Cisco Type 7 Password Encoder/Decoder

Достъпно също на:

Cisco Тип 7 Парола Кодер/Декодер

Образователен инструмент за демонстриране на слабостта на Cisco криптиране на парола тип 7. Кодиране на обикновен текст към тип 7 или декодиране на тип 7 към обикновен текст.

Предупреждение за сигурност: Cisco Тип 7 криптиране не е сигурно и е разбито през 1995. Използва прост XOR шифър с известна константа и никога не трябва да се разчита за сигурност. Използване на тип 5 (MD5), тип 8 (PBKDF2-SHA256) или тип 9 (scrypt) за производствени среди.

Декодиране тип 7 Парола

Конвертиране на кодирана парола от тип 7 към обикновен текст.

Шифрована парола тип 7:

Резултати от декодирането

Кодирана парола:

Парола с обикновен текст:

Индекс на солта:

готварска парола

Преобразуване на обикновен текст в кодиран формат от тип 7 (само за изпитвания/образователни цели).

Парола с обикновен текст:

Показване на разширени настройки

Солен индекс (0-52), оставен празен за случайни:

Забележка: Cisco устройства произволно изберете сол индекс. Използването на случаен принцип имитира поведение на истинско устройство.

Кодови резултати

Парола с обикновен текст:

Кодиран тип 7:

Използван индекс на солта:

За Cisco Тип 7 Шифроване на паролата

Какво е криптиране тип 7? Cisco Тип 7 е прост метод на объркване, а не истинско криптиране. Тя е проектирана през 80-те, за да предотврати случайно наблюдение на пароли в конфигурационни файлове, но не осигурява реална сигурност срещу определени нападатели.

Как работи тип 7 "криптиране":

Фиксирана сол: Тип 7 използва твърд кодиран постоянен низ: "dsfd;kfoA,.iyewrkldJKDHSUBSGvca69834ncv9873254k;fg87"
Избор на индекс: Първите две цифри на криптирания низ показват с кой характер в солта да започнем с (0,52)
Операция XOR: Всеки символ на паролата е XORed с последователни знаци от солта
Hex Encoding: Резултатите от XOR се преобразуват в шестнайсетични двойки и конкатенирани

Защо тип 7 е несигурен:

Алгоритъмът е разработен и публикуван през 1995 г.
Солта е публично известна и никога не се променя.
Това е прост XOR шифър, не криптиране.
Може да бъде напукан мигновено с лесно достъпни инструменти
Осигурява нулева защита срещу всеки с достъп до конфигурацията

Атака Vectors:

Достъп до SNMP: Атакуващите могат да задават мрежови устройства чрез SNMP за извличане на конфигурации
Компромис на резервния сървър: TFTP, FTP или SCP сървърите, съхраняващи резервни копия, могат да бъдат уязвими
Е- поща: Съобщенията за ОДУ често включват конфигурации
Вътрешни заплахи: Всеки с достъп до конфигурации може да дешифрира пароли

Подходящи решения:

Тип 5 (MD5): Използвайте "възможна тайна" вместо "възможна парола" - осигурява еднопосочен MD5 хашинг
Тип 8 (PBKDF2-SHA256): Модерна парола-базирана ключови извличане (на разположение на по-нови версии IOS)
Тип 9 (script): Най-сигурна опция, устойчива на хардуерни атаки (IOS-XE 16.9+)
AAA/TACACS+: Централизиране на автентичността и използване на по-силни протоколи
Secure Transport: Винаги използвайте SSH вместо Telnet, HTPS вместо HTTP

Защита в дълбочина:

Дори и с подходяща парола криптиране, прилагат тези мерки за сигурност:

Използване на контролна плоскост Polising (CoPP) за защита на управляващата равнина
Изпълнение на списъци за контрол на достъпа (ACL) за ограничаване на достъпа до управление
Secure SNMP със силни струни на общността и ACL (или деактивира, ако не е използван)
Защита на настройките резервни сървъри с правилното удостоверяване и криптиране
Използвайте DNSSEC за предотвратяване на DNS отровни атаки
Извършване на най-малко приоритетен достъп и редовно завъртане на пълномощията

Препратки:

Цел на образованието:

Този инструмент се предоставя само за образователни цели и за разрешени тестове за сигурност. Тя показва слабостта на остарелите криптографски методи и подчертава значението на използването на модерни, сигурни механизми за удостоверяване. Никога не използвайте този инструмент за неоторизиран достъп до системи.