Em relação à complexidade da senha das contas locais, você tem essas opções ...
- Cisco NX-OS : Não sei se você pode configurar uma política de senha local no NX-OS; no entanto, o NX-OS rejeita senhas fracas por padrão . Para desativar esse recurso, use
no password strength-checking
na configuração global.
- Cisco IOS :
- Comprimento da senha:
security password min-length
. É certo que o comprimento é uma verificação bastante fraca, mas o IOS pelo menos pode detectar / negar ataques de força bruta (veja abaixo).
Há algumas coisas para lembrar ...
Muitas versões mais antigas do Cisco IOS usam um hash "Tipo 7" fraco para proteger as senhas da navegação no ombro; existem um bilhão de ferramentas como essa na internet para reverter esses hashes. Os hashes do tipo 7 não devem ser considerados seguros e, portanto, as configurações de arquivamento em um diretório com boa aplicação de permissões (ou seja, o diretório linux tftp provavelmente não é um bom local, pois a maioria das pessoas altera as permissões do arquivo tftp para 777).
- Ironicamente, o fraco algoritmo "Tipo 7" parece seguro para os não iniciados e é ativado com um comando chamado
service password-encryption
.
- Sempre se deve usar a
secret
palavra - chave quando possível nos nomes de usuário: ie username joe secret 5 $1$pJz5$28CTViXggZmhjikYdDyls0
. Este é pelo menos um md5
hash decente da senha de texto sem formatação. As versões mais recentes do IOS tentam usar um algoritmo mais forte , mas falharam antes de acertar.
- Não é uma má ideia auditar contas locais para verificar se você pode atualizá-las para usar a
secret
palavra - chave. No linux, é tão simples quanto grep ^username /path/to/your/configs/* | grep -v secret
(fazer uma anotação comigo mesmo para fazer isso hoje no meu $ dayjob)
- As versões mais recentes do IOS têm um recurso para interceptar ataques de força bruta contra o roteador; uma ACL é aplicada ao vty.
- Este comando aplicaria automaticamente uma ACL para bloquear o endereço IP de origem incorreto por 60 segundos, se a verificação de senha falhasse 3 vezes em cinco minutos:
login block-for 60 attempts 3 within 300
- Você pode personalizar a lista de acesso aplicada usando
login quiet-mode access-class [acl-name]
; por padrão, o IOS aplica uma ACL chamadasl_def_acl