Ip banning

[CbcUser]

Ciao a tutti,
recentemente abbiamo notato nel logging del ns. asa un incremento sensibile del numero di attacchi di tipo brute force sulle porte 22, 80 e 443. Esiste un modo per far bannare in automatico degli ip dopo un numero di autenticazioni fallite? Preciso che l'asa in ns. possesso non ha il modulo aip.
Grazie a tutti in anticipo per l'aiuto.
Saluti.

[k4mik4ze]

Premesso che ho 0 esperienza sugli ASA, non dovrebbe essere possibile impostare il numero di tentativi e il timeout conseguente in caso di multipli fallimenti?

[CbcUser]

Scusami,
non vorrei essere polemico, ma secondo te quella che hai dato è una risposta? E dovrebbe servire a qualcosa?
Per le prossime volte, se non sai la risposta ed hai addirittura 0 esperienza sul pezzo, evita di scrivere una reply: risparmierai il tuo tempo e il mio.
A presto.

[andrewp]

Scusami,
non vorrei essere polemico,

Non vorresti esserlo, ma poi lo sei.

ma secondo te quella che hai dato è una risposta? E dovrebbe servire a qualcosa?
Per le prossime volte, se non sai la risposta ed hai addirittura 0 esperienza sul pezzo, evita di scrivere una reply: risparmierai il tuo tempo e il mio.
A presto.

Ci si scambiano idee ed anche intuizioni, parafrasando un altro post "chi non ha tempo da perdere, paga €".

[Wizard]

Fa vedere la config che hai x bloccare i brute force.
Cmq sugli asa esiste lo shun

[CbcUser]

Scusa Andrea,
ma forse hai problemi con la lingua italiana: si scambiano pareri, intuizioni, ecc. Nella risposta in questione dove sono i pareri e le intuizioni?
Sarai pure bravo nel networking, ma nell'italiano...
Buona giornata.

[CbcUser]

Ciao Wizard,
sono stato costretto ad evitare di usare ssh, http e https
access-list 101 line 9 extended deny tcp any any eq ssh
access-list 101 line 10 extended deny tcp any any eq https
access-list 101 line 11 extended deny tcp any any eq www

questi servizi oramai o vengono utilizzate in vpn oppure con delle porte non standard. All'inizio ho provato ad eliminare alcuni ip,

access-list 101 line 15 extended deny ip host 210.83.70.250 any
access-list 101 line 16 extended deny ip host 211.147.220.171 any
access-list 101 line 17 extended deny ip host 61.156.7.56 any
....
ma poi ho visto che erano troppi. Comunque grazie, capisco che non c'è modo di abilitare questa funzione.
Ti ringrazio dell'assistenza.
Ciao

[andrewp]

Scusa Andrea,
ma forse hai problemi con la lingua italiana: si scambiano pareri, intuizioni, ecc. Nella risposta in questione dove sono i pareri e le intuizioni?
Sarai pure bravo nel networking, ma nell'italiano...
Buona giornata.

Eccola:

Premesso che ho 0 esperienza sugli ASA, non dovrebbe essere possibile impostare il numero di tentativi e il timeout conseguente in caso di multipli fallimenti?

CbcUser trolletto la la la.

[k4mik4ze]

In effetti pero' è uscita 'na risposta abbastanza accaxxo
vabè oh...erano le cinqueezzeroddue!

Cmq mi sa che il commento sull'italiano era per te andre'!

Cmq secondo me manca di sapere DOVE sono applicate 'ste ACL...ho un terreebeele sospetto

[Wizard]

Scusa Andrea,
ma forse hai problemi con la lingua italiana: si scambiano pareri...

CbcUser stai calmo!

[Wizard]

capisco che non c'è modo di abilitare questa funzione.

Studia un po'

http://www.cisco.com/en/US/docs/securit ... hreat.html

[CbcUser]

Caro Andrea,
qui l'unica risposta è stata quella di wizard. Comunque considerando che erano le 5 del mattino(questa non l'avevo proprio vista), la risposta di k4mik4ze era + che esaustiva. A questo punto non posso non ammirare la sua dedizione alla causa.
E comunque wizard, sono calmissimo.
Grazie dell'assistenza. Questo documento è molto interessante.
Ciao.