* es verschlüsselt nicht alles:
* Es verschlüsselt den Verkehr nicht durch den Router.
* Es verschlüsselt keine Passwörter, die bereits mit einem stärkeren Algorithmus (wie MD5 oder SHA) verschlüsselt sind. Mit dem Schlüsselwort "Secret" konfiguriertes Kennwörter werden normalerweise mit einem Einweg-Hash gespeichert, wodurch sie viel schwieriger zu knacken sind.
* Es verschlüsselt keine Kennwörter, die extern gespeichert werden, z. B. die für Radius oder TACACS+ Authentifizierung verwendeten.
*Es verschlüsselt nur Kennwörter, die in der Auslaufkonfiguration *enthalten sind *.
* Wie man sich anwendet: Sie geben den globalen Konfigurationsmodus (`configure terminal`) ein und geben dann" Service Password-Decryption "ein und drücken die Eingabetaste.
Beispiel:
Vor:
`` `
Aktivieren Sie das Passwort Cisco
Linie Vty 0 4
Passwort Cisco
Login
`` `
Nach (nach Ausführen von "Service Password-Decryption"):
`` `
Aktivieren Sie das Passwort 050D1A11031B1B03
Linie Vty 0 4
Passwort 050D1A11031B1B03
Login
`` `
Das "Cisco" -Kennwort wird jetzt verschlüsselt.
Wichtige Überlegungen:
* Sicherheitsschwäche: Wie bereits erwähnt, ist die Verschlüsselung vom Typ 7 relativ schwach. Tools sind online verfügbar, um diese Passwörter zu knacken. Betrachten Sie es als eine grundlegende Sicherheitsebene, keine robuste.
* Best Practices:
* Verwenden Sie `Aktivieren Sie Geheimnis `: Dieser Befehl verwendet einen stärkeren Verschlüsselungsalgorithmus (MD5 oder SHA) für das privilegierte EXEC -Passwort. Verwenden Sie dies immer über `aktivieren Passwort".
* Verwenden Sie `Benutzername Secret `: Dieser Befehl verwendet einen stärkeren Verschlüsselungsalgorithmus (MD5 oder SHA) für Benutzername -Passwörter.
* SSH verwenden, nicht telnet: SSH verschlüsselt die gesamte Sitzung, einschließlich Passwörter, sobald sie eingegeben werden. Telnet sendet Passwörter in PlainText.
* AAA implementieren (Authentifizierung, Autorisierung und Buchhaltung): Verwenden Sie externe Authentifizierungsserver (Radius oder TACACS+) zur Benutzerauthentifizierung. Dies zentriert das Passwortmanagement und bietet häufig stärkere Sicherheitsmaßnahmen.
* reguläre Passwortänderungen: Durchsetzen einer Kennwortänderungsrichtlinie, um das Risiko von kompromittierten Passwörtern zu minimieren.
Zusammenfassend bietet `Service Password-Decryption` eine grundlegende Ebene des Kennwortschutzes, indem Klartextkennwörter in der Konfigurationsdatei des Routers verschlüsselt werden. Es ist jedoch kein Ersatz für starke Kennwortrichtlinien, sichere Authentifizierungsmethoden und eine robustere Verschlüsselungstechniken, sofern verfügbar.