Il y a bien sûr la solution extérieure si c'est exclusivement des énumérations que tu veux te protéger. Je n'aime pas du tout cette approche vu les permissions confiées à une machine satellite, mais si tu centralises les logs, il doit bien y avoir des modules fail2ban ou équivalent pour déployer de l'ACL automatiquement (au hasard, jette un oeil à python trigger).
On 01/19/15 05:18, Pierre Jaury wrote: > Le login block permet de lutter contre les énumérations, mais aussi > d'épargner l'équipement quand le taux de connexions effondre les > ressources. Ca n'est donc pas « ennuyeux » et la whitelist est la > solution la plus adaptée à mon sens. > > Et je ne suis pas spécialiste Cisco, mais je ne connais pas d'autre > approche. J'ai reparcouru la doc rapidement, elle n'est pas bavarde non > plus. > > On 01/19/15 04:49, Michel Py wrote: >> Quand on utilise la commande suivante (ou similaire) destinée à mitiger les >> attaques de dictionaire >> >> "login block-for 300 attempts 2 within 300" >> >> Le routeur construit une access-list appellée "sl_def_acl" >> >> c1841-michel#sh access-lists >> Extended IP access list sl_def_acl >> 10 deny tcp any any eq telnet log >> 20 deny tcp any any eq www log >> 30 deny tcp any any eq 22 log >> 40 permit tcp any any eq 22 log >> c1841-michel# >> >> C'est un peu ennuyeux, c'est pourquoi on implémente aussi >> >> "login quiet-mode access-class TOTO" comme çà on peut au moins se logger de >> sa propre bécane et autres hôtes connus. >> >> Voici la question con : >> >> Au lieu de générer "10 deny tcp any any eq telnet log" et autres, çà serait >> pas pire si le routeur générait "10 deny tcp host x.x.x.x any eq telnet log" >> à la place. >> >> Quelqu'un sait comment faire çà ? >> >> Michel. >> >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> > -- Pierre Jaury @ kaiyou http://kaiyou.fr/contact.html --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
