Domanda Cisco IOS - gestione delle password, tipi di crittografia delle password di servizio

6

Sono uno studente universitario che studia per il mio esame di certificazione e stavo facendo delle revisioni oggi quando ho trovato una domanda a cui non riesco a trovare una risposta. Fondamentalmente, nel materiale online CCNA3 2.4.1 Cisco Netacademy, si parla della crittografia delle password nella configurazione. Per citare i materiali:

The encryption standard used by the service password-encryption command is referred to as type 7. This encryption standard is very weak and there are easily accessible tools on the Internet for decrypting passwords encrypted with this standard. Type 5 is more secure but must be invoked manually for each password configured.

Questo è ciò che mi confonde. Si dice che è possibile richiamare manualmente la sicurezza di Tipo 5 (che è l'hashing MD5, utilizzato anche con enable secret) per ogni password configurata. Tuttavia, per impostazione predefinita, utilizza la crittografia di tipo 7, che è un metodo di crittografia di base e debole solitamente utilizzato per proteggersi dallo spionaggio della spalla durante l'esecuzione di configurazioni, ecc.

Ho guardato in giro e non riesco a trovare alcun comando che permetta a un utente di usare il comando enable password ancora criptato usando Type 5 invece di Type 7. Inoltre, quando ho guardato le pagine di riferimento Cisco su Internet, ho visto qui dice:

enable password [level level] {password | [encryption-type] encrypted-password} Encryption-Type: (Optional) Cisco-proprietary algorithm used to encrypt the password. Currently, the only encryption type available is 5. If you specify encryption-type, the next argument you supply must be an encrypted password (a password already encrypted by a Cisco router).

Questo è per il comando enable password e dice che il tipo di crittografia predefinito è 5 usando IOS versione 12.2. Ma quando uso service password-encryption su uno switch che ha 12.2 IOS, la configurazione di esecuzione mostra: enable password 7 121AOC041104 il 7 che significa Tipo 7.

Quindi, come puoi vedere. Non ho capito bene. Esistono delle contraddizioni riguardo al tipo di crittografia predefinito utilizzato con la password di abilitazione. Sebbene le risorse della netacademy abbiano qualche anno di vita, i test effettivi con switch e l'utilizzo del comando service password-encryption supportano i materiali netacademy. Mentre il sito Cisco riporta il 5 come predefinito usando una delle ultime versioni di IOS.

Fondamentalmente, la mia domanda è, nonostante tutte queste confusioni, è possibile utilizzare la password di abilitazione per ottenere una crittografia di tipo 5 (e questo sarebbe evidente nella configurazione di esecuzione) o devo rimanere con enable secret a ottenere la mia crittografia di tipo 5?

    
posta mitch 28.04.2011 - 16:37
fonte

3 risposte

1

Usa enable secret - se non altro, è la soluzione che funziona su versioni "legacy", anche se è stata modificata nelle versioni più recenti.

(A parte questo, evita gli account locali.) L'unica volta che un account locale dovrebbe essere utilizzato è quando c'è un problema grave che impedisce al router di comunicare con un server AAA. Usa TACACS + quando possibile, o DIAMETRO per quelli che lo supporta.)

    
risposta data 28.04.2011 - 21:14
fonte
1

Non posso aiutarti con il tuo problema di base, ma questo dovrebbe aiutare a motivare la gente a farlo bene, come chiede la tua domanda. È deprimente ascoltare ripetutamente quanto lo spazio di archiviazione delle password sia rotto su piattaforme importanti.

Un po 'di googling fornisce queste informazioni sulla cattiva memorizzazione della password di tipo 7. Nota che tt utilizza "Vigenère obfuscation" (non proprio crittografia): Debianfucating Cisco IOS Passwords - CT3

Sono ancora perplesso sul motivo per cui Cisco voleva che il server avesse accesso alle password in chiaro, come indicato in quel link.

Aggiornamento : come descritto in Dati di crittografia password Cisco IOS - Cisco sistemi :

In order to support certain authentication protocols (notably CHAP), the system needs access to the clear text of user passwords, and therefore must store them using a reversible algorithm.

Il requisito per l'archiviazione di password in testo semplice sul lato server è una buona ragione per cui CHAP ( protocollo di autenticazione Challenge-Handshake - Wikipedia ) è una cattiva idea.

    
risposta data 28.04.2011 - 20:20
fonte
1

I've done some looking around and I can't find any commands that would allow a user to use the enable password command yet encrypt it using Type 5 instead of Type 7.

Questo perché enable password viene mantenuto solo per il supporto legacy. Tutte le piattaforme Cisco per circa 20 anni hanno enable secret come metodo migliore per includere una password di abilitazione nella configurazione.

This is for the enable password command and it says default encryption type is 5 using IOS version 12.2. But when I use service password-encryption on a switch that has 12.2 IOS the running-config shows: enable password 7 121AOC041104 the 7 meaning Type 7.

La documentazione di Cisco (e altri fornitori) è stata sempre più influenzata da errori di copia / incolla nel corso degli anni. Tieni gli occhi aperti e il cervello impegnato durante la lettura della documentazione per scoprire che questo non è un evento raro (per divertimento, vedi se vedi quello in questo documento Cisco che ha riportato a versioni successive del codice i oggi - suggerimento: passa al Sezione Configurazione criteri di password (CLI) ).

Nel caso in cui evidenzi, usano lo stesso esatto testo per enable secret come fanno per enable password . Ad un certo punto qualcuno ha appena copiato il testo dal primo al secondo, ma ha dimenticato (o non si è reso conto) che avevano bisogno di cambiare il 5 in un 7.

Basically, my question is, despite all of these confusions, is it possible to use enable password to get a Type 5 encryption (and this would be evident in the running-config) or do I have to stick with enable secret to get my Type 5 encryption?

No, non è possibile utilizzare enable password per ottenere una crittografia di tipo 5. Puoi farlo solo con enable secret che usa solo la crittografia di tipo 5 (almeno sulla maggior parte delle piattaforme, non posso dire per certo tutti). Il comando enable password non ha questa funzione perché enable secret era già presente e il modo migliore per includere una password di abilitazione, quindi Cisco semplicemente non ha mai modificato il comando enable password per includerlo.

Vorrei sottolineare che non c'è nessun motivo al di fuori della classe che dovresti usare enable password nelle configurazioni di Cisco, a meno che tu non abbia a che fare con piattaforme di 20 anni (rete o gestione) che richiede di farlo.

    
risposta data 19.06.2018 - 21:33
fonte

Leggi altre domande sui tag