Cisco Políticas de Password (ASA)
Hoy les voy a contar algunos puntos importantes, lo que implica no utilizar Password basadas en diccionario y sin la habilitación de Min-Lenght – Longitud de contraseñas.
NOTA: Evitar usar contraseñas que puedan estar basadas en diccionarios.
Requisitos: Linux Debían – AAA – TACACS
Significado de triple AAA (ASA) Cisco
1 A= Authentication 2) A=Authorization 3)A=Accounting
Los Usuarios y Administradores de redes, deben evitar que las Password sean fáciles de romper con fuerza bruta aplicando diccionario.
Más a delante les mostrare como podemos consultar y ver esto.
Lo correcto es generar claves seguras usando herramientas disponibles en linux, asi como también las mejores prácticas a seguir al momento de definir contraseñas. Adicionalmente veremos cómo configurar un Ferewall ASA para que pueda solicitar al usuario contraseñas que cumplan con cierto nivel de complejidad es preferible usar autenticación basada en usuario y contraseña (evitar solo usar contraseñas)
· Password de al menos 8 caracteres de longitud, usar el comando Security Password Min-Lenght
·
Evitar Password que puedan estar basadas en diccionarios.
·
Usar caracteres especiales.
· Es posible usar espacios
· Cambiar frecuente de Password.
En el caso de tener un ASA es posible usar los siguientes comandos
· Password Policy Lifetime
· Password Policy Minimun-changes
· Password Policy Minimun-Lenght
· Password Policy Minimun-Lowercase
· Password Policy Minimun-Numeric
· Password Policy Minimun-special
· Password Policy Minimun-Uppercase
Si nosotros utilizamos Password que tienen o están basados en diccionarios, esto es una mala práctica.
Si nosotros escribimos un SCRIPT que se encargue de iniciar una conexión remota a un dispositivo de red y le pasamos como INPUT ese archivo y le pasamos un diccionario o utilizamos el diccionario que se encuentra en el mismo Servidor- o Linux de manera predeterminada nuestro equipo nos indicara la contraseña que el posee no se deben utilizar palabras basadas en diccionario y que sabemos que existen.
NOTA esto es una mala práctica.
Ejemplo: Usuario –Carlos- Password casa (ambas sabemos que en el diccionario si las tiene).
Como proteger nuestros dispositivos?
1- Utilizar usuario- contraseñas
2- Longitu de la Password recomiendo mayor a 8 caracteres
Ejemplo: 1 Carácter — es igual a 26 a la 1
2 caracteres—es igual a 26 a la 2
Si utilizamos solo minúsculas es 26 a la cantidad de caracteres
Si utilizamos minúsculas y mayúsculas con 8 caracteres con caracteres especiales
—queda como 52+30=82 elevado a la 8
El 30 hace referencia a los caracteres especiales…
Resumen: Mayúsculas y Minúsculas = 52 elevado a 8
3- Uso de caracteres especiales * # pueden ser aprox. 30
Comando que podemos utilizar para averiguar esto!!!
Nosotros tenemos un diccionario en LINUX-DEBIAN que está ubicado en:
Si mal no recuerdo /usr/share/dict/words aquí vemos una serie de palabras que podríamos utilizar para saber la Password de un dispositivo.
Buscamos en Linux, en nuestro diccionario.
Command: grep –i Carlos /usr/share/dict/words nos va a responder carlos igual si ponemos casa de password.
Con esto nos damos cuenta que el nombre (Carlos y casa) ya existe por eso no es una buena práctica.
Herramienta Gratis OPENSSL para crear nuestra Password.
Openssl rand 32 – base 64 o más pequeña.
Open ssl rand 10- base 64 – mejor tipo de caracteres y son más completas, este tipo de contraseña la podemos pasar a nuestros usuarios.
Hasta la proxima… parte!!!
Saludos,
Carlos Crudo