取消
显示结果 
搜索替代 
您的意思是: 
cancel
10261
查看次数
30
有帮助
9
回复

SSL VPN

liuyj
Level 1
Level 1
各位大佬,在思科ASA 5500-X 上做SSL VPN,因为被人用字典群聚出了账号和密码,如何设置登录超过三次必须等待20S才能重新登录和限制同一时间高频访问
1 个已接受解答

已接受的解答

jingjian
Spotlight
Spotlight
我找到了一篇帖子和你的需求一样,在ASA上是没有办法做到的,如果和AD集成,可以在AD上做登录限制
https://supportforums.cisco.com/t5/vpn/anyconnect-maximum-failed-login-attempts-on-ldap-windows/td-p/1960345

在原帖中查看解决方案

9 条回复9

jingjian
Spotlight
Spotlight
我找到了一篇帖子和你的需求一样,在ASA上是没有办法做到的,如果和AD集成,可以在AD上做登录限制
https://supportforums.cisco.com/t5/vpn/anyconnect-maximum-failed-login-attempts-on-ldap-windows/td-p/1960345

YilinChen
Spotlight
Spotlight
试试 user-identity 是否有效
user-identity ?
configure mode commands/options:
action Specifies actions for identity-based exception
ad-agent Configure AD-Agent
default-domain Specify user identity default domain name
domain keyword to specify a domain
enable Keyword to enable/disable user-identity
inactive-user-timer Specify inactive timer for user
logout-probe Initiate NetBIOS logout probing
poll-import-user-group-timer Specify import-user group update interval
user-not-found Configure user-not-found statistics tracking

suzhouxiaoniu
Spotlight
Spotlight
思科有条相关命令,但是对于SSL VPN是否有效,没有试过,你可以试一下,或者借此了解相关功能
R1(config)#login block-for 60 attempts 3 within 30
30s内连续登录失败3次后,等待60s(静默期)后才能再次登录

jingjian
Spotlight
Spotlight
本帖最后由 arvinjing 于 2018-1-5 18:00 编辑
如果用的是本地用户名和密码,可以使用
aaa local authentication attempts max-fail 3
如果使用的是radius,LDAP,是有默认值的
175945bzxvme0vhw8x2vxq.png
175945r9io9ooh9oiiforh.png

liuyj
Level 1
Level 1
arvinjing 发表于 2018-1-5 17:39
如果用的是本地用户名和密码,可以使用
aaa local authentication attempts max-fail 3
如果使用的是rad ...

这个命令我敲了但是不生效啊
下面是我的配置
hostname cisco
domain-name cisco
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 192.168.1.1 255.255.255.0
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 100.0.0.1 255.255.255.0
!
interface GigabitEthernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
shutdown
no nameif
no security-level
no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
domain-name cisco
access-list ssl-acl standard permit 192.168.1.0 255.255.255.0
pager lines 24
mtu outside 1500
mtu inside 1500
ip local pool ssl-pool 100.0.0.2-100.0.0.10
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
aaa local authentication attempts max-fail 2
aaa authentication listener https outside port https redirect
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
webvpn
enable outside
default-idle-timeout 60
tunnel-group-list enable
error-recovery disable
group-policy ssl-policy internal
group-policy ssl-policy attributes
vpn-tunnel-protocol svc webvpn
split-tunnel-policy tunnelspecified
split-tunnel-network-list value ssl-acl
webvpn
svc ask enable
username cisco password 3USUcOPFUiMCO4Jk encrypted
tunnel-group ssl-group type remote-access
tunnel-group ssl-group general-attributes
address-pool ssl-pool
default-group-policy ssl-policy
tunnel-group ssl-group webvpn-attributes
group-alias cisco enable
!
!
prompt hostname context
Cryptochecksum:d2c79b105331e5d309fdd3a7f50b8d30

liuyj
Level 1
Level 1
suzhouxiaoniu 发表于 2018-1-5 16:13
思科有条相关命令,但是对于SSL VPN是否有效,没有试过,你可以试一下,或者借此了解相关功能
R1(config ...

我这台asa 好像没有这个命令

jingjian
Spotlight
Spotlight
liuyj 发表于 2018-1-8 11:20
这个命令我敲了但是不生效啊
下面是我的配置

已经显示在你的配置文件中了
aaa local authentication attempts max-fail 2
如果此命令针对SSL登录不生效的话,那么此命令的效果只是针对设备登录的限制了
如果是本地用户名和密码的话,应该是没有好的办法了

luodaheng1
Spotlight
Spotlight
把帐号只 赋予VPN权限
(config)# username cisco attributes
(config-username)#service-type remote-access

13nash
Level 8
Level 8
什么情况。。这是
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接