Định cấu hình chính sách mật khẩu trên Cisco IOS hoặc NX-OS


7

Tôi đã tự hỏi nếu hoàn toàn có thể định cấu hình chính sách mật khẩu để thực thi độ phức tạp của mật khẩu cho các tài khoản được xác định cục bộ. Tôi biết TACACS + và RADIUS có thể, nhưng tôi cần biết liệu có thể thực thi chính sách đó đối với các tài khoản được xác định cục bộ hay không.

Các thiết bị tôi có trong phạm vi đang chạy IOS và NX-OS

Câu trả lời:


7

Về độ phức tạp của mật khẩu cho các tài khoản cục bộ, bạn có các tùy chọn này ...

  • Cisco NX-OS : Tôi không chắc bạn có thể định cấu hình chính sách mật khẩu cục bộ trong NX-OS; tuy nhiên, NX-OS từ chối mật khẩu yếu theo mặc định . Để tắt tính năng này, sử dụng no password strength-checkingtrong cấu hình toàn cầu.
  • Cisco IOS :
    • Độ dài mật khẩu : security password min-length. Phải thừa nhận rằng, độ dài là một kiểm tra khá yếu, nhưng ít nhất IOS có thể phát hiện / từ chối các cuộc tấn công vũ phu (xem bên dưới).

Có một vài điều cần nhớ ...

  • Nhiều phiên bản cũ hơn của Cisco IOS sử dụng hàm băm "Loại 7" yếu để bảo vệ mật khẩu khỏi lướt vai; Có một tỷ công cụ như thế này trên internet để đảo ngược những băm đó. Băm loại 7 không nên được coi là an toàn và do đó, lưu trữ cấu hình trong một thư mục có thực thi quyền tốt (ví dụ: thư mục tftp linux của bạn có thể không phải là một vị trí tốt, vì hầu hết mọi người thay đổi quyền truy cập tệp tftp thành 777).

    • Trớ trêu thay, thuật toán "Loại 7" yếu có vẻ an toàn đối với người không quen và được kích hoạt bằng một lệnh được gọi service password-encryption.
    • Người ta phải luôn luôn sử dụng secrettừ khóa khi có thể trong tên người dùng: vd username joe secret 5 $1$pJz5$28CTViXggZmhjikYdDyls0. Đây ít nhất là một md5hàm băm tốt của mật khẩu văn bản gốc. Các phiên bản iOS mới hơn cố gắng sử dụng thuật toán mạnh hơn , nhưng không thành công trước khi thực hiện đúng.
    • Một ý tưởng không tồi để kiểm toán các tài khoản địa phương để xem liệu bạn có thể nâng cấp chúng để sử dụng secrettừ khóa hay không. Trong linux, nó đơn giản như grep ^username /path/to/your/configs/* | grep -v secret(ghi chú cho chính tôi để làm điều này ngày hôm nay tại $ dayjob của tôi)
  • Các phiên bản mới hơn của IOS có tính năng bẫy các cuộc tấn công vũ phu chống lại bộ định tuyến; một ACL được áp dụng cho vty.
    • Lệnh này sẽ tự động áp dụng acl để chặn địa chỉ IP nguồn vi phạm trong 60 giây nếu nó không kiểm tra mật khẩu 3 lần trong năm phút: login block-for 60 attempts 3 within 300
    • Bạn có thể tùy chỉnh danh sách truy cập được áp dụng bằng cách sử dụng login quiet-mode access-class [acl-name]; theo mặc định, iOS áp dụng một acl được gọi làsl_def_acl
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.