Cisco Type 7 Password Enkription
Kio estas Tipo 7 Enkription? Cisco Type 7 estas simpla malklariga metodo, ne vera ĉifrado. Ĝi estis dizajnita en la 1980-aj jaroj por malhelpi neformalan observadon de pasvortoj en konfiguraciodosieroj, sed ĝi disponigas neniun realan sekurecon kontraŭ celkonsciaj atakantoj.
Kiel Tipo 7 "Enkripcio-" Verkoj:
- Fiksita salo: Tipo 7 uzas senkompromisan konstantan kordon: "dsfd;kfoA,.iyewrkldJKDHSUBsgvca69834nĉv9873254k;fg87"
- Indekso de selektado: La unuaj du ciferoj de la ĉifrita kordo indikas kiu karaktero en la salo por komenciĝi kun (0-52)
- XOR Operacio: Ĉiu karaktero de la pasvorton estas XORed kun sinsekvaj karakteroj de la salo
- Hex Encoding: La XOR rezultoj estas transformitaj al heksadecimalparoj kaj koncatenated
Kial Tipo 7 estas nesekura:
- La algoritmo estis inversigita kaj publikigita en 1995
- La salo estas publike konata kaj neniam ŝanĝiĝas
- Ĝi estas simpla XOR ĉifro, ne kriptiga ĉifrado
- Povas esti fendita tuj kun facile haveblaj iloj
- Disponigas nul protekton kontraŭ iu ajn kun aliro al la konfiguracio
Atako Vectors:
- SNMP Aliro: Atakoj povas query sendostaciajn aparatojn per SNMP por preni konfiguraciojn
- Malantaŭa Servilo-Kompromiso: TFTP, FTP, aŭ SCP-serviloj stokantaj rezervaĵojn povas esti vundeblaj
- Retpoŝto: TAC komunikadoj ofte inkludas konfiguraciojn
- Internaj minacoj: Iu ajn kun erudicia aliro al konfigs povas deĉifri pasvortojn
Rekomenditaj solvoj:- Tipo 5 (MD5): Uzo "ebligebla sekreto" anstataŭe de "enebla pasvorton" - disponigas unudirektan MD5 hahing
- Tipo 8 (PBKDF2-SHA256): Moderna pasvorton-bazita esenca derivaĵo (havebla sur pli novaj IOS-versioj)
- Tipo 9 (kripto): Plej sekura opcio, rezistema al hardvar-bazitaj atakoj (IOS-XE 16.9+)
- AAA/TACACS+: Centrigi konfirmon kaj uzi pli fortajn protokolojn
- sekura transporto: Ĉiam uzas SSH anstataŭe de Telnet, HTTPS anstataŭe de HTTP
Defendo en Depth:
Eĉ kun ĝusta pasvorton ĉifrado, efektivigi tiujn sekureciniciatojn:
- Uzu Kontrolo Plane Policing (CoPP) por protekti administradaviadilon
- Efektivigo Access Control Lists (ACLoj) limigi administradaliron
- Secure SNMP kun fortaj komunumkordoj kaj ACLoj (aŭ disigeblaj se neuzate)
- Protekta konfiguracio rezervserviloj kun bonorda konfirmo kaj ĉifrado
- Uzu DNSSEC por malhelpi DNS-veneniĝojn
- Efektivigo malplej-privila aliro kaj regule rotaciaj akreditaĵoj
Referencoj:
Instrua celo:
Tiu ilo estas zorgis pri instruaj celoj kaj aprobita sekurectestado nur. Ĝi montras la malforton de malmodernaj kriptigaj metodoj kaj elstarigas la gravecon de uzado de modernaj, sekuraj aŭtentikmekanismoj. Neniam uzu tiun ilon por neaŭtorizita aliro al sistemoj.