O Cisco Typ 7 Šifrování hesel
Co je šifrování typu 7? Cisco Type 7 je jednoduchá metoda zamlžování, ne skutečné šifrování. Byl navržen v osmdesátých letech, aby zabránil náhodnému pozorování hesel v konfiguračních souborech, ale neposkytuje žádnou skutečnou jistotu proti určeným útočníkům.
Jak typ 7 "Šifrování" funguje:
- Pevná sůl: Typ 7 používá pevný konstantní řetězec: "dsfd; kfoA, .iewrkldJKDHSUBSgvca69834ncxv9873254k; fg87"
- Výběr indexu: První dvě číslice šifrovaného řetězce ukazují, který znak v soli začít s (0-52)
- Operace XOR: Každý znak hesla je XORed s následujícími znaky ze soli
- Kódování hex: Výsledky XOR se převádějí na hexadecimální páry a jsou konkatetovány
Proč je typ 7 nejistý:
- Algorismus byl obnoven a publikován v roce 1995
- Sůl je veřejně známá a nikdy se nemění.
- Je to jednoduchá XOR šifra, ne šifrovací šifra.
- Lze okamžitě prasknout pomocí snadno dostupných nástrojů
- Poskytuje nulovou ochranu proti komukoliv s přístupem k konfiguraci
Útočné vektory:
- SNMP Access: Útočníci mohou dotazovat síťová zařízení přes SNMP, aby získali konfigurace
- Kompromis zálohování serveru: TFTP, FTP nebo SCP servery ukládání záloh mohou být zranitelné
- E-mail: Komunikace TAC často zahrnuje konfigurace
- Insider Hrozby: Každý s přístupem ke konfíkům umí dešifrovat hesla
Doporučení řešení:- Typ 5 (MD5): Použít "povolit tajemství" místo "povolit heslo" - poskytuje jednosměrné MD5 hashing
- Typ 8 (PBKDF2-SHA256): Moderní odvození klíčů na základě hesla (k dispozici na nových IOS verzích)
- Typ 9 (struska): Nejbezpečnější volba, odolná proti útokům na pevném skladu (IOS- XE 16.9 +)
- AA / TACACS +: Centralizovat autentizaci a používat silnější protokoly
- Bezpečná doprava: Vždy používejte SSH místo Telnet, HTTPS místo HTTP
Obhajoba v hloubce:
I s řádným heslem šifrování, implementovat tato bezpečnostní opatření:
- K ochraně řídícího letadla použijte letovou kontrolu (CoPP)
- Provádět seznamy řízení přístupu (ACL) s cílem omezit přístup k řízení
- Secure SNMP se silnými komunitními řetězce a ACL (nebo zakázat, pokud není použit)
- Chraňte konfigurační zálohovací servery se správnou autentizací a šifrováním
- Použití DNSSEC k zabránění otravy DNS útoky
- Zavést přístup k platnému právu a pravidelně otáčet pověřovací listiny
Odkazy:
Vzdělávací účel:
Tento nástroj je poskytován pouze pro vzdělávací účely a autorizované bezpečnostní testování. Ukazuje slabost zastaralých kryptografických metod a zdůrazňuje význam používání moderních, bezpečných ověřovacích mechanismů. Nikdy nepoužívejte tento nástroj pro neoprávněný přístup k systémům.