Das Hinzufügen von "Global Command Service Password Encryption" zur Konfiguration eines Routers hat das folgende Ergebnis:

verschlüsselt alle * unverschlüsselte * Passwörter in der Konfigurationsdatei des Routers.

Hier ist eine Aufschlüsselung:

* `Service Password-Cryption` (globaler Konfigurationsbefehl): Dieser Befehl wird verwendet, um Kennwörter zu verschlüsseln, die in der Konfigurationsdatei gespeichert sind. Es ist eine Sicherheitsmaßnahme, um die nicht autorisierte Anzeige von Passwörtern in Klartext zu verhindern.

* was es verschlüsselt: Es verschlüsselt speziell Kennwörter, die in einem menschlich lesbaren, * unverschlüsselten * Format in der Konfiguration gespeichert sind. Dies enthält normalerweise Passwörter für:

* `Enable Secret ` (das privilegierte EXEC -Modus Passwort)

* `Zeile vty 0 15 Passwort ` (Telnet/SSH -Zeilenkennwörter)

* `Benutzername Passwort ` (lokale Benutzerdatenbankkennwörter)

* `userername Secret ` (Dieser Eintrag wird nicht verschlüsselt)

* Andere Stellen, an denen in der Konfiguration `Passwort ` verwendet wird.

* Verschlüsselungsalgorithmus: Cisco IOS verwendet zu diesem Zweck einen relativ schwachen, proprietären Verschlüsselungsalgorithmus (Typ 7 -Verschlüsselung). Es ist besser als Klartext, aber es wird nach modernen Maßstäben nicht als sehr sicher angesehen. Daher wird empfohlen, sie mithilfe eines stärkeren Passworts wie "Enable Secret" oder "Benutzername Geheimnis

* es verschlüsselt nicht alles:

* Es verschlüsselt den Verkehr nicht durch den Router.

* Es verschlüsselt keine Passwörter, die bereits mit einem stärkeren Algorithmus (wie MD5 oder SHA) verschlüsselt sind. Mit dem Schlüsselwort "Secret" konfiguriertes Kennwörter werden normalerweise mit einem Einweg-Hash gespeichert, wodurch sie viel schwieriger zu knacken sind.

* Es verschlüsselt keine Kennwörter, die extern gespeichert werden, z. B. die für Radius oder TACACS+ Authentifizierung verwendeten.

*Es verschlüsselt nur Kennwörter, die in der Auslaufkonfiguration *enthalten sind *.

* Wie man sich anwendet: Sie geben den globalen Konfigurationsmodus (`configure terminal`) ein und geben dann" Service Password-Decryption "ein und drücken die Eingabetaste.

Beispiel:

Vor:

`` `

Aktivieren Sie das Passwort Cisco

Linie Vty 0 4

Passwort Cisco

Login

`` `

Nach (nach Ausführen von "Service Password-Decryption"):

`` `

Aktivieren Sie das Passwort 050D1A11031B1B03

Linie Vty 0 4

Passwort 050D1A11031B1B03

Login

`` `

Das "Cisco" -Kennwort wird jetzt verschlüsselt.

Wichtige Überlegungen:

* Sicherheitsschwäche: Wie bereits erwähnt, ist die Verschlüsselung vom Typ 7 relativ schwach. Tools sind online verfügbar, um diese Passwörter zu knacken. Betrachten Sie es als eine grundlegende Sicherheitsebene, keine robuste.

* Best Practices:

* Verwenden Sie `Aktivieren Sie Geheimnis `: Dieser Befehl verwendet einen stärkeren Verschlüsselungsalgorithmus (MD5 oder SHA) für das privilegierte EXEC -Passwort. Verwenden Sie dies immer über `aktivieren Passwort".

* Verwenden Sie `Benutzername Secret `: Dieser Befehl verwendet einen stärkeren Verschlüsselungsalgorithmus (MD5 oder SHA) für Benutzername -Passwörter.

* SSH verwenden, nicht telnet: SSH verschlüsselt die gesamte Sitzung, einschließlich Passwörter, sobald sie eingegeben werden. Telnet sendet Passwörter in PlainText.

* AAA implementieren (Authentifizierung, Autorisierung und Buchhaltung): Verwenden Sie externe Authentifizierungsserver (Radius oder TACACS+) zur Benutzerauthentifizierung. Dies zentriert das Passwortmanagement und bietet häufig stärkere Sicherheitsmaßnahmen.

* reguläre Passwortänderungen: Durchsetzen einer Kennwortänderungsrichtlinie, um das Risiko von kompromittierten Passwörtern zu minimieren.

Zusammenfassend bietet `Service Password-Decryption` eine grundlegende Ebene des Kennwortschutzes, indem Klartextkennwörter in der Konfigurationsdatei des Routers verschlüsselt werden. Es ist jedoch kein Ersatz für starke Kennwortrichtlinien, sichere Authentifizierungsmethoden und eine robustere Verschlüsselungstechniken, sofern verfügbar.