Cisco tüüp 7 parooli krüpteerimine
Mis on tüüp 7 krüpteerimine? Cisco tüüp 7 on lihtne segamise meetod, mitte tõeline krüpteerimine. See loodi 1980. aastatel, et vältida paroolide juhuslikku jälgimist konfiguratsioonifailides, kuid see ei paku tõelist turvalisust kindlate ründajate vastu.
Kuidas tüüp 7 "Krüpteerimine" töötab:
- Fikseeritud sool: Tüüp 7 kasutab püsikoodiga stringi: "dsfd;kfoA,.iyewrkldJKDHSUBsgvca69834ncxv9873254k;fg87"
- Indeksi valik: Krüpteeritud stringi kaks esimest numbrit näitavad, millise märgiga soolas alustada (0-52)
- XOR operatsioon: Parooli iga märk on XORed koos soola järjestikuste märkidega
- Hex kodeering: XOR-tulemused teisendatakse kuueteistkümnendsüsteemi paarideks ja konateneeritakse
Miks tüüp 7 on ebakindel:
- Algoritm oli pöördprojekteeritud ja avaldati 1995. aastal.
- Sool on avalikult teada ja ei muutu kunagi
- See on lihtne XOR-i šifreerimine, mitte krüptograafiline krüpteerimine.
- Neid saab koheselt kasutada kergesti kättesaadavate tööriistadega.
- Pakub nullkaitset kõigi vastu, kellel on juurdepääs konfiguratsioonile
Rünnaku vektorid:
- SNMP Access: Ründajad saavad SNMP kaudu võrguseadmetelt konfiguratsioonide hankimiseks päringuid teha
- Varuserveri kompromiss: TFTP, FTP või SCP serverid, mis salvestavad varukoopiaid, võivad olla haavatavad.
- E- posti pealtkuulamine: TAC side hõlmab sageli konfiguratsioone
- Siseringi ohud: Igaüks, kellel on lugemisõigus seadistustele, võib paroolid dekrüpteerida
Soovituslikud lahendused:- Tüüp 5 (MD5): Kasutage "luba salasõna" asemel "luba salasõna" - pakub ühesuunalist MD5 räsimist
- Tüüp 8 (PBKDF2-SHA256): Kaasaegne paroolipõhine võtmetuletis (saadaval uuematel IOS-i versioonidel)
- Tüüp 9 (krüpt): Kõige turvalisem variant, vastupidav riistvarapõhistele rünnakutele (IOS-XE 16.9+)
- AAA/TACACS+: Tsentraliseerida autentimine ja kasutada tugevamaid protokolle
- Turvaline transport: Kasutage alati Telneti asemel SSH-d, HTTP asemel HTTPS-i
Kaitse sügavuses:
Isegi õige parooli krüpteerimise korral rakendage neid turvameetmeid:
- Juhtimisplaani politsei (CoPP) kasutamine lennuki kaitsmiseks
- Juurdepääsu kontrollnimekirjade (ACL) rakendamine juhtkonna juurdepääsu piiramiseks
- Turvaline SNMP tugevate kogukondlike stringide ja ACL-idega (või keelata, kui neid ei kasutata)
- Konfiguratsiooni varuserverite kaitsmine nõuetekohase autentimise ja krüptimisega
- Kasutage DNSSEC-i, et vältida DNS-i mürgistusrünnakuid
- Vähemprivileegilise juurdepääsu rakendamine ja volituste korrapärane roteerimine
Viited:
Hariduslik eesmärk:
See tööriist on mõeldud ainult hariduslikel eesmärkidel ja lubatud turvalisuse testimiseks. See näitab vananenud krüptograafiliste meetodite nõrkust ja rõhutab kaasaegsete turvaliste autentimismehhanismide kasutamise tähtsust. Ärge kunagi kasutage seda tööriista volitamata juurdepääsuks süsteemidele.