Парольная политика и защита от перебора паролей — критически важны для безопасности маршрутизатора.

Начиная с ПО версии 3.9.7 на маршрутизаторах МЕ реализована возможность:

  • Блокировки учётных записей после неудачных попыток входа;
  • Введения задержек между попытками аутентификации;
  • Настройки сложности паролей.

Блокировка учетных записей и задержки

Основные параметры

КомандаОписание
tries-before-disconnect
Максимальное количество попыток авторизации до блокировки (по умолчанию: 3, диапазон: 1-10)
lockout-period
Время блокировки в минутах (диапазон: 1-43200) или «permanent»
fail-interval
Интервал учета ошибок в минутах (по умолчанию: 15)
backoff-threshold
Порог попыток авторизации, при превышении которого будет добавлена задержка (по умолчанию: 2, диапазон: 1-3)
backoff-factor
Начальная задержка в секундах (по умолчанию: 5, диапазон: 5-10)


Пример конфигурации
aaa authentication retry-options lockout-period permanent fail-interval 10  
aaa authentication retry-options backoff-factor 7  
aaa authentication retry-options backoff-threshold 3  
aaa authentication retry-options tries-before-disconnect 5

Проверить состояние учётных записей можно командой show login lockout [detailed]:

0/FMC0:ME5000_Tech_Support# show login lockout 
Wed Apr 23 05:35:39 2025
  User             Consecutive  Latest failure       Lockout start        Lockout end 
                   failures                                                
  ---------------- ------------ -------------------- -------------------- ------------ 
  test             4            2025-04-23 05:35:27  N/A                  N/A 

0/FMC0:ME5000_Tech_Support# show login lockout detailed 
Wed Apr 23 08:32:04 2025
  User 'test':
    Consecutive failures: 5
    Latest failure:       2025-04-23 05:35:54             <--- Последняя неудачная попытка авторизации   
    Lockout start:        2025-04-23 05:35:54             <--- Время блокировки учётной записи
    Lockout end:          N/A                             <--- Время окончания блокировки учётной записи (N\A при бессрочной блокировке)
    Failures:
      Timestamp            Type    Source                Valid 
      -------------------- ------- --------------------- ------ 
      2025-04-23 05:35:12  RHOST   192.168.1.25         V 
      2025-04-23 05:35:14  RHOST   192.168.1.25         V 
      2025-04-23 05:35:17  RHOST   192.168.1.25         V 
      2025-04-23 05:35:27  RHOST   192.168.1.25         V 
      2025-04-23 05:35:54  RHOST   192.168.1.25         V

При попытке подключения к заблокированной учётной записи ssh клиент сообщит об ошибке:

me@me-tech-support:~$ ssh test@192.168.1.1
The account is locked due to 5 failed logins.

Требования к паролям

В ПО 3.9.7 была реализована возможность задать требования к паролям учётных записей.

Для конфигурации требований необходимо перейти в блок конфигурации password-requirements

Пример конфигурации
password-requirements
  change-type set-transitions 4   <--- 4 перехода между категориями (от одного типа символа к другому)
  maximum-length 64               <--- Пароль не длиннее 64 символов
  maximum-lifetime 90             <--- Смена пароля каждые 90 дней
  minimum-length 10               <--- Пароль не короче 10 символов
  minimum-lower-cases 2           <--- Не менее 2 строчных букв
  minimum-numerics 1              <--- Не менее 1 цифры
  minimum-punctuations 1          <--- Не менее 1 спецсимвола
  minimum-reuse 2                 <--- Пароль должен отличаться от 2-х предыдущих паролей
  minimum-upper-cases 2           <--- Не менее 2 заглавных букв
exit

При попытке задать пароль несоответствующий требованиям, маршрутизатор выдаст ошибку:

0/FMC0:ME5000_Tech_Support(config)# user example
0/FMC0:ME5000_Tech_Support(config-user)# password example_password
Error: The password doesn't match the complexity requirements!
Note: '+' - match the requirement, '-' - doesn't match
+ 'minimum-length 10'
+ 'maximum-length 64'
- 'set-transitions 4'
- 'minimum-upper-cases 2'
+ 'minimum-lower-cases 2'
+ 'minimum-punctuations 1'
- 'minimum-numerics 1'

При вводе подходящего пароля ошибки не возникнет:

0/FMC0:ME5000_Tech_Support(config-user)# password Secur3P@ss!2025
0/FMC0:ME5000_Tech_Support(config-user)# commit

Проверить оставшийся срок жизни пароля можно с помощью команды show passwords lifetime:

0/FMC0:ME5000_Tech_Support# show passwords lifetime 
Wed Apr 23 10:47:31 2025
  User: ad
    Password creation date: Tue Apr  1 08:02:52 2025
    Password age: 3 weeks, 1 days, 2 hours, 44 minutes
    The password will expire in 9 weeks, 4 days, 21 hours, 15 minutes
  
  User: example
    Password creation date: Wed Apr 23 10:47:17 2025
    Password age: 0 hours, 0 minutes, 14 seconds
    The password will expire in 12 weeks, 5 days, 23 hours, 59 minutes
  
  User: test
    Password creation date: Wed Apr 23 05:30:05 2025
    Password age: 5 hours, 17 minutes, 26 seconds
    The password will expire in 12 weeks, 5 days, 18 hours, 42 minutes
  • Нет меток