pregunta de Cisco IOS: administración de contraseñas, tipos de cifrado de contraseñas de servicio

Navega tus respuestas
6

Soy un estudiante universitario que estoy estudiando para mi examen de certificación, y estaba haciendo algunas revisiones hoy cuando encontré una pregunta a la que no puedo encontrar una respuesta. Básicamente, en los materiales en línea CCNA3 2.4.1 de Cisco Netacademy, se habla de cifrar las contraseñas en la configuración. Para citar los materiales:

  

El estándar de cifrado utilizado por el servicio de cifrado por contraseña   comando se conoce como tipo 7. Este estándar de cifrado es muy   débil y hay herramientas de fácil acceso en Internet para   Descifrando contraseñas cifradas con este estándar. Tipo 5 es más   seguro, pero debe invocarse manualmente para cada contraseña configurada.

Esto es lo que me confunde. Dice que puede invocar manualmente la seguridad de Tipo 5 (que es el hash MD5, que también se usa con habilitar secreto) para cada contraseña configurada. Pero, de forma predeterminada, utiliza el cifrado de Tipo 7, que es un método de cifrado básico y débil que se utiliza generalmente para protegerse contra el espionaje por encima del hombro en las configuraciones en ejecución, etc.

He echado un vistazo a mi alrededor y no puedo encontrar ningún comando que le permita a un usuario usar el comando de habilitación de contraseña y, a continuación, cifrarlo con Tipo 5 en lugar de Tipo 7. Además, cuando miré las páginas de referencia de Cisco en Internet, he visto aquí dice lo siguiente:

  

habilitar contraseña [nivel de nivel] {contraseña | [Tipo de cifrado]   contraseña cifrada} Tipo de cifrado: (opcional) propiedad de Cisco   Algoritmo utilizado para cifrar la contraseña. Actualmente, el único cifrado.   el tipo disponible es 5. Si especifica el tipo de cifrado, el siguiente argumento   el suministro debe ser una contraseña cifrada (una contraseña ya cifrada)   por un enrutador Cisco).

Esto es para el comando de habilitar contraseña y dice que el tipo de cifrado predeterminado es 5 usando IOS versión 12.2. Pero cuando uso service password-encryption en un switch que tiene 12.2 IOS, la configuración en ejecución muestra: enable password 7 121AOC041104 the 7 significa Tipo 7.

Así que, como puedes ver. Estoy confundido. Existen contradicciones con respecto al tipo de cifrado predeterminado que se utiliza con la contraseña de habilitación. Aunque los recursos de netacademy tienen algunos años, las pruebas reales con interruptores y el uso del comando service password-encryption son compatibles con los materiales de netacademy. Mientras que el sitio de Cisco cita que el tipo 5 es el predeterminado usando una de las últimas versiones de IOS.

Básicamente, mi pregunta es que, a pesar de todas estas confusiones, ¿es posible usar la contraseña de habilitación para obtener un cifrado de Tipo 5 (y esto sería evidente en la configuración en ejecución) o tengo que seguir habilitando el secreto de habilitación para obtener mi cifrado tipo 5?

    
pregunta mitch 28.04.2011 - 16:37
fuente

3 respuestas

1

Use enable secret ; por lo demás, es la solución que funciona en versiones "heredadas", incluso si se ha modificado en las versiones más recientes.

(Aparte de eso, evite las cuentas locales. La única vez que se debe usar una cuenta local es cuando hay un problema importante en progreso que impide que el enrutador se comunique con un servidor AAA. Use TACACS + cuando sea posible, o DIÁMETRO para aquellos que lo apoyan.)

    
respondido por el Jakob Borg 28.04.2011 - 21:14
fuente
1

No puedo ayudarlo con su problema básico, pero esto debería ayudar a motivar a las personas para que lo hagan bien, según su pregunta. Es deprimente escuchar una y otra vez lo mal que está el almacenamiento de contraseñas en plataformas importantes.

Un poco de googlear produce esta información sobre cuán mala es el almacenamiento de contraseñas "tipo 7". Tenga en cuenta que tt usa "Vigenère Obfuscation" (no realmente encriptación): Desenfufando las contraseñas de Cisco IOS - CT3

Todavía me sorprende por qué Cisco quiso que el servidor tuviera acceso a contraseñas de texto sin cifrar, como se señala en ese enlace.

Actualización : como se describe en Hechos de encriptación de contraseña de Cisco IOS - Cisco Sistemas :

  

Para admitir ciertos protocolos de autenticación (especialmente CHAP), el sistema necesita acceso al texto claro de las contraseñas de los usuarios y, por lo tanto, debe almacenarlas utilizando un algoritmo reversible.

El requisito para el almacenamiento de contraseñas de texto sin formato en el lado del servidor es una buena razón por la que CHAP ( protocolo de autenticación Challenge-handshake - Wikipedia ) es una mala idea.

    
respondido por el nealmcb 28.04.2011 - 20:20
fuente
1
  

He echado un vistazo a mi alrededor y no puedo encontrar ningún comando que le permita a un usuario usar el comando de habilitación de contraseña y, a continuación, cifrarlo con Tipo 5 en lugar de Tipo 7.

Esto se debe a que enable password solo se mantiene para el soporte heredado. Todas las plataformas de Cisco durante aproximadamente 20 años tienen enable secret como la mejor manera de incluir una contraseña de habilitación en la configuración.

  

Esto es para el comando de habilitar contraseña y dice que el tipo de cifrado predeterminado es 5 usando IOS versión 12.2. Pero cuando uso el servicio de cifrado de contraseña en un switch que tiene 12.2 IOS, la configuración en ejecución muestra: habilite la contraseña 7 121AOC041104 el 7 significa Tipo 7.

La documentación de Cisco (y otros proveedores) se ha visto cada vez más afectada por los errores de copiar / pegar a lo largo de los años. Mantenga los ojos abiertos y el cerebro enganchado al leer la documentación para descubrir que esto no es una ocurrencia rara (por diversión, vea si encuentra uno en que se ha transferido a versiones sucesivas de código al present day - sugerencia: vaya a Configuración de políticas de contraseña (CLI) sección).

En el caso de que resaltes, usan la misma redacción exacta para enable secret como lo hacen para enable password . En algún momento, alguien simplemente copió las palabras del primero al último, pero olvidó (o no se dio cuenta) que necesitaban cambiar el 5 por un 7.

  

Básicamente, mi pregunta es que, a pesar de todas estas confusiones, ¿es posible usar la contraseña de habilitación para obtener un cifrado de Tipo 5 (y esto sería evidente en la configuración en ejecución) o tengo que seguir habilitando el secreto de habilitación para obtener mi cifrado tipo 5?

No, no es posible utilizar enable password para obtener un cifrado de tipo 5. Solo puede hacer esto con enable secret , que solo usa cifrado tipo 5 (al menos en la mayoría de las plataformas, no puedo decirlo con certeza). El comando enable password no tiene esta función porque enable secret ya estaba presente y la mejor manera de incluir una contraseña de activación, por lo que Cisco simplemente nunca modificó el comando enable password para incluirla.

Permítame enfatizar que no hay ninguna razón fuera del aula que deba usar enable password en sus configuraciones de Cisco, a menos que esté tratando con plataformas de más de 20 años (red o administración) que requiere que lo hagas.

    
respondido por el YLearn 19.06.2018 - 21:33
fuente

Lea otras preguntas en las etiquetas

Consecuencias de seguridad de los datos de pasaporte comprometidos ¿Es el soporte de curva elíptica limitado en rhel / centos / redhat openssl suficientemente robusto?