> Pierre Jaury a écrit : > Le login block permet de lutter contre les énumérations, mais aussi d'épargner > l'équipement quand le taux de connexions effondre les ressources. Ca n'est > donc > pas « ennuyeux » et la whitelist est la solution la plus adaptée à mon sens.
Je ne suis pas d'accord avec toi. Je comprends ta logique, mais dans un réseau bien conçu le login block s'applique déjà a un nombre d'hôtes limité, donc en tant que ressource la taille de sl_def_acl n'est pas un problème. Je reformule ma question : comment faire pour que login block marche pour un hôte qui est dans la whitelist du quiet-mode ? Michel. Et je ne suis pas spécialiste Cisco, mais je ne connais pas d'autre approche. J'ai reparcouru la doc rapidement, elle n'est pas bavarde non plus. On 01/19/15 04:49, Michel Py wrote: > Quand on utilise la commande suivante (ou similaire) destinée à mitiger les > attaques de dictionaire > > "login block-for 300 attempts 2 within 300" > > Le routeur construit une access-list appellée "sl_def_acl" > > c1841-michel#sh access-lists > Extended IP access list sl_def_acl > 10 deny tcp any any eq telnet log > 20 deny tcp any any eq www log > 30 deny tcp any any eq 22 log > 40 permit tcp any any eq 22 log > c1841-michel# > > C'est un peu ennuyeux, c'est pourquoi on implémente aussi > > "login quiet-mode access-class TOTO" comme çà on peut au moins se logger de > sa propre bécane et autres hôtes connus. > > Voici la question con : > > Au lieu de générer "10 deny tcp any any eq telnet log" et autres, çà serait > pas pire si le routeur générait "10 deny tcp host x.x.x.x any eq telnet log" > à la place. > > Quelqu'un sait comment faire çà ? > > Michel. > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > -- Pierre Jaury @ kaiyou http://kaiyou.fr/contact.html --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
