Cisco 유형 7 암호 암호화에 관하여
Type 7 암호화 란 무엇입니까? Cisco Type 7은 간단한 obfuscation 방법이며, 진정한 암호화가 아닙니다. 그것은 1980 년대에 설계되어 구성 파일에 암호의 캐주얼 관측을 방지하기 위해, 그러나 결정된 공격자에 대한 실제 보안을 제공하지 않습니다.
7 "암호화"를 입력하는 방법 :
- 조정 소금: 타입 7은 hardcoded 상수 문자열을 사용합니다: "dsfd;kfoA,.iyewrkldJKDHSUBsgvca69834ncxv9873254k;fg87"
- 인덱스 선택: 암호화 된 문자열의 첫 번째 두 자리는 소금에 문자가 시작되는 것을 나타냅니다 (0-52)
- XOR 가동: 암호의 각 문자는 소금에서 성공 문자로 XORed
- Hex 기호화: XOR 결과는 hexadecimal 쌍으로 개조되고 concatenated
왜 유형 7는 Insecure입니다:
- 알고리즘은 1995년에 역설계 및 출판되었습니다.
- 소금은 공개적으로 알려져 있으며 결코 변경되지 않습니다.
- 단순 XOR cipher, 암호화 암호화 암호화
- 쉽게 사용할 수있는 도구로 즉시 균열 될 수 있습니다.
- 구성에 대한 액세스를 가진 사람에 대한 제로 보호 제공
공격 벡터:
- SNMP 접근: Attackers는 SNMP를 통해 네트워크 장치를 검색할 수 있습니다.
- 백업 서버 Compromise: TFTP, FTP, 또는 SCP 서버 저장 백업 취약
- 이메일 Interception: TAC 커뮤니케이션은 수시로 윤곽을 포함합니다
- Insider 위협: configs에 대한 읽는 접근을 가진 사람은 암호를 해독할 수 있습니다
✓ 권장 솔루션 :- 유형 5 (MD5): "enable password" 대신 "enable secret"을 사용하십시오 - 편도 MD5 해싱을 제공합니다
- 유형 8 (PBKDF2-SHA256): 현대 암호 기반 키 파생 (새 IOS 버전에서 사용 가능)
- 유형 9 (암호화): 하드웨어 기반 공격에 저항하는 대부분의 안전한 옵션 (IOS-XE 16.9+)
- AAA/TACACS+: 인증 및 사용 강력한 프로토콜
- 안전한 수송: 항상 대신 Telnet 대신 SSH를 사용, HTTP 대신 HTTPS
깊이의 방어 :
적절한 암호 암호화로도 이러한 보안 조치를 구현합니다.
- Control Plane Policing (CoPP)를 사용하여 관리 비행기를 보호합니다.
- Access Control List(ACLs)를 실행하여 관리 접근 제한
- 강력한 커뮤니티 문자열과 ACL(또는 사용하지 않는 경우 비활성화)로 SNMP 보안
- 적절한 인증 및 암호화로 구성 백업 서버를 보호합니다.
- DNS 중독 공격을 방지하기 위해 DNSSEC 사용
- 적어도 privilege 접근을 실행하고 정기적으로 credentials를 회전
참고 사항:
교육 목적:
이 도구는 교육 목적 및 공인 보안 테스트를 위해 제공됩니다. 그것은 탁월한 암호화 방법의 약점을 보여주고 현대적이고 안전한 인증 메커니즘을 사용하여 중요성을 강조합니다. 시스템의 무단 액세스를위한이 도구를 사용하지 마십시오.