Eu queria saber se é possível configurar uma diretiva de senha que imponha a complexidade da senha para contas definidas localmente. Sei que é possível para o TACACS + e o RADIUS, mas preciso saber se é possível aplicar essa política a contas definidas localmente.
Os dispositivos que tenho no escopo estão executando o IOS e o NX-OS
Respostas:
Em relação à complexidade da senha das contas locais, você tem essas opções ...
no password strength-checkingna configuração global.security password min-length. É certo que o comprimento é uma verificação bastante fraca, mas o IOS pelo menos pode detectar / negar ataques de força bruta (veja abaixo).Há algumas coisas para lembrar ...
Muitas versões mais antigas do Cisco IOS usam um hash "Tipo 7" fraco para proteger as senhas da navegação no ombro; existem um bilhão de ferramentas como essa na internet para reverter esses hashes. Os hashes do tipo 7 não devem ser considerados seguros e, portanto, as configurações de arquivamento em um diretório com boa aplicação de permissões (ou seja, o diretório linux tftp provavelmente não é um bom local, pois a maioria das pessoas altera as permissões do arquivo tftp para 777).
service password-encryption.secretpalavra - chave quando possível nos nomes de usuário: ie username joe secret 5 $1$pJz5$28CTViXggZmhjikYdDyls0. Este é pelo menos um md5hash decente da senha de texto sem formatação. As versões mais recentes do IOS tentam usar um algoritmo mais forte , mas falharam antes de acertar.secretpalavra - chave. No linux, é tão simples quanto grep ^username /path/to/your/configs/* | grep -v secret(fazer uma anotação comigo mesmo para fazer isso hoje no meu $ dayjob)login block-for 60 attempts 3 within 300login quiet-mode access-class [acl-name]; por padrão, o IOS aplica uma ACL chamadasl_def_acl