Konfigurieren einer Kennwortrichtlinie unter Cisco IOS oder NX-OS

7

Ich habe mich gefragt, ob es überhaupt möglich ist, eine Kennwortrichtlinie zu konfigurieren, die die Kennwortkomplexität für lokal definierte Konten erzwingt. Ich weiß, dass dies für TACACS + und RADIUS möglich ist, aber ich muss wissen, ob es möglich ist, solche Richtlinien für lokal definierte Konten durchzusetzen.

Auf den Geräten, die ich im Geltungsbereich habe, werden IOS und NX-OS ausgeführt

cisco  cisco-ios  security  cisco-nexus-5k  cisco-nexus-7k 
Lucas Kauffman
quelle

Antworten:

7

In Bezug auf die Kennwortkomplexität für lokale Konten haben Sie folgende Optionen ...

  • Cisco NX-OS : Ich bin nicht sicher, ob Sie eine lokale Kennwortrichtlinie in NX-OS konfigurieren können. NX-OS lehnt jedoch standardmäßig schwache Kennwörter ab . Verwenden Sie no password strength-checkingin der globalen Konfiguration, um diese Funktion zu deaktivieren .
  • Cisco IOS :
    • Passwortlänge : security password min-length. Zugegeben, die Länge selbst ist eine ziemlich schwache Prüfung, aber IOS kann zumindest Brute-Force-Angriffe erkennen / ablehnen (siehe unten).

Es gibt ein paar Dinge zu beachten ...

  • Viele ältere Versionen von Cisco IOS verwenden einen schwachen "Typ 7" -Hash , um Passwörter vor Schulter-Surfen zu schützen. Es gibt eine Milliarde solcher Tools im Internet, um diese Hashes umzukehren. Hashes vom Typ 7 sollten nicht als sicher angesehen werden. Daher sollten Archivkonfigurationen in einem Verzeichnis mit guter Berechtigung durchgesetzt werden (dh Ihr Linux-TFTP-Verzeichnis ist wahrscheinlich kein guter Speicherort, da die meisten Benutzer die Berechtigungen für TFTP-Dateien auf 777 ändern).

    • Ironischerweise sieht der schwache "Typ 7" -Algorithmus für den Uneingeweihten sicher aus und wird mit einem aufgerufenen Befehl aktiviert service password-encryption.
    • Man sollte immer das secretSchlüsselwort verwenden, wenn dies in Benutzernamen möglich ist: dh username joe secret 5 $1$pJz5$28CTViXggZmhjikYdDyls0. Dies ist mindestens ein anständiger md5Hash des Klartext-Passworts. Neuere IOS-Versionen versuchen, einen stärkeren Algorithmus zu verwenden , sind jedoch fehlgeschlagen, bevor sie richtig ausgeführt wurden.
    • Es ist keine schlechte Idee, lokale Konten zu überprüfen, um festzustellen, ob Sie sie für die Verwendung des secretSchlüsselworts aktualisieren können . Unter Linux ist es so einfach wie grep ^username /path/to/your/configs/* | grep -v secret(ich mache mir eine Notiz, dies heute bei meinem $ dayjob zu tun)
  • Neuere Versionen von IOS verfügen über eine Funktion zum Abfangen von Brute-Force-Angriffen auf den Router. Eine ACL wird auf die vty angewendet.
    • Dieser Befehl wendet automatisch eine ACL an, um die fehlerhafte Quell-IP-Adresse für 60 Sekunden zu blockieren, wenn die Kennwortprüfung dreimal in fünf Minuten fehlgeschlagen ist: login block-for 60 attempts 3 within 300
    • Sie können die Zugriffsliste anpassen, die mit angewendet wird login quiet-mode access-class [acl-name]. Standardmäßig wendet IOS eine aufgerufene ACL ansl_def_acl
Mike Pennington
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.