关于 Cisco 型態 7 密碼加密
第7型加密是什么? Cisco Type 7是一種簡單的混淆方法,不是真正的加密. 它被設計出於1980年代, 以阻止在設定檔中隨機地觀察口令, 但是它不能提供真正的安全以對付有決心的攻擊者.
第7型"催眠"怎么用:
- 固定鹽: 第7型使用硬碼常數串:"dsfd;kfoA,.iyewrkldJKDHSUBsgvca69834ncxv9873254k;fg87".
- 索引選擇 : 加密字串的前兩個數字表示要以 (0-52) 开头的鹽中哪個字元
- XOR 操作 : 密碼的每個字元由相接字元取自鹽的 XORED
- 十六元編碼 : XOR 結果被轉換成十六進制對并縮放
第7型為什麼不安全:
- 该算法由逆向工程于1995年出品.
- 有名有名 有名有名 有名有名 有名有名 有名有名 有名有名 有名有名 有名有名 有名有名 有名有名 有名有名 有名有名 有名有名 有名有名 有名有名 有名有名 有名有名 有名有名 有名有名 有名有名 有名有名有名 有名有名 有名有名有名 有名有名 有名有名有名有名 有名有名 有名有名 有名有名有名有名 有名有名有名有名 有名有名有名 有名有名有名有名 有名有名 有名有名有名有名有名 有名有名 有名有名有名有名有名有名有名 有名有名 有名有名有名有名有名 有名有名有名有名有名 有名有名有名有名有名 有名有名有名有名有名有名有名有名有名 有名有名 有名 有名有名有名有名有名有名有名有名有名 有名
- 它是一個簡單的XOR密碼,不是加密
- 有相當相當相當相當相當相通的相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相通相相通相通相相通相相相相通相相通相通相通相相相相相相通相通相通相相通相相相相相相通相相相相相相通相相相相相相通相相相相相相相相通相相相相相相相相相相相相通相相相相相相相相相相相
- 提供零相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相相關相關相相關相相關相關相關相相相相相相相關相相關相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相
攻擊矢量:
- SNMP 存取 : 攻擊者可以透過 SNMP 查詢網路裝置以取回設定
- 備份伺服器折中 : TFTP、 FTP 或 SCP 伺服器存储備份可能很脆弱
- 電子郵件截取: TAC 通訊中常有設定
- 有內部威脅: 有可讀取的配置可以解密密碼
有建議的解決方案:- 第5型 (MD5) : 使用"可關閉的秘密"取而代之"可關閉口令"-提供單向 MD5 hashing
- 第8型 (PBKDF2-SHA256): 以口令取出現代金鑰 (取自更新的 IOS 版本)
- 第 9 型態 (尖叫) : (IOS-XE 16.9+)
- AAA/TACS+: 集中認證并使用更強的協議
- 安全通訊: 常用 SSH 取代 Telnet, HTTPS 取代 HTTP
在深度的防守:
即便有正確的口令加密,也得實行這些安全措施:
- 使用 Control Plane (CoPP) 來保護管理平面
- 執行存取控制清單以限制管理存取
- 有強烈群組字串和 ACLs (或被使用就被禁用) 的安全 SNMP
- 有相當認證和加密的相關設定備份伺服器被保護
- 使用 DNSSEC 来防止 DNS 中毒攻擊
- 使用最不偏重的存取并定期轮换憑證
參考:
教育目的:
提供此工具只作教育用途并被授權作安全測試。 它證明了已过时的加密方法的弱點,并突出了使用現代安全認證机制的重要性. 就用這個工具去取用系統