Cisco Políticas de Password (ASA)
Hoy les voy a contar algunos puntos importantes, lo que implica no utilizar Password basadas en
diccionario y sin la habilitación de Min-Lenght – Longitud de contraseñas.
NOTA: Evitar usar contraseñas que puedan estar basadas en diccionarios.
Requisitos: Linux Debían - AAA - TACACS
Significado de triple AAA (ASA) Cisco
1 A= Authentication 2) A=Authorization
3)A=Accounting
Los Usuarios y Administradores de redes, deben evitar que
las Password sean fáciles de romper con fuerza bruta aplicando diccionario.
Más a delante les mostrare como podemos consultar y ver esto.
Lo correcto es generar claves seguras usando herramientas
disponibles en linux, asi como también las mejores prácticas a seguir al
momento de definir contraseñas. Adicionalmente veremos cómo configurar un
Ferewall ASA para que pueda solicitar al usuario contraseñas que cumplan con
cierto nivel de complejidad es preferible usar autenticación basada en usuario
y contraseña (evitar solo usar contraseñas)
·
Password de al menos 8 caracteres de longitud,
usar el comando Security Password Min-Lenght
·
Evitar Password que puedan estar basadas en
diccionarios.
·
Usar caracteres especiales.
·
Es posible usar espacios
·
Cambiar frecuente de Password.
En el caso de tener un ASA es posible usar los siguientes
comandos
·
Password Policy Lifetime
·
Password Policy Minimun-changes
·
Password Policy Minimun-Lenght
·
Password Policy Minimun-Lowercase
·
Password Policy Minimun-Numeric
·
Password Policy Minimun-special
·
Password Policy Minimun-Uppercase
Si nosotros utilizamos Password que tienen o están basados
en diccionarios, esto es una mala práctica.
Si nosotros escribimos un SCRIPT que se encargue de iniciar
una conexión remota a un dispositivo de red y le pasamos como INPUT ese archivo
y le pasamos un diccionario o utilizamos el diccionario que se encuentra en el
mismo Servidor- o Linux de manera predeterminada nuestro equipo nos indicara la
contraseña que el posee no se deben utilizar palabras basadas en diccionario y
que sabemos que existen.
NOTA esto es una mala práctica.
Ejemplo: Usuario –Carlos-
Password casa (ambas sabemos que en el diccionario si las tiene).
Como proteger nuestros dispositivos?
1-
Utilizar usuario- contraseñas
2-
Longitu de la Password recomiendo mayor a 8
caracteres
Ejemplo: 1 Carácter --- es igual a 26 a la
1
2 caracteres---es igual a 26 a
la 2
Si utilizamos solo minúsculas es 26 a la cantidad de caracteres
Si utilizamos minúsculas y mayúsculas con 8
caracteres con caracteres especiales
—queda como 52+30=82 elevado a la 8
El 30 hace referencia a los caracteres
especiales…
Resumen:
Mayúsculas y Minúsculas = 52 elevado a 8
3-
Uso de caracteres especiales * # pueden ser
aprox. 30
Comando que podemos utilizar para averiguar esto!!!
Nosotros tenemos un diccionario en LINUX-DEBIAN que está
ubicado en:
Si mal no recuerdo /usr/share/dict/words aquí vemos una serie de palabras que podríamos
utilizar para saber la Password de un dispositivo.
Buscamos en Linux, en nuestro diccionario.
Command: grep –i Carlos /usr/share/dict/words nos va a
responder carlos igual si ponemos casa de password.
Con esto nos damos cuenta que el nombre (Carlos y casa) ya
existe por eso no es una buena práctica.
Herramienta Gratis OPENSSL para crear nuestra Password.
Openssl rand 32 – base 64 o más pequeña.
Open ssl rand 10- base 64 – mejor tipo de caracteres y son más
completas, este tipo de contraseña la podemos pasar a nuestros usuarios.
Hasta la proxima... parte!!!
Saludos,
Carlos Crudo
No hay comentarios.:
Publicar un comentario