Informazioni su Cisco Tipo 7 Crittografia password
Che cosa è la crittografia di tipo 7? Cisco Type 7 è un semplice metodo di offuscamento, non vera crittografia. È stato progettato negli anni '80 per prevenire l'osservazione casuale delle password nei file di configurazione, ma non fornisce alcuna sicurezza reale contro gli attaccanti determinati.
Come il tipo 7 "Encryption" funziona:
- Sale fisso: Il tipo 7 utilizza una stringa costante codificata dura: "dsfd;kfoA,.iyewrkldJKDHSUBsgvca69834ncxv9873254k;fg87"
- Selezione indice: Le prime due cifre della stringa crittografata indicano quale carattere nel sale per iniziare con (0-52)
- Operazione XOR: Ogni carattere della password è XORed con caratteri successivi dal sale
- Hex codifica: I risultati XOR vengono convertiti in coppie esadecimali e concatenati
Perché il tipo 7 è insicuro:
- L'algoritmo è stato invertito e pubblicato nel 1995
- Il sale è conosciuto pubblicamente e non cambia mai
- E' una semplice cifratura XOR, non crittografia crittografica.
- Può essere rotto immediatamente con strumenti prontamente disponibili
- Fornisce zero protezione contro chiunque abbia accesso alla configurazione
I vettori di attacco:
- Accesso SNMP: Gli aggressori possono interrogare i dispositivi di rete tramite SNMP per recuperare le configurazioni
- Compromesso server di backup: I server TFTP, FTP o SCP che memorizzano i backup possono essere vulnerabili
- Email Interception: Le comunicazioni TAC spesso includono configurazioni
- Minacce interne: Chiunque abbia accesso alle configurazioni può decifrare le password
✓ Soluzioni consigliate:- Tipo 5 (MD5): Utilizzare "accedere segreto" invece di "abilitare password" - fornisce un senso MD5 hashing
- Tipo 8 (PBKDF2-SHA256): derivazione chiave moderna (disponibile nelle versioni IOS più recenti)
- Tipo 9 (crittografia): L'opzione più sicura, resistente agli attacchi hardware (IOS-XE 16.9+)
- AAA/TACACS+: Centralizzare l'autenticazione e utilizzare protocolli più forti
- Trasporto sicuro: Utilizzare sempre SSH invece di Telnet, HTTPS invece di HTTP
Difesa in profondità:
Anche con una corretta crittografia delle password, implementare queste misure di sicurezza:
- Uso Piano di controllo Policing (CoPP) per proteggere il piano di gestione
- Elenchi di controllo dell'accesso all'attuazione (ACL) per limitare l'accesso alla gestione
- SNMP sicuro con forti stringhe di comunità e ACL (o disabilitare se non utilizzati)
- Proteggere i server di backup di configurazione con una corretta autenticazione e crittografia
- Utilizzare DNSSEC per prevenire attacchi di avvelenamento da DNS
- Implementare l'accesso meno privato e ruotare regolarmente le credenziali
Referenze:
Scopo educativo:
Questo strumento è fornito per scopi educativi e test di sicurezza autorizzati solo. Esso dimostra la debolezza dei metodi crittografici obsoleti e sottolinea l'importanza di utilizzare meccanismi di autenticazione moderni e sicuri. Non utilizzare mai questo strumento per l'accesso non autorizzato ai sistemi.