Cisco Type 7 Password Encoder/Decoder
Encodeur/décodeur de mot de passe Cisco Type 7
Outil éducatif pour démontrer la faiblesse du chiffrement de mot de passe Cisco de type 7. Encoder le texte clair dans Type 7 ou décoder le type 7 dans le texte clair.
Mot de passe de type 7
Convertir un mot de passe de type 7 chiffré en texte simple.
Encoder le mot de passe de type 7
Convertir le texte clair en format chiffré de type 7 (à des fins de test/éducation seulement).
À propos de Cisco Type 7 Chiffrement du mot de passe
Qu'est-ce que le chiffrement de type 7? Cisco Type 7 est une méthode d'obfuscation simple, pas un chiffrement vrai. Il a été conçu dans les années 1980 pour empêcher l'observation occasionnelle des mots de passe dans les fichiers de configuration, mais il ne fournit aucune sécurité réelle contre les attaquants déterminés.
Comment fonctionne le « chiffrement » de type 7 :
- Sel fixe: Type 7 utilise une chaîne constante codée en dur: "dsfd;kfoA,.iyewrkldJKDHSUBsgvca69834ncxv9873254k;fg87"
- Sélection de l'index : Les deux premiers chiffres de la chaîne chiffrée indiquent le caractère dans le sel à commencer par (0-52)
- Opération XOR: Chaque caractère du mot de passe est XORé avec des caractères successifs du sel
- Encodage Hex : Les résultats XOR sont convertis en paires hexadécimales et concaténées
Pourquoi le type 7 n'est pas sûr:
- L'algorithme a été modifié et publié en 1995
- Le sel est publiquement connu et ne change jamais
- C'est un simple chiffrement XOR, pas un chiffrement cryptographique
- Peut être craqué instantanément avec des outils facilement disponibles
- Fournit une protection zéro contre toute personne ayant accès à la configuration
Vecteurs d'attaque :
- Accès SNMP : Les attaquants peuvent interroger des périphériques réseau via SNMP pour récupérer des configurations
- Compromis serveur de sauvegarde : Les serveurs TFTP, FTP ou SCP stockant des sauvegardes peuvent être vulnérables
- Interception par courriel : Les communications TAC incluent souvent des configurations
- Menaces d'initié : Toute personne ayant accès en lecture à configs peut déchiffrer les mots de passe
- Type 5 (MD5): Utiliser "facile secret" au lieu de "facile mot de passe" - fournit un hachage MD5 à sens unique
- Type 8 (PBKDF2-SHA256): Dérivation de clé par mot de passe moderne (disponible sur les versions IOS plus récentes)
- Type 9 (crypter): Option la plus sécurisée, résistante aux attaques matérielles (IOS-XE 16.9+)
- AAA/TACACS+: Centraliser l'authentification et utiliser des protocoles plus forts
- Transport sécurisé: Utilisez toujours SSH au lieu de Telnet, HTTPS au lieu de HTTP
Défense en profondeur :
Même avec un cryptage approprié du mot de passe, implémentez ces mesures de sécurité :
- Utiliser la police des plans de contrôle pour protéger les plans de gestion
- Mettre en place des listes de contrôle d'accès (LAC) pour limiter l'accès de la gestion
- Sécuriser SNMP avec des chaînes communautaires fortes et des ACL (ou désactiver si inutilisé)
- Protégez les serveurs de sauvegarde de configuration avec une authentification et un chiffrement appropriés
- Utiliser DNSSEC pour prévenir les attaques d'empoisonnement DNS
- Mettre en œuvre l'accès le moins privilège et faire pivoter régulièrement les pouvoirs
Références:
- Types de mot de passe Cisco et chiffrement
- RFC 2898: Spécifications PBKDF2
- SANS: Vulnérabilité du mot de passe Cisco IOS Type 7
Objectif éducatif :
Cet outil est fourni à des fins éducatives et des tests de sécurité autorisés seulement. Il démontre la faiblesse des méthodes cryptographiques dépassées et souligne l'importance d'utiliser des mécanismes d'authentification modernes et sécurisés. Ne jamais utiliser cet outil pour un accès non autorisé aux systèmes.