Κρυπτογραφεί όλους τους * μη κρυπτογραφημένους κωδικούς πρόσβασης στο αρχείο διαμόρφωσης του δρομολογητή.
Εδώ είναι μια κατανομή:
* `service password-encryption` (εντολή παγκόσμιας διαμόρφωσης): Αυτή η εντολή χρησιμοποιείται για την κρυπτογράφηση των κωδικών πρόσβασης που αποθηκεύονται στο αρχείο διαμόρφωσης. Είναι ένα μέτρο ασφαλείας για την πρόληψη της μη εξουσιοδοτημένης προβολής των κωδικών πρόσβασης σε plaintext.
* Τι κρυπτογραφεί: Ειδικά κρυπτογραφεί τους κωδικούς πρόσβασης που αποθηκεύονται σε μια μορφή που μπορεί να διανύσει από τον άνθρωπο, * μη κρυπτογραφημένη * μέσα στη διαμόρφωση. Αυτό συνήθως περιλαμβάνει κωδικούς πρόσβασης που χρησιμοποιούνται για:
* `Ενεργοποιήστε το μυστικό
* `Line Vty 0 15 Password
* `username
* `username
* Άλλα μέρη όπου χρησιμοποιείται ο κωδικός πρόσβασης
* Αλγόριθμος κρυπτογράφησης: Το Cisco IOS χρησιμοποιεί έναν σχετικά αδύναμο, ιδιόκτητο αλγόριθμο κρυπτογράφησης (κρυπτογράφηση τύπου 7) για το σκοπό αυτό. Είναι καλύτερο από το απλό κείμενο, αλλά δεν θεωρείται εξαιρετικά ασφαλές από τα σύγχρονα πρότυπα. Ως εκ τούτου, συνιστάται να τους κρυπτογραφήσετε χρησιμοποιώντας έναν ισχυρότερο κωδικό πρόσβασης όπως το "Enable Secret" ή το `username
* Δεν κρυπτογραφεί τα πάντα:
* Δεν κρυπτογραφεί την κυκλοφορία που διέρχεται από το δρομολογητή.
* Δεν κρυπτογραφεί τους κωδικούς πρόσβασης που έχουν ήδη κρυπτογραφηθεί με ισχυρότερο αλγόριθμο (όπως MD5 ή SHA). Οι κωδικοί πρόσβασης που έχουν ρυθμιστεί με τη λέξη-κλειδί «Secret» αποθηκεύονται συνήθως με ένα μονόδρομο hash, καθιστώντας τους πολύ πιο δύσκολο να σπάσουν.
* Δεν κρυπτογραφεί τους κωδικούς πρόσβασης που αποθηκεύονται εξωτερικά, όπως εκείνοι που χρησιμοποιούνται για την ακτίνα ή τον έλεγχο ταυτότητας TACACS+.
*Κρυπτογραφεί μόνο τους κωδικούς πρόσβασης που βρίσκονται στη διαμόρφωση *τρέχοντας *.
* Πώς να υποβάλετε αίτηση: Εισαγάγετε τη λειτουργία Global Configuration (`Configure Terminal ') και, στη συνέχεια, πληκτρολογήστε` service password-encryption` και πατήστε Enter.
Παράδειγμα:
Προτού:
`` `
Ενεργοποίηση κωδικού πρόσβασης Cisco
γραμμή vty 0 4
κωδικός πρόσβασης Cisco
σύνδεση
`` `
Μετά (μετά την εκτέλεση `service password-encryption '):
`` `
Ενεργοποίηση κωδικού πρόσβασης 050D1A11031B1B03
γραμμή vty 0 4
Κωδικός πρόσβασης 050D1A11031B1B03
σύνδεση
`` `
Ο κωδικός πρόσβασης Cisco` είναι τώρα κρυπτογραφημένος.
Σημαντικές εκτιμήσεις:
* Αδυναμία ασφαλείας: Όπως αναφέρθηκε, η κρυπτογράφηση τύπου 7 είναι σχετικά αδύναμη. Τα εργαλεία είναι άμεσα διαθέσιμα στο διαδίκτυο για να σπάσουν αυτούς τους κωδικούς πρόσβασης. Θεωρήστε ότι είναι ένα βασικό στρώμα ασφάλειας, όχι ένα ισχυρό.
* Βέλτιστες πρακτικές:
* Χρησιμοποιήστε το `enable secret
* Χρησιμοποιήστε το `username
* Χρησιμοποιήστε SSH, όχι telnet: Το SSH κρυπτογραφεί ολόκληρη τη συνεδρία, συμπεριλαμβανομένων των κωδικών πρόσβασης, όπως πληκτρολογούνται. Το Telnet στέλνει κωδικούς πρόσβασης στο PlainText.
* Εφαρμογή AAA (έλεγχος ταυτότητας, εξουσιοδότηση και λογιστική): Χρησιμοποιήστε εξωτερικούς διακομιστές ελέγχου ταυτότητας (RADIUS ή TACACS+) για έλεγχο ταυτότητας χρήστη. Αυτό συγκεντρώνει τη διαχείριση του κωδικού πρόσβασης και συχνά παρέχει ισχυρότερα μέτρα ασφαλείας.
* Κανονικές αλλαγές κωδικού πρόσβασης: Επιβάλλετε μια πολιτική αλλαγής κωδικού πρόσβασης για την ελαχιστοποίηση του κινδύνου συμβιβασμένων κωδικών πρόσβασης.
Συνοπτικά, η `Service Password-Encryption` παρέχει ένα βασικό επίπεδο προστασίας του κωδικού πρόσβασης με κρυπτογράφηση κωδικών πρόσβασης Plaintext στο αρχείο διαμόρφωσης του δρομολογητή. Ωστόσο, δεν αποτελεί υποκατάστατο των ισχυρών πολιτικών κωδικού πρόσβασης, ασφαλείς μεθόδους ελέγχου ταυτότητας και χρησιμοποιώντας πιο ισχυρές τεχνικές κρυπτογράφησης όπου διαθέσιμες.
Πνευματικά δικαιώματα © Γνώση Υπολογιστών Όλα τα δικαιώματα κατοχυρωμένα