Настройка паролей типа 6 в IOS XE
-
@adrian.smithson Нет, я не думаю, что то, как вы делаете это с 2960, является правильным способом. Я даже немного удивлен, что он конвертирует вашу комбинацию имени пользователя и пароля. Я только что попробовал то же самое с 3750X w IOS 15.2(4)E7, и ничего не было конвертировано, ни имя пользователя и пароль, ни ключи RADIUS или TACACS. Я провел небольшое исследование и нашел следующее. https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960x/software/15-2_7_e/release_notes/rn-1527e-2960x-xr.html
Функции, представленные в Cisco IOS Release 15.2(7)
Поддержка
E3
для пароля шифрования AES типа 6: Начиная с этой версии, вы можете указать зашифрованный ключ типа 6 для сервера TACACS. Новая команда — tacacs server key 6 key-name. Я не уверен на 100 %, но, насколько я могу судить по результатам некоторых исследований, тип 6 был введен в середине 2000-х годов для обеспечения безопасности общего секрета в конфигурации IOS VPN. https://www.cisco.com/c/en/us/support/docs/security-vpn/ipsec-negotiation-ike-protocols/46420-pre-sh-keys-ios-rtr-cfg.html Затем, со временем, Cisco представила другие алгоритмы шифрования (типы 4, 8, 9) и постепенно перенесла тип 6 в другие функции, такие как имя пользователя и пароль, ключ RADIUS и ключ TACACS. Надеюсь, это поможет. Извините за задержку с ответом. -
@Тим Глен
Привет, Тим, У меня было немного времени, чтобы более внимательно изучить этот вопрос... Я проверил с 2960X 15.2(7)E4 и 15.2(7)E5 и могу подтвердить, что с 15.2(7)E5 все работает так, как ты описал для 9300. С 2960X 15.2(7)E4 нет возможности изменить ключ TACACS или ключ RADIUS на ключ 6... Не могу найти никакой информации в примечаниях к выпуску, но 15.2(7)E5 работает отлично. С уважением Адриан С. -
@Тим Глен Вы знаете, почему ваши инструкции не работают на C1000-8P-E-2G-L с 15.2(7)E6? Коммутатор не распознает команду «password encryption aes» и «key config-key password-encrypt» в режиме конфигурации.
-
Привет, Тим, отличный пост, очень информативный. Я знаю, что на него уже давно не было комментариев, но у меня есть вопрос, на который, надеюсь, кто-нибудь сможет ответить. Я хочу конвертировать все свои пароли типа 7 прямо сейчас и пытаюсь понять, как лучше это сделать. Я хочу использовать тип 8 или 9 для своих локальных паролей «username» и тип 6 для своих общих ключей radius (так как тип 8/9 недоступен для общих ключей radius). Можно ли использовать оба типа в одной конфигурации коммутатора? Если можно использовать оба, и я уже преобразовал свои пароли команды «username» в тип 8 или 9, то ввод
команд
«password encryption aes» и «key config-key password-encrypt
super-secret-password» преобразует эти пароли имени пользователя в тип 6 или будет продолжать использовать тип 8/9 для «username» и преобразует только общие ключи radius в тип 6? Возможно, вы уже ответили на этот вопрос в разделе «Вопросы и ответы» в своем посте, который я привожу ниже, но я просто хотел подтвердить, чего ожидать. Похоже, что локальные пароли «username» должны остаться типа 8 или 9, а конвертироваться будут только ключи моего сервера radius? В:
Какие пароли будут преобразованы? О:
Согласно моим тестам, будут преобразованы следующие пароли и типы паролей: Ключи сервера TACACS (ранее в типе 7)
Ключи сервера RADIUS (ранее в типе 7)
пароли входа vty (ранее в типе 7) Заранее благодарю. -
@Тим Glen
[neal.gomes@omron.com] Привет, Тим и Нил, у меня такой же вопрос. Я хочу использовать тип 8. Но для radius это, похоже, невозможно: TEST(config-radius-server)#key ?
0 Указывает, что будет использоваться
НЕШИФРОВАННЫЙ ключ 6 Указывает, что будет использоваться
ШИФРОВАННЫЙ ключ 7 Указывает, что будет использоваться СКРЫТЫЙ
ключ LINE НЕШИФРОВАННЫЙ (открытый текст) общий ключ Проблема в том, что если я настрою тип 6, то все будет преобразовано в тип 6? -
@abtt-39
Тип 6 предназначен для обратимо зашифрованных ключей/паролей, которые необходимо использовать в их исходном виде в виде открытого текста — и radius является одним из тех элементов, для которых требуется фактический ключ. Тип 8 — это HASH, который не может быть обращен обратно в исходный открытый текст и поэтому не может быть использован для таких целей, как radius. Тип 8 подходит для секретной информации пользователя, где сохраненный хеш сравнивается с хешем, введенным пользователем. -
К вашему сведению: мы обнаружили ошибку с типом 6 и «паролем службы абонента». IOS преобразует его в тип 6 в конфигурации, но затем считывает как тип 7, что приводит к сбою службы. Обходной путь заключается в том, чтобы явно настроить его с типом 7 после включения шифрования AES, и тогда он будет продолжать работать, поскольку IOS не преобразует его. Дело TAC в процессе рассмотрения...
-
Спасибо за этот пост. У меня есть несколько вопросов, на которые я не могу найти ответы в документации. Если возникнет необходимость заменить маршрутизатор (RMA, обновление и т. д.), можно ли просто скопировать зашифрованные пароли/PSK в зашифрованном формате и вставить их в новое устройство, если известен главный ключ? Должен ли этот мастер-ключ находиться на целевом устройстве до вставки или его можно ввести после? Пытаюсь понять порядок операций. Может ли возникнуть ситуация, когда вставленная конфигурация с зашифрованным паролем в конечном итоге будет зашифрована дважды? Предположим, что используется более новая или другая модель маршрутизатора или более высокая версия IOS? Есть ли способ расшифровать ключи/пароль с помощью мастер-ключа? Есть ли инструмент на устройстве или вне его? Также заметил, что в ios xe некоторые ключи, которые мы создали для PSK, просто вводятся без шифрования, даже если включено шифрование паролей aes? Что может быть причиной такого поведения? Есть ли вероятность, что маршрутизатор получит свою конфигурацию через tftp или другой источник с включенным шифрованием паролей aes и никогда не будет запрашивать у администратора ввод мастер-ключа, что обычно происходит, когда он включается в первый раз. Спасибо!
-
@toormehdi
...Этот мастер-ключ должен быть на целевом поле до вставки или его можно ввести после? Пытаюсь понять порядок действий. -
Да, зашифрованный формат можно скопировать, и он будет работать, если используется тот же мастер-ключ. Его можно ввести до или после. > Может ли возникнуть ситуация, когда вставленная конфигурация с зашифрованным паролем в конечном итоге будет зашифрована дважды? Предположим, что используется более новая или другая модель маршрутизатора или более высокая версия IOS?- Нет, IOS не будет повторно шифровать ключ/пароль, уже имеющийся в типе 6. > Есть ли способ расшифровать ключи/пароль с помощью мастер-ключа? Есть ли инструмент на боксе или вне его?
- Насколько я знаю, нет, хотя теоретически это было бы возможно, если бы у вас был алгоритм Cisco и ключ.
Также заметил, что в ios xe некоторые ключи, которые мы создали для PSK, просто вводятся без шифрования, даже если включено шифрование паролей aes? В чем может быть причина такого поведения?
- Шифрование AES началось с таких вещей, как ключи VPN, и постепенно было расширено на другие пароли и ключи в более новых версиях IOS. Для всего остального по-прежнему требуется «service password-encryption». > Есть ли вероятность того, что маршрутизатор получит свою конфигурацию через tftp или какой-либо другой источник с включенным шифрованием паролей aes и никогда не будет запрашивать у администратора в интерактивном режиме ввод главного ключа, что обычно происходит при первом включении?
— Я почти уверен, что это не работало на старых версиях IOS, но не пробовал на новых версиях. Проведите тщательное тестирование. Но с точки зрения безопасности, ввод вашего мастер-ключа в виде открытого текста в конфигурацию с зашифрованным текстом буквально сводит на нет цель шифрования, поэтому даже не пытайтесь это делать. Если вы собираетесь так раздавать свой мастер-ключ, то просто не тратьте время на шифрование паролей — оставьте их в виде открытого текста.
-
Я знаю, что эта тема уже старая, но у меня не получается преобразовать пароли типа 7 в пароли типа 6 на коммутаторах 3750X 15.2(4)E10. Пароли типа 7 (т. е. имя пользователя, TACACS+, RADIUS) не преобразуются, хотя обе команды принимаются («key config-key password-encrypt» и «password encryption aes»). В чем дело?
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти