérables dans
lesquelles s'introduire par effraction, comme une résidence inoccupée
ou une maison avec une porte ou une fenêtre facile à ouvrir.
Attaques d'accès
Les attaques d'accès exploitent les vulnérabilités connues des services
d'authentification, des services FTP et du Web.
services pour accéder aux comptes Web, aux bases de données confidentielles
et à d’autres informations sensibles. Un
l’attaque d’accès peut être effectuée de différentes manières. Une attaque
d'accès utilise souvent un dictionnaire
attaque pour deviner les mots de passe du système. Il existe également des
dictionnaires spécialisés pour différentes langues
qui peut être utilisé.
Attaques par déni de service
Les attaques par déni de service envoient un très grand nombre de requêtes
sur un réseau ou sur Internet.
Ces requêtes excessives entraînent un fonctionnement sous-optimal du
périphérique cible. En conséquence, l'attaqué
l’appareil devient indisponible pour un accès et une utilisation légitimes.
En exécutant des exploits ou des combinaisons
d'exploits, les attaques DoS ralentissent ou font planter les applications
et les processus.
Attaques de reconnaissance
La reconnaissance est également connue sous le nom de collecte
d'informations et, dans la plupart des cas, précède un accès ou
Attaque DOS. Lors d'une attaque de reconnaissance, l'intrus malveillant
commence généralement par mener une
balayage ping du réseau cible pour déterminer quelles adresses IP sont
actives. L'intrus détermine alors
quels services ou ports sont disponibles sur les adresses IP en direct.
Nmap est le plus populaire
application pour effectuer des analyses de ports. A partir des informations
de port obtenues, l'intrus interroge le
ports pour déterminer le type et la version de l'application et du système
d'exploitation qui s'exécutent sur
l'hôte cible. Dans de nombreux cas, les intrus recherchent des services
vulnérables qui peuvent être exploités ultérieurement.
lorsqu'il y a moins de chances d'être attrapé.
Les attaques de reconnaissance utilisent divers outils pour accéder à un
réseau :
■ Renifleurs de paquets
■ Balayages ping
■ Analyses de ports
■ Requêtes d'informations sur Internet
Un renifleur de paquets est une application logicielle qui utilise une
carte réseau en mode promiscuité pour
capturez tous les paquets réseau envoyés sur un réseau local. Le mode
promiscuité est un mode dans lequel le
La carte adaptateur réseau envoie tous les paquets reçus à une application
pour traitement. Quelques
les applications réseau distribuent les paquets réseau en texte brut non
chiffré. Parce que le réseau
Les paquets ne sont pas cryptés, ils peuvent être compris par n'importe
quelle application capable de les récupérer sur le réseau.
réseau et les traiter.
Les renifleurs de paquets ne peuvent fonctionner que dans le même domaine
de collision que le réseau attaqué, à moins que
l'attaquant a accès aux commutateurs intermédiaires.
De nombreux renifleurs de paquets gratuits et shareware, tels que
Wireshark, sont disponibles et ne nécessitent pas
l'utilisateur de comprendre quoi que ce soit sur les protocoles sous-
jacents.
Lorsqu'elles sont utilisées comme outils légitimes, les applications de
balayage ping et d'analyse de ports exécutent une série de tests sur
hôtes et appareils pour identifier les services vulnérables. Les
informations sont collectées en examinant l'adressage IP
et le port, ou la bannière, les données des ports TCP et UDP. Un attaquant
utilise des balayages ping
et des analyses de ports pour acquérir des informations susceptibles de
compromettre le système.
Un balayage ping est une technique d'analyse réseau de base qui détermine
quelle plage d'adresses IP
carte vers les hôtes en direct. Un seul ping indique si un ordinateur hôte
spécifié existe sur le réseau.
Un balayage ping consiste en des requêtes d'écho ICMP envoyées à plusieurs
hôtes. Si une adresse donnée est
live, l'adresse renvoie une réponse d'écho ICMP. Les balayages ping font
partie des méthodes les plus anciennes et les plus lentes
utilisé pour analyser un réseau.
Chaque service sur un hôte est associé à un numéro de port bien connu.
L'analyse des ports est une analyse d'un
plage de numéros de port TCP ou UDP sur un hôte pour détecter les services
d'écoute. Cela consiste à envoyer un message
à chaque port sur un hôte. La réponse que reçoit l'expéditeur indique si le
port est utilisé.
Les requêtes d'informations sur Internet peuvent révéler des informations
telles que le propriétaire d'un domaine particulier et
quelles adresses ont été attribuées à ce domaine. Ils peuvent également
révéler qui possède une adresse IP particulière
adresse et quel domaine est associé à l’adresse.
Les balayages ping des adresses révélées par les requêtes d'informations
sur Internet peuvent présenter une image de la vie en direct.
hôtes dans un environnement particulier. Une fois cette liste générée, les
outils d'analyse des ports peuvent parcourir
via tous les ports connus pour fournir une liste complète de tous les
services exécutés sur les hôtes
que le balayage ping a découvert. Les pirates peuvent alors examiner les
caractéristiques des applications actives,
ce qui peut conduire à des informations spécifiques utiles à un pirate
informatique dont l'intention est de compromettre
ce service.
Gardez à l’esprit que les attaques de reconnaissance sont généralement le
précurseur d’attaques ultérieures visant à
d'obtenir un accès non autorisé à un réseau ou de perturber la
fonctionnalité du réseau. Un réseau
un professionnel de la sécurité peut détecter lorsqu'une attaque de
reconnaissance est en cours grâce à des alarmes configurées
qui se déclenchent lorsque certains paramètres sont dépassés, tels que les
requêtes ICMP par seconde. UN
Cisco ISR prend en charge les technologies de sécurité qui permettent de
déclencher ces types d'alarmes. Ce
est rendu disponible par la fonctionnalité de prévention des intrusions
basée sur le réseau prise en charge par Cisco IOS
images de sécurité exécutées sur les ISR.
Systèmes de prévention des intrusions basés sur l'hôte et systèmes de
détection des intrusions autonomes basés sur le réseau
peut également être utilisé pour avertir lorsqu’une attaque de
reconnaissance a lieu.
Les pirates utilisent des attaques d'accès aux réseaux ou aux systèmes pour
trois raisons : récupérer des données, obtenir un accès,
et élever les privilèges d'accès.
Les attaques d'accès utilisent souvent des attaques par mot de passe pour
deviner les mots de passe du système. Les attaques par mot de passe peuvent
être
mis en œuvre à l'aide de plusieurs méthodes, notamment des attaques par
force brute, des programmes de chevaux de Troie, des IP
l'usurpation d'identité et les renifleurs de paquets. Cependant, la plupart
des attaques par mot de passe font référence à des attaques par force
brute, qui
impliquent des tentatives répétées basées sur un dictionnaire intégré pour
identifier un compte utilisateur ou un mot de passe.
Une attaque par force brute est souvent réalisée à l'aide d'un programme
qui s'exécute sur le réseau et tente
pour vous connecter à une ressource partagée, telle qu'un serveur. Après
qu'un attaquant ait accès à une ressource, l'attaquant
a les mêmes droits d’accès que l’utilisateur dont le compte a été
compromis. Si ce compte a
privilèges suffisants, l'attaquant peut créer une porte dérobée pour un
accès futur sans se soucier de tout
modifications du statut et du mot de passe du compte utilisateur compromis.
À titre d'exemple, un utilisateur peut exécuter l'application L0phtCrack,
ou LC5, pour effectuer une attaque par force brute.
pour obtenir un mot de passe du serveur Windows. Une fois le mot de passe
obtenu, l'attaquant peut installer un
keylogger, qui envoie une copie de toutes les frappes au clavier vers une
destination souhaitée. Ou encore, un cheval de Troie peut être
installé pour envoyer une copie de tous les paquets envoyés et reçus par la
cible vers une destination particulière,
permettant ainsi la surveillance de tout le trafic vers et depuis ce
serveur.
Il existe cinq types d'attaques d'accès :
■ Attaque de mot de passe – Un attaquant tente de deviner les mots de passe
du système. Un exemple courant est un
attaque par dictionnaire.
■ Exploitation de la confiance - Un attaquant utilise les privilèges
accordés à un système de manière non autorisée,
pouvant conduire à compromettre la cible.
■ Redirection de port : un système compromis est utilisé comme point de
départ pour des attaques contre d'autres
cibles. Un outil d'intrusion est installé sur le système compromis pour la
redirection de session.
■ Attaque de l'homme du milieu : un attaquant est positionné au milieu des
communications
entre deux entités légitimes afin de lire ou modifier les données qui
transitent entre les deux
des soirées. Une attaque de type « man-in-the-middle » populaire implique
un ordinateur portable agissant comme un point d'accès malveillant à
capturer et copier tout le trafic réseau d’un utilisateur ciblé.
L'utilisateur se trouve souvent dans un lieu public
sur un point d'accès sans fil.
■ Dépassement de tampon - Un programme écrit des données au-delà de la
mémoire tampon allouée. Tampon
les débordements surviennent généralement à la suite d'un bug dans un
programme C ou C++.
le débordement signifie que des données valides sont écrasées ou exploitées
pour permettre l'exécution de code malveillant.
Les attaques d'accès en général peuvent être détectées en examinant les
journaux, l'utilisation de la bande passante et les charges de processus.
La politique de sécurité du réseau doit spécifier que les journaux sont
formellement conservés pour tous les périphériques réseau
et les serveurs. En examinant les journaux, le personnel de sécurité peut
déterminer si un nombre inhabituel de
Des tentatives de connexion ayant échoué ont eu lieu. Progiciels tels que
ManageEngine EventLog Analyzer
ou Cisco Secure Access Control Server (CSACS) conservent des informations
sur les tentatives de connexion échouées
aux appareils réseau. Les serveurs UNIX et Windows conservent également un
journal des tentatives de connexion infructueuses.
Les routeurs Cisco et les pare-feu peuvent être configurés pour empêcher
les tentatives de connexion pendant une durée donnée
d'une source particulière après un nombre prescrit de pannes dans un laps
de temps spécifié.
Les attaques de type « man-in-the-middle » impliquent souvent la
réplication de données. Une indication d'une telle attaque est inhabituelle
quantité d'activité du réseau et d'utilisation de la bande passante, comme
indiqué par la surveillance du réseau
logiciel.
De même, une attaque d'accès entraînant un système compromis serait
probablement révélée par un système lent.
activité due à des attaques par débordement de tampon en cours, comme
indiqué par les charges de processus actives visibles
sur un système Windows ou UNIX.
Une attaque DoS est une attaque réseau qui entraîne une sorte
d'interruption de service pour les utilisateurs, les appareils,
ou des candidatures. Plusieurs mécanismes peuvent générer une attaque DoS.
La méthode la plus simple consiste à
générer de grandes quantités de ce qui semble être du trafic réseau valide.
Ce type d'attaque DoS réseau
sature le réseau afin que le trafic utilisateur valide ne puisse pas
passer.
Une attaque DoS profite du fait que les systèmes cibles tels que les
serveurs doivent conserver les informations d'état.
Les applications peuvent s'appuyer sur les tailles de tampon attendues et
le contenu spécifique des paquets réseau.
Une attaque DoS peut exploiter cela en envoyant des tailles de paquets ou
des valeurs de données non attendues par le système.
réception de la candidature.
Il existe deux raisons principales pour lesquelles une attaque DoS se
produit :
■ Un hôte ou une application ne parvient pas à gérer une condition
inattendue, telle qu'un formatage malveillant
données d'entrée, une interaction inattendue des composants du système ou
un simple épuisement des ressources.
■ Un réseau, un hôte ou une application est incapable de gérer une énorme
quantité de données, ce qui entraîne
le système plante ou devient extrêmement lent.
Les attaques DoS tentent de compromettre la disponibilité d'un réseau, d'un
hôte ou d'une application. Ils sont
considérés comme un risque majeur car ils peuvent facilement interrompre un
processus métier et provoquer des
perte. Ces attaques sont relativement simples à mener, même par un
attaquant non qualifié.
Un exemple d’attaque DoS consiste à envoyer un paquet toxique. Un paquet
empoisonné est un
paquet formaté conçu pour amener le périphérique de réception à traiter le
paquet de manière inappropriée. Le paquet toxique provoque le crash ou le
fonctionnement très lent du périphérique de réception. Cette attaque peut
entraînerait une interruption de toutes les communications vers et depuis
l'appareil.
Dans un autre exemple, un attaquant envoie un flux continu de paquets, ce
qui sature l'espace disponible.
bande passante des liens réseau. Dans la plupart des cas, il est impossible
de différencier l'attaquant et légitime et de remonter rapidement une
attaque jusqu'à sa source. Si de nombreux systèmes dans le cœur Internet
est compromis, l'attaquant peut être en mesure de profiter d'un accès
pratiquement illimité bande passante pour déclencher des tempêtes de
paquets vers les cibles souhaitées.
Une attaque par déni de service distribué (DDoS) a une intention similaire
à une attaque DoS, sauf qu'un
Les attaques DDoS proviennent de plusieurs sources coordonnées. En plus
d'augmenter la quantité de
trafic réseau provenant de plusieurs attaquants distribués, une attaque
DDoS présente également le défi de
exigeant que la défense du réseau identifie et arrête chaque attaquant
distribué.
À titre d'exemple, une attaque DDoS pourrait se dérouler comme suit. Un
pirate informatique recherche les systèmes accessibles.
Une fois que le pirate a accédé à plusieurs systèmes de « gestionnaire »,
il installe un logiciel zombie.
sur eux. Les zombies analysent et infectent ensuite les systèmes d'agents.
Lorsque le pirate informatique accède aux systèmes d'agent,
le pirate informatique charge un logiciel d'attaque télécommandé pour mener
l'attaque DDoS.
Il est utile de détailler trois attaques DoS courantes pour mieux
comprendre comment les attaques DoS
travail.
Ping de la mort
Lors d'une attaque ping of death, un pirate informatique envoie une requête
d'écho dans un paquet IP plus grand que le maximum
taille de paquet de 65 535 octets. L'envoi d'un ping de cette taille peut
faire planter l'ordinateur cible. Une variante de
cette attaque consiste à planter un système en envoyant des fragments ICMP,
qui remplissent les tampons de réassemblage de
la cible.
Attaque de Schtroumpf
Lors d'une attaque schtroumpf, l'auteur envoie un grand nombre de requêtes
ICMP à des adresses de diffusion dirigées,
le tout avec des adresses sources usurpées sur le même réseau que la
diffusion dirigée respective.
Si le périphérique de routage délivrant le trafic vers ces adresses de
diffusion transmet le message dirigé
diffusions, tous les hôtes des réseaux de destination envoient des réponses
ICMP, multipliant le trafic par le
nombre d'hôtes sur les réseaux. Sur un réseau de diffusion multi-accès, des
centaines de machines
pourrait répondre à chaque paquet.
Introduction au chapitre
Ligne auxiliaire
Par défaut, les ports auxiliaires du routeur Cisco ne nécessitent pas de
mot de passe pour l'accès administratif à distance.
Les administrateurs utilisent parfois ce port pour configurer et surveiller
à distance le routeur à l'aide d'un
connexion par modem commuté.
Pour accéder à la ligne auxiliaire utilisez la commande line aux 0.
Utilisez les sous-commandes login et password
pour exiger une connexion et établir un mot de passe de connexion sur les
connexions entrantes.
Par défaut, à l'exception du mot de passe secret d'activation, tous les
mots de passe des routeurs Cisco sont stockés
en texte brut dans la configuration du routeur. Ces mots de passe peuvent
être consultés avec le spectacle en cours d'exécution.
commande de configuration. Les renifleurs peuvent également voir ces mots
de passe si la configuration du serveur TFTP
les fichiers transitent par une connexion intranet ou Internet non
sécurisée. Si un intrus accède au TFTP
serveur où sont stockés les fichiers de configuration du routeur, l'intrus
est en mesure d'obtenir ces mots de passe.
Pour augmenter la sécurité des mots de passe, les éléments suivants doivent
être configurés :
■ Appliquez des longueurs minimales de mot de passe.
■ Désactivez les connexions sans surveillance.
■ Chiffrez tous les mots de passe dans le fichier de configuration.
Longueur minimale des caractères
À partir de Cisco IOS version 12.3(1) et versions ultérieures, les
administrateurs peuvent définir le nombre minimum de caractères
longueur de tous les mots de passe du routeur de 0 à 16 caractères à l'aide
de la commande de configuration globale
longueur minimale des mots de passe de sécurité. Il est fortement
recommandé que le minimum
la longueur du mot de passe doit être définie sur au moins 10 caractères
pour éliminer les mots de passe courants qui sont courts et
répandu sur la plupart des réseaux, tels que « lab » et « cisco ».
Cette commande affecte les mots de passe utilisateur, active les mots de
passe secrets et les mots de passe de ligne créés
après l'exécution de la commande. Les mots de passe du routeur existants ne
sont pas affectés. Toute tentative de
la création d'un nouveau mot de passe inférieur à la longueur spécifiée
échoue et entraîne un message d'erreur
semblable à ce qui suit :
Mot de passe trop court - doit comporter au moins 10 caractères.
Configuration du mot de passe
échoué.
Désactiver les connexions sans surveillance
Par défaut, une interface d'administration reste active et connectée
pendant 10 minutes après la dernière session
activité. Après cela, l'interface expire et se déconnecte de la session.
Si un administrateur est absent du terminal alors que la connexion console
est active, un attaquant
dispose de 10 minutes maximum pour obtenir un accès au niveau privilège. Il
est recommandé que ces minuteries soient réglées avec précision
limiter la durée à deux ou trois minutes maximum. Ces minuteries peuvent
être
ajusté à l'aide de la commande exec-timeout en mode configuration de ligne
pour chacun des types de ligne
qui sont utilisés.
Il est également possible de désactiver le processus d'exécution pour une
ligne spécifique, comme sur le port auxiliaire,
en utilisant la commande no exec dans le mode de configuration de ligne.
Cette commande permet uniquement un
connexion sortante sur la ligne. La commande no exec permet de désactiver
le processus EXEC
pour les connexions susceptibles de tenter d'envoyer des données non
sollicitées au routeur.
Chiffrer tous les mots de passe
Par défaut, certains mots de passe sont affichés en texte clair, c'est-à-
dire non chiffrés, dans le logiciel Cisco IOS.
configuration. À l'exception du mot de passe secret d'activation, tous les
autres mots de passe en clair dans le fichier de configuration peut être
chiffré dans le fichier de configuration à l'aide du mot de passe de
service-
commande de chiffrement. Cette commande hache les mots de passe en texte
clair actuels et futurs dans la configuration
fichier dans un texte chiffré. Pour arrêter le cryptage des mots de passe,
utilisez la forme no du
commande. Seuls les mots de passe créés après l'émission de la commande no
seront non chiffrés. Existant
les mots de passe précédemment cryptés le resteront.
La commande service password-encryption est principalement utile pour
garder les personnes non autorisées
de visualiser les mots de passe dans le fichier de configuration.
L'algorithme utilisé par le service
La commande de cryptage de mot de passe est simple et peut être facilement
annulée par une personne ayant accès à
le texte chiffré et une application de craquage de mot de passe. Pour cette
raison, cette commande
ne doit pas être utilisé dans le but de protéger les fichiers de
configuration contre des attaques graves.
La commande activate secret est beaucoup plus sécurisée car elle crypte le
mot de passe à l'aide de MD5,
qui est un algorithme plus fort.
Une autre fonctionnalité de sécurité disponible est l'authentification. Les
routeurs Cisco peuvent conserver une liste de noms d'utilisateur
et des mots de passe dans une base de données locale sur le routeur pour
effectuer une authentification de connexion locale. Là
Il existe deux méthodes de configuration des comptes de nom d'utilisateur
local.
nom d'utilisateur nom mot de passe mot de passe
nom d'utilisateur nom secret mot de passe
La commande username secret est plus sécurisée car elle utilise
l'algorithme le plus puissant, le hachage MD5,
pour dissimuler les mots de passe. MD5 est un bien meilleur algorithme que
le type 7 standard utilisé par
la commande de chiffrement de mot de passe du service. La couche
supplémentaire de protection MD5 est utile dans les environnements
dans lequel le mot de passe traverse le réseau ou est stocké sur un serveur
TFTP. Gardez à l'esprit
que lors de la configuration d'une combinaison nom d'utilisateur et mot de
passe, des restrictions sur la longueur du mot de passe doivent
être suivi. Utilisez la commande login local sur la configuration de la
ligne pour activer la base de données locale
pour l'authentification.
Tous les exemples restants de ce chapitre utilisent à la place la
configuration du secret du nom d'utilisateur.
du mot de passe du nom d'utilisateur.
Par défaut, les appareils Cisco IOS peuvent accepter les connexions, telles
que Telnet, SSH et HTTP, aussi rapidement que possible.
car ils peuvent être traités. Cela rend les appareils sensibles aux outils
d'attaque par dictionnaire, tels que Cain ou
L0phtCrack, capable d'effectuer des milliers de tentatives de mot de passe
par seconde. Le bloc de connexion pour
La commande invoque un délai automatique de 1 seconde entre les tentatives
de connexion. Les attaquants doivent
attendez 1 seconde avant de pouvoir essayer un mot de passe différent.
Ce délai peut être modifié à l'aide de la commande login delay. La commande
login delay introduit
un délai uniforme entre les tentatives de connexion successives. Le délai
se produit pour toutes les tentatives de connexion,
y compris les tentatives échouées ou réussies.
Les commandes login block-for, login quiet-mode access-class et login delay
aident
bloquer les tentatives de connexion ayant échoué pendant une période de
temps limitée, mais ne peut pas empêcher un attaquant d'essayer
encore. Comment un administrateur peut-il savoir quand quelqu'un tente
d'accéder au réseau en devinant
le mot de passe?
La commande auto secure active la journalisation des messages pour les
tentatives de connexion infructueuses. Journalisation réussie
les tentatives de connexion ne sont pas activées par défaut.
Ces commandes peuvent être utilisées pour suivre le nombre de tentatives de
connexion réussies et échouées.
Le journal d'échec de connexion [chaque connexion] génère des journaux pour
les demandes de connexion ayant échoué.
Le journal de réussite de la connexion [chaque connexion] génère des
messages de journal pour les demandes de connexion réussies.
Le nombre de tentatives de connexion avant la génération d'un message peut
être spécifié à l'aide de l'option [chaque
connexion] paramètre. La valeur par défaut est 1 tentative. La plage valide
va de 1 à 65 535.
Comme alternative, la commande de journal de taux de seuil de taux d'échec
d'authentification de sécurité
génère un message de journal lorsque le taux d'échec de connexion est
dépassé.
Pour vérifier que la commande login block-for est configurée et dans quel
mode le routeur est actuellement
dans, utilisez la commande show login. Le routeur est en mode normal ou
silencieux, selon
si les seuils de connexion ont été dépassés.
La commande show login fails affiche plus d'informations sur les tentatives
échouées,
comme l'adresse IP à partir de laquelle proviennent les tentatives de
connexion échouées.
Utilisez des bannières de messages pour présenter une notification légale
aux intrus potentiels afin de les informer qu'ils
ne sont pas les bienvenus sur un réseau. Les bannières sont très
importantes pour le réseau d’un point de vue juridique.
Les intrus ont gagné des procès parce qu'ils n'ont pas reçu de messages
d'avertissement appropriés.
lors de l'accès aux réseaux de routeurs. En plus d'avertir les intrus
potentiels, des bannières sont également utilisées
pour informer les administrateurs distants des restrictions d'utilisation.
Le choix de ce qu'il faut placer dans les messages de bannière est
important et doit être examiné par un conseiller juridique.
avant de les mettre sur les routeurs réseau. N'utilisez jamais le mot
bienvenue ou toute autre salutation familière
cela peut être interprété à tort comme une invitation à utiliser le réseau.
Les bannières sont désactivées par défaut et doivent être explicitement
activées. Utilisez la commande bannière de
mode de configuration globale pour spécifier les messages appropriés.
bannière {exécutable | entrant | connexion | mot | slip-ppp} d message d
Les jetons sont facultatifs et peuvent être utilisés dans la section
message de la commande bannière :
$(hostname) - Affiche le nom d'hôte du routeur.
$(domain) - Affiche le nom de domaine du routeur.
$(line) - Affiche le numéro de ligne vty ou tty (asynchrone).
$(line-desc) - Affiche la description attachée à la ligne.
Soyez prudent lorsque vous placez ces informations dans la bannière car
elles fournissent plus d'informations à un éventuel
intrus.
Cisco SDM peut également être utilisé pour configurer des messages de
bannière.