Configurando uma política de senha no Cisco IOS ou NX-OS

7

Eu queria saber se é possível configurar uma diretiva de senha que imponha a complexidade da senha para contas definidas localmente. Sei que é possível para o TACACS + e o RADIUS, mas preciso saber se é possível aplicar essa política a contas definidas localmente.

Os dispositivos que tenho no escopo estão executando o IOS e o NX-OS

Lucas Kauffman
fonte

Respostas:

7

Em relação à complexidade da senha das contas locais, você tem essas opções ...

  • Cisco NX-OS : Não sei se você pode configurar uma política de senha local no NX-OS; no entanto, o NX-OS rejeita senhas fracas por padrão . Para desativar esse recurso, use no password strength-checkingna configuração global.
  • Cisco IOS :
    • Comprimento da senha: security password min-length. É certo que o comprimento é uma verificação bastante fraca, mas o IOS pelo menos pode detectar / negar ataques de força bruta (veja abaixo).

Há algumas coisas para lembrar ...

  • Muitas versões mais antigas do Cisco IOS usam um hash "Tipo 7" fraco para proteger as senhas da navegação no ombro; existem um bilhão de ferramentas como essa na internet para reverter esses hashes. Os hashes do tipo 7 não devem ser considerados seguros e, portanto, as configurações de arquivamento em um diretório com boa aplicação de permissões (ou seja, o diretório linux tftp provavelmente não é um bom local, pois a maioria das pessoas altera as permissões do arquivo tftp para 777).

    • Ironicamente, o fraco algoritmo "Tipo 7" parece seguro para os não iniciados e é ativado com um comando chamado service password-encryption.
    • Sempre se deve usar a secretpalavra - chave quando possível nos nomes de usuário: ie username joe secret 5 $1$pJz5$28CTViXggZmhjikYdDyls0. Este é pelo menos um md5hash decente da senha de texto sem formatação. As versões mais recentes do IOS tentam usar um algoritmo mais forte , mas falharam antes de acertar.
    • Não é uma má ideia auditar contas locais para verificar se você pode atualizá-las para usar a secretpalavra - chave. No linux, é tão simples quanto grep ^username /path/to/your/configs/* | grep -v secret(fazer uma anotação comigo mesmo para fazer isso hoje no meu $ dayjob)
  • As versões mais recentes do IOS têm um recurso para interceptar ataques de força bruta contra o roteador; uma ACL é aplicada ao vty.
    • Este comando aplicaria automaticamente uma ACL para bloquear o endereço IP de origem incorreto por 60 segundos, se a verificação de senha falhasse 3 vezes em cinco minutos: login block-for 60 attempts 3 within 300
    • Você pode personalizar a lista de acesso aplicada usando login quiet-mode access-class [acl-name]; por padrão, o IOS aplica uma ACL chamadasl_def_acl
Mike Pennington
fonte