Aký je výsledok pridávania šifrovania hesla Global Command Service do konfigurácie smerovača?

Pridanie „Global Command Service Heslo Encryption“ do konfigurácie smerovača má nasledujúci výsledok:

Šifruje všetky * nešifrované * heslá v konfiguračnom súbore smerovača.

Tu je porucha:

* `Service Password-Encryption` (príkaz globálnej konfigurácie): Tento príkaz sa používa na šifrovanie hesiel uložených v konfiguračnom súbore. Je to bezpečnostné opatrenie na zabránenie neoprávneného prezerania hesiel v holom texte.

* Čo to šifruje: Konkrétne šifruje heslá, ktoré sú uložené v ľudskom čitateľnom, * nešifrovanom * formáte * v rámci konfigurácie. To zvyčajne obsahuje heslá použité pre:

* `Povoliť Secret ` (heslo privilegovaného režimu EXEC)

* `riadok Vty 0 15 Heslo ` (Heslá riadku telnet/ssh)

* `Užívateľské meno heslo ` (Heslá miestnej užívateľskej databázy)

* `username tajomstvo ` (tento záznam nebude šifrovaný)

* Iné miesta, kde sa v konfigurácii používa „heslo `.

* šifrovací algoritmus: Spoločnosť Cisco IOS na tento účel používa relatívne slabý, proprietárny šifrovací algoritmus (šifrovanie typu 7). Je to lepšie ako holý text, ale podľa moderných štandardov sa nepovažuje za veľmi bezpečný. Preto sa odporúča šifrovať ich pomocou silnejšieho hesla, ako je `Enable Secret` alebo` Username tajomstvo `.

* Nevrazí všetko:

* Nevhoduje šifrovanie premávky prechádzajúcej smerovačom.

* Nevlastní heslá, ktoré sú už šifrované silnejším algoritmom (napríklad MD5 alebo SHA). Heslá nakonfigurované pomocou kľúčového slova „Secret“ sa zvyčajne ukladajú s jednosmerným hashom, takže je oveľa ťažšie prasknúť.

* Nevlastní heslá, ktoré sa ukladajú externe, ako napríklad heslá používané na polomer alebo autentifikáciu TACACS+.

*Šifruje iba heslá, ktoré sú v *spustenej konfigurácii *.

* Ako sa prihlásiť: Zadáte režim globálnej konfigurácie (`Configure Terminal`) a potom zadajte„ servisné heslo-regrypovanie “a stlačte kláves Enter.

Príklad:

Pred:

`` `

Povoliť heslo Cisco

riadok Vty 0 4

heslo Cisco

prihlásenie

`` `

Po (po spustení `Servisné heslo-regrypovanie`):

`` `

Povoliť heslo 050D1A11031B1B03

riadok Vty 0 4

heslo 050D1A11031B1B03

prihlásenie

`` `

Heslo „Cisco“ je teraz šifrované.

Dôležité úvahy:

* Slabosť bezpečnosti: Ako už bolo spomenuté, šifrovanie typu 7 je relatívne slabé. Nástroje sú ľahko dostupné online na prelomenie týchto hesiel. Považujte to za základnú vrstvu bezpečnosti, nie za robustnú.

* osvedčené postupy:

in Tento príkaz používa silnejší šifrovací algoritmus (MD5 alebo SHA) pre privilegované heslo EXEC. Vždy to používajte cez „Povolenie hesla“.

in Tento príkaz používa pre heslá používateľského mena silnejší šifrovací algoritmus (MD5 alebo SHA).

* Použite ssh, nie telnet: SSH šifruje celú reláciu vrátane hesiel, ako sú napísané. Telnet odosiela heslá v PlaintExt.

* Implementujte AAA (autentifikácia, autorizácia a účtovníctvo): Na autentifikáciu používateľa používajte externé autentifikačné servery (polomer alebo TACACS+). To centralizuje správa hesiel a často poskytuje silnejšie bezpečnostné opatrenia.

* Pravidelné zmeny hesla: Presadzujte politiku zmeny hesla, aby ste minimalizovali riziko ohrozených hesiel.

V súhrne poskytuje „služba hesla“ poskytuje základnú úroveň ochrany hesla šifrovaním hesiel PlointExt v konfiguračnom súbore smerovača. Nenahrádza však silné politiky hesla, bezpečné metódy overovania a používanie robustnejších techník šifrovania, ak sú k dispozícii.

• Predchádzajúca strana: Ako vymažete heslo používateľského účtu? 
• Ďalšia strana: Načítali ste RAR súbor z Rapidshare Ako nájdete heslo?