Me preguntaba si es posible configurar una política de contraseña que aplique la complejidad de la contraseña para cuentas definidas localmente. Sé que es posible para TACACS + y RADIUS, pero necesito saber si es posible aplicar dicha política para cuentas definidas localmente.
Los dispositivos que tengo dentro del alcance están ejecutando IOS y NX-OS
Respuestas:
En cuanto a la complejidad de la contraseña para cuentas locales, tiene estas opciones ...
no password strength-checkingen la configuración global.security password min-length. Es cierto que la longitud es una comprobación bastante débil en sí misma, pero IOS al menos puede detectar / negar ataques de fuerza bruta (ver más abajo).Hay algunas cosas para recordar ...
Muchas versiones anteriores de Cisco IOS utilizan un hash débil "Tipo 7" para proteger las contraseñas de la navegación por el hombro; Hay mil millones de herramientas como esta en Internet para revertir esos hashes. Los hashes de tipo 7 no deben considerarse seguros y, por lo tanto, las configuraciones de archivo en un directorio con buena aplicación de permisos (es decir, su directorio tftp de Linux probablemente no sea una buena ubicación, ya que la mayoría de las personas cambian los permisos de archivos tftp a 777).
service password-encryption.secretpalabra clave cuando sea posible en los nombres de usuario: es decir username joe secret 5 $1$pJz5$28CTViXggZmhjikYdDyls0. Este es al menos un md5hash decente de la contraseña de texto sin formato. Las versiones más recientes de IOS intentan usar un algoritmo más fuerte , pero fallaron antes de hacerlo bien.secretpalabra clave. En Linux, es tan simple como grep ^username /path/to/your/configs/* | grep -v secret(hacerme una nota para hacer esto hoy en mi $ dayjob)login block-for 60 attempts 3 within 300login quiet-mode access-class [acl-name]; por defecto, IOS aplica una acl llamadasl_def_acl