Cisco Type 7 Password Encoder/Decoder

Olvasható még:

Cisco Type 7 jelszó kódoló / dekódoló

A Cisco 7-es típusú jelszó titkosításának gyengeségét bemutató oktatási eszköz. Egyszerű szöveg kódolása a 7-es típusba vagy a 7-es típus dekódolása a egyszerű szövegbe.

- Biztonsági figyelmeztetés: A Cisco 7-es típusú titkosítás NEM biztonságos, és 1995-ben feltörték. Egyszerű XOR titkosítást használ, ismert állandóval, és soha nem szabad a biztonságra támaszkodni. Az 5. típus (MD5), a 8. típus (PBKDF2- SHA256) vagy a 9. típus (scrypt) alkalmazása a gyártási környezethez.

A 7. típusú dekódolás jelszava

Átalakít egy titkosított 7-es típusú jelszót a plaintexre.

Titkosított 7-es típusú jelszó:

Dekódolási eredmények

Titkosított jelszó:

Plaintext jelszó:

Sós index:

A 7. típusú jelszó kódolása

Átkonvertálja a nyílt szöveget 7-es típusú titkosított formátumra (csak tesztelési / oktatási célokra).

Plaintext jelszó:

Speciális beállítások megjelenítése

Só Index (0-52, hagyja üresen véletlenszerűen):

Megjegyzés: A Cisco eszközök véletlenszerűen választják ki a sóindexet. Véletlenszerűen utánozza az igazi eszközt.

Kódolási eredmények

Plaintext jelszó:

Kódolt 7. típus:

Használt sóindex:

Cisco típus 7 jelszó kódolás

Mi a 7-es típusú titkosítás? Cisco Type 7 egy egyszerű obfuscation módszer, nem igazi titkosítás. Az 1980-as években tervezték, hogy megakadályozzák a jelszavak alkalmi megfigyelését a konfigurációs fájlokban, de nem biztosít valós biztonságot a meghatározott támadókkal szemben.

Hogyan működik a 7-es típusú "titkosítás":

Rögzített só: Típus 7 használ egy keménykódolt állandó string: "dsfd; kfoA, .iyewrkldJKDHSUBsgvc69834ncxv9873254k; fg87"
Index kiválasztása: A titkosított sztring első két számjegye jelzi, hogy a sóban melyik karakter kezdődik (0- 52)
XOR művelet: Minden karakter a jelszó XORED egymást követő karakter a só
Hex kódolás: A XOR-eredményeket hexadecimális párokra alakítjuk át, és konkatenáljuk

Miért nem biztonságos a 7. típus:

Az algoritmust visszaalakították és 1995-ben tették közzé
A só nyilvános, és soha nem változik
Ez egy egyszerű XOR kódoló, nem titkosítás.
Azonnal meg lehet törni a rendelkezésre álló eszközökkel
Zéró védelmet nyújt bárki ellen, aki hozzáférhet a konfigurációhoz

Támadás Vectors:

SNMP hozzáférés: A támadók lekérdezhetnek hálózati eszközöket az SNMP-n keresztül a konfigurációk letöltéséhez
Erősítés kiszolgáló kompromisszum: A TFTP, FTP vagy SCP-szerverek biztonsági mentéseket tárolhatnak.
E-mail felvétel: A TAC-kommunikáció gyakran tartalmazza a konfigurációkat
Belső fenyegetések: Bárki, aki hozzáférhet a configs-hoz, meg tudja fejteni a jelszavakat.

Az ajánlott megoldások:

típus (MD5): Az "engedélyezd a titkot" a "add meg a jelszót" helyett - egyirányú MD5 bontást biztosít
típus (PBKD2- SHA256): Modern jelszavakon alapuló kulcslevezetés (újabb IOS verziókon érhető el)
típus (scrypt): A legbiztonságosabb opció, amely ellenáll a hardver alapú támadásoknak (IOS- XE 16.9 +)
AAA / TACACS +: A hitelesítés központosítása és erősebb protokollok használata
Biztonságos szállítás: Mindig SSH-t használjon Telnet helyett, HTTPS HTTP helyett

Defense in Defth:

Még megfelelő jelszóval is hajtsa végre ezeket a biztonsági intézkedéseket:

Vezérlőgép Policing (CoPP) használata az irányítási sík védelmére
Hozzáférés-ellenőrzési listák (ACL-ek) végrehajtása a vezetői hozzáférés korlátozása érdekében
Biztonságos SNMP erős közösségi húrok és ACL (vagy tiltsa le, ha nem használt)
Konfigurációs mentési szerverek védelme megfelelő hitelesítéssel és titkosítással
A DNSSEC használata a DNS mérgezés megelőzésére
A minimális privilégiumhoz való hozzáférés végrehajtása és a mandátumok rendszeres váltása

Hivatkozás:

Oktatási cél:

Ez az eszköz oktatási célokra és csak engedélyezett biztonsági vizsgálatokra szolgál. Bizonyítja az elavult kriptográfiai módszerek gyengeségét, és kiemeli a modern, biztonságos hitelesítési mechanizmusok használatának fontosságát. Soha ne használja ezt az eszközt jogosulatlan hozzáférés rendszerek.