Понимание различий между типами паролей и секретных кодов Cisco
-
Рекомендуемые методы Команда
enable password
больше не должна использоваться. Вместо нее используйте
enable secret
.
Команда
username joeblow password
больше не должна использоваться. Вместо этого используйте
username joeblow secret mypass
.
Пароли типа 4
никогда не
должны использоваться!
По возможности используйте пароли типа 6, 8 и 9.
Типы 0, 5 и 7 следует заменить на другие, более надежные методы.
НЕ используйте слова из словаря. Используйте случайные строки для паролей. Нажмите
ЗДЕСЬ,
чтобы увидеть отличный инструмент, которым я пользуюсь уже много лет. Типы паролей Cisco Тип 0 Это открытый текст, который никогда не следует использовать в рабочей или стартовой конфигурации. Попытка использовать тип 0 в современной IOS XE приведет к ошибке, так как эти типы скоро будут выведены из обращения. Тип 4 Cisco создала тип 4 около 2013 года в попытке обновить тип 5. Однако эта попытка оказалась крайне неудачной и привела к созданию хэша, который был слабее, чем тип 5 MD5. См. PSIRT ниже.
Проблема с
паролями Cisco IOS и Cisco IOS XE типа 4 Тип 5 Они используют алгоритм хеширования MD5 с солью. Их следует использовать только в том случае, если тип 6, 8 или 9 недоступен в используемой версии IOS. Попытка использовать тип 5 в современной IOS XE приведет к ошибке, так как эти типы скоро будут выведены из обращения. В рабочей конфигурации они начинаются с $5$. Тип 6 Это настоящее шифрование с использованием 128-битного режима счетчика AES. Администратор определяет главный ключ, который используется IOS XE для шифрования пароля. Зашифрованный пароль, который отображается в рабочей конфигурации, не может быть скопирован между устройствами, ЕСЛИ на новом устройстве не настроен исходный главный ключ! [См. документ, который я написал, «Настройка паролей типа 6».] Тип 7 Они используют шифр Виженера, очень простой алгоритм, который был взломан в 1995 году. Их легко расшифровать с помощью инструментов, доступных в Интернете. Их никогда не следует использовать, и попытка использовать тип 7 в современном IOS XE приведет к ошибке, так как они скоро будут выведены из обращения. Тип 8 Пароли типа 8 — это то, чем должен был быть тип 4, то есть усовершенствованный тип 5! Тип 8 хешируется с использованием PBKDF2, SHA-256, 80-битного солевого кода и 20 000 итераций. Хотя это хорошо, он все еще уязвим для брутфорса, поскольку AES легко реализовать в графических картах (GPU). Я не проверял это, но полагаю, что популярный инструмент HashCat способен их расшифровать. В рабочей конфигурации стандартный тип 8 начинается с $8$. Тип 9 Они используют алгоритм хеширования SCRYPT, определенный в информационном RFC 7914. SCRYPT использует 80-битный соль, 16384 итерации. Запуск алгоритма требует большого объема памяти, поэтому его сложно взломать. Однако его можно запускать время от времени на устройстве Cisco, и в настоящее время это лучший тип пароля для использования. Я не проверял это, но полагаю, что популярный инструмент HashCat способен их расшифровать. В рабочей конфигурации стандартный тип 9 начинается с $9$. В рабочей конфигурации сложный тип 9 начинается с $14$. Часто задаваемые вопросы В:
Некоторые из них можно взломать, что мне делать? О:
Ответ прост! НИКОГДА не используйте слова из словаря. Используйте генератор случайных паролей, такой как этот.
https://www.random.org/passwords/ В:
Какие типы паролей можно переносить между устройствами? О:
Вы можете копировать и вставлять типы 0, 5, 7, 8 и 9 между устройствами. В:
Можно ли переносить тип 6 между устройствами? О:
Тип 6 можно переносить между устройствами ТОЛЬКО в том случае, если вы настроите устройство назначения с тем же ключом config-key password-encryption
KEY,
который изначально использовался на устройстве-источнике. В:
Что делать, если на моем устройстве типа 6 произошел сбой оборудования? О:
Отличный вопрос. При настройке типа 6 очень важно хранить ключ config-key password-encryption
KEY
в безопасном месте, так как его НЕВОЗМОЖНО восстановить из конфигурации устройств или из любого другого места. После ввода в CLI вы больше никогда не увидите его на устройстве. В:
Применимо ли это также к IOS XR? О:
К сожалению, я не знаю, возможно, я изучу этот вопрос и обновлю этот пост позже, если люди спросят. В:
Хешированный \ зашифрованный, в чем разница? О:
Шифрование обычно означает, что его можно восстановить с помощью ключа. Хеширование обычно является односторонним. В:
Когда следует использовать шифрование типа 6? О:
Используйте тип 6, когда устройству требуется фактический пароль, например, протоколы маршрутизации. Тип 6 также можно использовать, когда устройству необходимо распознать правильный пароль, имя пользователя kashvi, пароль cisco123, enable secret. В:
Когда следует использовать хеширование типа 8 или типа 9? О:
Хешированные пароли можно использовать, когда устройству необходимо распознать правильный пароль, но не нужно передавать его другим устройствам (маршрутизаторам, FTP-серверам и т. д.). В:
При настройке или восстановлении пароля типа 6 нужно ли вводить команды в определенном порядке? О:
Оптимально будет сначала включить шифрование паролей aes, key config-key, а затем пароль типа 6, однако, если вы сначала введете пароль типа 6, а затем включите шифрование паролей aes и key config-key, это также будет работать. Так что нет, на самом деле это не имеет значения, если определен главный ключ. В:
Что более безопасно: тип 6, 8 или 9? О:
Это спорный вопрос. Поскольку тип 8 и 9 являются односторонними хэшами, их можно считать наиболее безопасными. Однако я полагаю, что популярные инструменты способны взломать тип 8 и 9 методом перебора, и я не уверен, что тип 6 можно взломать методом перебора... пока. Спасибо за чтение, пожалуйста, оцените или прокомментируйте, чтобы помочь улучшить этот документ! -
Какая первая версия IOS поддерживает хеширование Type 9?
-
Пытаюсь найти историю внедрения типов 6, 8, 9 в IOS и IOS-XE. Основной вопрос: в какой момент тип 8 был введен в код IOS/IOS-XE? Некоторые из этих функций не поддерживают типы 8 или 9. Функция
Тип пароля 6
Пароль типа 7
Пароль типа 8
Пароль типа 9
линия con
линия vty
сосед bgp
сервер группы aaa
tacacs-сервер
радиус-сервер
имя пользователя
сосед ldp
сосед ISIS
строка сообщества snmpv3?
keychain Для справки: команда enable algorithm-type имеет историю, но не поддерживаемые алгоритмы: https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/security/d1/sec-d1-cr-book/sec-cr-e1.html#wp3884449514 enable algorithm-type To set the algorithm type to hash a user password configured using the enable secret command, use the enable algorithm-type command in global configuration mode. To remove the algorithm type, use the no form of this command. enable algorithm-type {md5 | scrypt | sha256} no enable algorithm-type {md5 | scrypt | sha256}
Syntax Description
md5 Selects the message digest algorithm 5 (MD5) as the hashing algorithm.
scrypt Selects scrypt as the hashing algorithm.
sha256 Selects Password-Based Key Derivation Function 2 (PBKDF2) with Secure Hash Algorithm, 26-bits (SHA-256) as the hashing algorithm.
Command Default No algorithm type is defined.
Command Modes Global configuration (config)
Command History
Release Modification 15.3(3)M3
This command was introduced. 15.5(1)S
This command was integrated into the Cisco IOS Release 15.5(1)S. -
Здравствуйте
[, @Тим Глен] Вопрос по этой части: В:
Какие типы паролей можно переносить между устройствами? О:
Вы можете копировать и вставлять типы 0, 5, 7, 8 и 9 между устройствами. Я попытался скопировать хэш для типов 5 и 8 с одного коммутатора 2960X и использовать его на другом 2960X. В результате пользователь не смог войти в систему. Поэтому мой вопрос: есть ли какие-либо ограничения или требования, чтобы это работало? Возможно, это связано с конфигурацией, которая влияет на то, как устройства интерпретируют скопированный хэш с другого устройства? Спасибо. -
Привет
[, @g748437] Это очень странное поведение. Я уже много лет копирую и вставляю секретные коды, зашифрованные с помощью хэша типа 5. Это всегда работало. Я протестировал копирование и вставку комбинации имени пользователя и секретного кода типа 8 на нескольких устройствах, и, похоже, все работает нормально. Я не знаю о каких-либо ограничениях. К сожалению, я не могу больше помочь, я бы открыл заявку в TAC. Тим -
В чем заключается существенное различие между хэшем «стандартного типа 9» и хэшем «сложного типа 9»? Каков конкретный метод определения сложного типа 9 и/или переключения между этими двумя типами? Обновление Нашел свой собственный ответ в
Руководстве по безопасности сетевой инфраструктуры АНБ
: «Если пароль хранится с использованием сложного секрета типа 9, где секретный хеш пароля типа
9 начинается с $14$, это означает, что пароль не менялся в
последнее время. Хеш пароля был преобразован из типа 5 во время предыдущего обновления операционной
системы. Сложный секрет типа 9 следует удалить, изменив пароль
на секрет типа 8 с ключевыми словами алгоритма sha256». -
Конфигурация переноса, содержащая пароли типа 6 для миграций/обновлений Спасибо,
@Tim Glen
, за предоставление этого полезного ресурса и ответы на мои вопросы ранее. Я хочу поделиться тем, что мы с коллегой сочли очень интересным, и надеюсь, что мы сможем получить от вас или TAC дополнительную информацию/обоснование по этому поводу. Мы находимся в процессе миграции служб IPSEC с
ASR на CSRv У нас были PSK, определенные на ASR, и они были зашифрованы с помощью AES с использованием главного ключа. После того, как мы перенесли конфигурацию, содержащую много зашифрованных PSK типа 6, в CSR, ряд IPSec VPN-туннелей не заработал, и мы задались вопросом, почему. Вот некоторые наблюдения: - Как вы упомянули ранее, не имело значения, определили ли мы главный ключ до копирования и вставки конфигурации. Мы можем определить главный ключ на новом устройстве до вставки конфигурации или после. - Оказалось, что ключи, которые продолжают работать на ASR, но не работают на CSR, — это те, которые были определены на исходных устройствах (т. е. ASR) администратором, введя ключевое слово «key 6» при определении ключей. Это те ключи, о которых я упоминал в предыдущем комментарии, которые по какой-то странной причине остаются в виде открытого текста, хотя и являются типа 6. Таким образом, на ASR с включенным
шифрованием паролей aes Любые пароли / PSK или другие учетные данные для аутентификации, если они введены администратором явным вводом «ключ 0», коробка преобразует их в ключ 6, зашифрует и отобразит с хэшем в рабочей конфигурации
Любые пароли / PSK или другие учетные данные для аутентификации, если они введены администратором путем явного ввода «ключ 6», как понятно, не будут дополнительно шифроваться и сохраняться в рабочей конфигурации в том виде, в котором они есть. Теперь вот что странно, когда речь заходит о коде ASR по сравнению с кодом CSR IOS XR На ASR VPN-узлы могут аутентифицироваться с помощью введенных «ключей 6» PSK, и фактический ключ можно увидеть в рабочей конфигурации, так как они были введены
На CSR VPN-узлы не могли пройти аутентификацию с помощью введенных PSK «ключ 6», как будто CSR пытаются расшифровать эти пароли с помощью главного ключа, поскольку они имеют тип 6, но они были сохранены в рабочей конфигурации в том виде, в котором были введены, как и в ASR
Чтобы это заработало, нам пришлось взять ранее определенные/введенные PSK ключа 6 и вставить их в CSR как PSK ключа 0, чтобы CSR мог выполнить свое волшебное шифрование типа 6, и, к нашему удивлению, это сработало и решило нашу проблему. Таким образом, в заключение, как ASR, так и CSR работают одинаково, когда речь идет о реализации определенных/введенных пользователем учетных данных ключа 6, и они не будут выполнять двойное шифрование/хеширование, но когда дело доходит до фактической аутентификации/верификации, ASR работают с тем, что было введено, и не пытаются расшифровать его, но CSR не работают, поскольку мы предполагаем, что это расшифровка, даже если они никогда не шифровались в первую очередь. Мы задаемся вопросом, имеет ли это какое-либо отношение к версиям IOS XR, является ли вышеуказанное наблюдение результатом изменения функций, усовершенствования или ошибки. -
«
Мы задаемся вопросом, имеет ли это какое-либо отношение к версиям IOS XR, является ли вышеуказанное наблюдение результатом изменения функций, усовершенствования или ошибки».
На этот вопрос невозможно ответить, не указав точно, какие версии IOS-XE/IOS-XR вы использовали на ASR и CSR. Вы не указали полные номера моделей, поэтому вы могли иметь в виду продукты, на которых работает IOS-XE или IOS-XR, поэтому было бы полезно уточнить, о каких именно продуктах вы говорили. Другая возможность заключается в том, что вы могли скопировать пробелы или специальные символы в конце некоторых зашифрованных ключей, что привело к их недействительности — такая ошибка, которую я неоднократно встречал в прошлом с паролями и ключами. -
Могу ли я проверить, поддерживает ли NEXUS 7710 создание секретного пароля типа 9 при создании имени пользователя? В настоящее время все наши имена пользователей имеют пароль типа 5.
-
Я хотел бы получить разъяснения по поводу этой статьи. В ней говорится, что тип 6 использует AES-128, а тип 8 — SHA-256. Указано, что тип 8 поддается дешифрованию, но SHA-256 — это алгоритм хеширования, который является односторонним. Не следовало ли это указать в типе 6, который использует метод шифрования AES-128?
-
@RAHCDPBC
на самом деле там сказано: «
Я не доказал это, но считаю, что популярный инструмент HashCat может расшифровать эти файлы
». В данном контексте термин
«взломан»
может быть более точным, чем «расшифрован».
https://hashcat.net/hashcat/
очень хорошо справляется с взломом хэшей методом перебора — что фактически равносильно расшифровке пароля, поскольку он вычисляет, какая строка дает нужный хэш. Хэши, как вы говорите, являются односторонними, но при наличии достаточного времени, мощности процессора и правильных методов их можно взломать. Напротив, зашифрованный пароль (тип 6) можно мгновенно расшифровать со 100% уверенностью с помощью мастер-ключа AES. -
Я столкнулся со странным явлением: одна и та же команда «crypto isakmp key 6 701100 address 172.254.5.113», скопированная и вставленная из Cisco 1921 в устройство cisco4321, приводит к сбою установления соседства ipsec. Когда «6» удаляется в Cisco 4321, соседство может быть установлено.
-
@Ingram-Hu
701100
не
является зашифрованным ключом типа 6, поэтому это вполне ожидаемо. Учитывая, что вы копируете с 1921, я предполагаю, что это очень старая IOS? Так что либо это было скопировано неверно, либо в очень старой IOS, с которой вы копировали, есть проблема/ошибка. В любом случае, я бы назвал это нормальным, ожидаемым поведением, потому что это не действительный ключ типа 6. Обратите внимание, что ключи типа 6 могут передаваться только между устройствами, которые настроены с идентичным мастер-ключом AES.
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти