Vitajte na [www.pocitac.win] Pripojiť k domovskej stránke Obľúbené stránky
Tu je porucha:
`Enable Password`
* úložisko: Uložené v konfiguračnom súbore v PLAINTEXT (alebo minimálne zakryté slabým, rozbitným šifrovaním, ako je šifrovanie typu 7 Cisco).
* Zabezpečenie: Veľmi slabé . Ktokoľvek, kto má prístup k konfiguračnému súboru (spustenie konfigurácie, konfigurácia spustenia alebo dokonca zálohovanie), môže ľahko prečítať heslo. Šifrovanie typu 7 je ľahko reverzibilné pomocou online nástrojov alebo jednoduchých skriptov.
* Použitie: Primárne sa používa na staršie vybavenie alebo situácie, keď bezpečnosť nie je primárnym problémom (testovacie laboratóriá, izolované siete). Je silne odrádzaný pre výrobné prostredie.
* Príklad:
`` `
Povoliť heslo myPassword
`` `
`Povoliť tajné`
* úložisko: Uložené v konfiguračnom súbore v oveľa silnejšom, jednosmernom šifrovanom Formát (zvyčajne MD5 alebo SHA256). To znamená, že samotné heslo nie je nikdy priamo viditeľné v konfigurácii. Aj keď je technicky viditeľný samotný hash, zvrátenie silného hashu je výpočtovo nerealizovateľné.
* Zabezpečenie: výrazne bezpečnejšie než „Povoliť heslo“. Aj keď niekto získa konfiguračný súbor, nemôže ľahko určiť skutočné heslo.
* Použitie: Odporúčané Metóda na nastavenie hesla privilegovaného režimu EXEC. Mal by sa vždy používať vo výrobných prostrediach.
* Precedencia: Ak sú nakonfigurované „povolenie hesla“ a `Enable Secret`, heslo„ Povoliť tajné “má prednosť prednosť. Router sa vyzve na heslo „Povoliť tajné“.
* Príklad:
`` `
Povoľte tajné MySecretPassword
`` `
Kľúčové rozdiely sú zhrnuté:
| Funkcia | „Povoľte heslo“ | „Povoliť tajné“
| ---------------- | ---------------------------- | ---------------------------- |
| Šifrovanie Slabé (alebo žiadne) Silné (MD5 alebo SHA256)
| Zabezpečenie | Nízka | Vysoká |
| Úložisko | Hlouhla alebo slabé šifrovanie Hashed (jednosmerné šifrovanie)
| Odporúčanie Vyhnite sa výrobe | Odporúčané |
| Priorcia | Nižšie (ak `povoľte tajné` existuje) | Vyššie |
Prečo `Enable Secret` je vynikajúci:
Hashing poskytuje jednosmernú funkciu. Môžete hash heslo, ale nemôžete ho ľahko rozrušiť, aby ste získali pôvodné heslo. Toto chráni heslo, aj keď je konfiguračný súbor ohrozený.
Dôležité úvahy:
* Strong Heslá: Bez ohľadu na to, ktorý príkaz používate (aj keď by ste mali vždy používať „Povoliť“), vyberte silné a zložité heslá.
* Pravidlá zložitosti hesla: Implementujte politiky zložitosti hesla na presadzovanie používania silných hesiel.
* aaa (autentifikácia, autorizácia a účtovníctvo): V prípade podnikových prostredí zvážte použitie AAA s polomerom alebo serverom TACACS+ na centralizované riadenie používateľov a autentifikáciu. Je to ešte bezpečnejšie a škálovateľnejšie ako miestne heslá povoľovania.
* Secret 5: Spoločnosť Cisco má „služobné zadanie hesla“, ktoré používa slabú metódu šifrovania (typ 7) na „šifrovanie“ všetkých hesiel v konfiguračnom súbore. Je to lepšie ako nič, ale stále je relatívne ľahké zlomiť. „Povolenie tajomstva“ je * oveľa oveľa lepšia alternatíva.
Na záver:
Na ochranu privilegovaného režimu EXC Secret 'vždy používajte „Povoliť tajný“. Poskytuje výrazne vyššiu úroveň zabezpečenia ako „povolenie hesla“. Pre maximálnu bezpečnosť použite AAA s externým autentifikačným serverom.