Configuración de una política de contraseña en Cisco IOS o NX-OS

Me preguntaba si es posible configurar una política de contraseña que aplique la complejidad de la contraseña para cuentas definidas localmente. Sé que es posible para TACACS + y RADIUS, pero necesito saber si es posible aplicar dicha política para cuentas definidas localmente.

Los dispositivos que tengo dentro del alcance están ejecutando IOS y NX-OS

En cuanto a la complejidad de la contraseña para cuentas locales, tiene estas opciones ...

• Cisco NX-OS : no estoy seguro de que pueda configurar una política de contraseña local en NX-OS; sin embargo, NX-OS rechaza las contraseñas débiles de forma predeterminada . Para deshabilitar esta función, úsela no password strength-checkingen la configuración global.
• Cisco IOS :
  • Longitud de la contraseña: security password min-length. Es cierto que la longitud es una comprobación bastante débil en sí misma, pero IOS al menos puede detectar / negar ataques de fuerza bruta (ver más abajo).

Hay algunas cosas para recordar ...

• Muchas versiones anteriores de Cisco IOS utilizan un hash débil "Tipo 7" para proteger las contraseñas de la navegación por el hombro; Hay mil millones de herramientas como esta en Internet para revertir esos hashes. Los hashes de tipo 7 no deben considerarse seguros y, por lo tanto, las configuraciones de archivo en un directorio con buena aplicación de permisos (es decir, su directorio tftp de Linux probablemente no sea una buena ubicación, ya que la mayoría de las personas cambian los permisos de archivos tftp a 777).

  • Irónicamente, el débil algoritmo "Tipo 7" parece seguro para los no iniciados y se habilita con un comando llamado service password-encryption.
  • Siempre se debe usar la secretpalabra clave cuando sea posible en los nombres de usuario: es decir username joe secret 5 $1$pJz5$28CTViXggZmhjikYdDyls0. Este es al menos un md5hash decente de la contraseña de texto sin formato. Las versiones más recientes de IOS intentan usar un algoritmo más fuerte , pero fallaron antes de hacerlo bien.
  • No es una mala idea auditar las cuentas locales para ver si puede actualizarlas para usar la secretpalabra clave. En Linux, es tan simple como grep ^username /path/to/your/configs/* | grep -v secret(hacerme una nota para hacer esto hoy en mi $ dayjob)
• Las versiones más recientes de IOS tienen una función para atrapar ataques de fuerza bruta contra el enrutador; se aplica una ACL a la vty.
  • Este comando aplicaría automáticamente una acl para bloquear la dirección IP de origen infractora durante 60 segundos si fallaba la verificación de contraseña 3 veces en cinco minutos: login block-for 60 attempts 3 within 300
  • Puede personalizar la lista de acceso que se aplica utilizando login quiet-mode access-class [acl-name]; por defecto, IOS aplica una acl llamadasl_def_acl