Cisco タイプ7パスワード暗号化について
タイプ7暗号化とは何ですか? Cisco Type 7 は、真の暗号化ではなく、シンプルな難読化方法です。 1980年代には、設定ファイル内のパスワードの異常な観察を防ぐように設計されていましたが、決定した攻撃者に対しては実際のセキュリティを提供していません。
タイプ7 「暗号化」の仕組み:
- 固定塩: タイプ7はハードコードされた一定の文字列を使用します: "dsfd;kfoA、.iyewrkldJKDHSUBsgvca69834ncxv9873254k;fg87"
- インデックス選択: 暗号化された文字列の最初の2桁は、塩のどの文字で開始するかを示します(0-52)
- XOR操作: パスワードの各文字は、塩から連続した文字でXORed
- 六角エンコーディング: XORの結果は、16進数のペアと連結に変換されます
7型が安全でない理由:
- アルゴリズムは、1995年にリバースエンジニアリングおよび公開されました
- 塩は一般に知られており、決して変化しません
- 暗号化暗号化ではなく、XORの単純な暗号です。
- すぐに利用できる用具とすぐに割れることができます
- 構成へのアクセス権を持つ人に対してゼロ保護を提供
攻撃ベクトル:
- SNMPのアクセス: 攻撃者は、SNMPを介してネットワークデバイスをクエリして構成を取得できます
- バックアップ サーバーの妥協: バックアップを格納するTFTP、FTP、またはSCPサーバーは脆弱である可能性があります
- メール受信: TAC通信には、多くの場合、設定を含む
- インサイダーの脅威: config へのアクセスを読み取り、パスワードの復号化が可能
✓ 推奨ソリューション:- タイプ5 (MD5): "enable password" の代わりに "enable Secret" を使う - 片道 MD5 ハッシュング
- タイプ8 (PBKDF2-SHA256): モダンパスワードベースのキーのデリベーション(新しいIOSバージョンで利用可能)
- タイプ9 (scrypt): ハードウェアベースの攻撃(IOS-XE 16.9 +)に耐性のある、最も安全なオプション
- AAA/TACACS+: 認証を一元化し、強力なプロトコルを使用する
- 安全な輸送: 常にHTTPではなくTelnet、HTTPSの代わりにSSHを使用する
深さの防衛:
適切なパスワード暗号化でも、これらのセキュリティ対策を実行します。
- 管理面を保護するために制御平面ポライシング(CoPP)を使用する
- アクセス制御リスト(ACL)を実装し、管理アクセスを制限
- 強力なコミュニティ文字列と ACL で SNMP をセキュア (または未使用の場合無効)
- 構成バックアップサーバーを適切な認証と暗号化で保護
- DNSSECを使用して、DNS中毒の攻撃を防ぐ
- 少なくとも特権アクセスを実装し、定期的に認証情報を回転
参考文献:
教育目的:
このツールは、教育目的のために提供され、承認されたセキュリティテストのみ. これは、古い暗号方法の弱点を実証し、近代的で安全な認証メカニズムの使用の重要性を強調します。 システムへの不正なアクセスのために、このツールを使用しないでください。