请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

  思科 CCO 登录
 找回密码
 立即注册

扫一扫,访问微社区

搜索
热搜: 邮件服务器
查看: 964|回复: 9

SSL VPN

[复制链接]
发表于 2018-1-5 15:18:22 | 显示全部楼层 |阅读模式
30可用金钱
各位大佬,在思科ASA 5500-X 上做SSL VPN,因为被人用字典群聚出了账号和密码,如何设置登录超过三次必须等待20S才能重新登录和限制同一时间高频访问

最佳答案

查看完整内容

我找到了一篇帖子和你的需求一样,在ASA上是没有办法做到的,如果和AD集成,可以在AD上做登录限制 https://supportforums.cisco.com/t5/vpn/anyconnect-maximum-failed-login-attempts-on-ldap-windows/td-p/1960345
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分3 (1 评价)
发表于 2018-1-5 15:18:23 | 显示全部楼层
我找到了一篇帖子和你的需求一样,在ASA上是没有办法做到的,如果和AD集成,可以在AD上做登录限制
https://supportforums.cisco.com/ ... indows/td-p/1960345
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分3 (1 评价)
发表于 2018-1-5 16:06:18 | 显示全部楼层
试试 user-identity 是否有效

user-identity ?

configure mode commands/options:
  action                        Specifies actions for identity-based exception
  ad-agent                      Configure AD-Agent
  default-domain                Specify user identity default domain name
  domain                        keyword to specify a domain
  enable                        Keyword to enable/disable user-identity
  inactive-user-timer           Specify inactive timer for user
  logout-probe                  Initiate NetBIOS logout probing
  poll-import-user-group-timer  Specify import-user group update interval
  user-not-found                Configure user-not-found statistics tracking
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分3 (1 评价)
发表于 2018-1-5 16:13:04 | 显示全部楼层
思科有条相关命令,但是对于SSL VPN是否有效,没有试过,你可以试一下,或者借此了解相关功能

R1(config)#login block-for 60 attempts 3 within 30

30s内连续登录失败3次后,等待60s(静默期)后才能再次登录
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分3 (1 评价)
发表于 2018-1-5 17:39:30 | 显示全部楼层
本帖最后由 arvinjing 于 2018-1-5 18:00 编辑

如果用的是本地用户名和密码,可以使用
aaa  local authentication attempts max-fail 3
如果使用的是radius,LDAP,是有默认值的




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分3 (1 评价)
 楼主| 发表于 2018-1-8 11:20:42 | 显示全部楼层
arvinjing 发表于 2018-1-5 17:39
如果用的是本地用户名和密码,可以使用
aaa  local authentication attempts max-fail 3
如果使用的是rad ...

这个命令我敲了但是不生效啊

下面是我的配置
hostname cisco
domain-name cisco
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 192.168.1.1 255.255.255.0
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 100.0.0.1 255.255.255.0
!
interface GigabitEthernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
shutdown
no nameif
no security-level
no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
domain-name cisco
access-list ssl-acl standard permit 192.168.1.0 255.255.255.0
pager lines 24
mtu outside 1500
mtu inside 1500
ip local pool ssl-pool 100.0.0.2-100.0.0.10
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
aaa local authentication attempts max-fail 2
aaa authentication listener https outside port https redirect
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
webvpn
enable outside
default-idle-timeout 60
tunnel-group-list enable
error-recovery disable
group-policy ssl-policy internal
group-policy ssl-policy attributes
vpn-tunnel-protocol svc webvpn
split-tunnel-policy tunnelspecified
split-tunnel-network-list value ssl-acl
webvpn
  svc ask enable
username cisco password 3USUcOPFUiMCO4Jk encrypted
tunnel-group ssl-group type remote-access
tunnel-group ssl-group general-attributes
address-pool ssl-pool
default-group-policy ssl-policy
tunnel-group ssl-group webvpn-attributes
group-alias cisco enable
!
!
prompt hostname context
Cryptochecksum:d2c79b105331e5d309fdd3a7f50b8d30
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2018-1-8 11:24:48 | 显示全部楼层
suzhouxiaoniu 发表于 2018-1-5 16:13
思科有条相关命令,但是对于SSL VPN是否有效,没有试过,你可以试一下,或者借此了解相关功能

R1(config ...

我这台asa 好像没有这个命令
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-1-8 11:43:25 | 显示全部楼层
liuyj 发表于 2018-1-8 11:20
这个命令我敲了但是不生效啊

下面是我的配置

已经显示在你的配置文件中了
aaa local authentication attempts max-fail 2
如果此命令针对SSL登录不生效的话,那么此命令的效果只是针对设备登录的限制了
如果是本地用户名和密码的话,应该是没有好的办法了
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-1-8 13:30:29 | 显示全部楼层
把帐号只 赋予VPN权限
(config)# username cisco attributes
(config-username)#service-type remote-access
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-1-10 14:21:09 | 显示全部楼层
什么情况。。这是
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2018-10-17 14:12 , Processed in 0.105297 second(s), 55 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表