Szyfrowanie haseł dostępu
Damian Stelmach
Pierwszą czynnością jaką powinien wykonać administrator przed rozpoczęciem konfiguracji każdego urządzenia sieciowego jest zabezpieczenie dostępu do tejże konfiguracji poprzez hasło. Na przełącznikach CISCO możemy skonfigurować hasło wymagane przy logowaniu się do panelu konfiguracyjnego (konsoli CLI), a także hasło wymagane w celu przejścia do trybu uprzywilejowanego. Przypomnijmy:
- Switch> enable
- Switch# conf t
- Switch(config)# line console 0
- Switch(config-line)# password cisco
- Switch(config-line)# login
Wykonanie tych poleceń utworzy nam hasło (cisco) wymagane do połączenia konsolowego. Z kolei wydanie tych poleceń:
- Switch> enable
- Switch# conf t
- Switch(config)# enable password cisco
uruchomi nam hasło wymagane podczas przejścia do tryby uprzywilejowanego. Utworzenie haseł za pomocą tych metod nie gwarantuje pełnego bezpieczeństwa, ponieważ hasła w pamięci urządzenia przechowywane są jawnym tekstem. Można je odczytać, uruchamiając w trybie uprzywilejowanym poleceniem show running-config
plik konfiguracyjny. Część jego zawartości, razem z hasłami widoczna jest poniżej:
Istnieje kilka metod, które pozwalają nam zabezpieczyć hasła zapisane w pliku konfiguracyjnym. Pierwsza z nich to zaszyfrowanie haseł metodą Vigenere (poziom 7 szyfrowania). Aby takie szyfrowanie utworzonych już haseł zrealizować, wystarczy w trybie konfiguracji wykonać polecenie service password-encryption
. Od tego momentu, wszystkie zapisane hasła na urządzeniu będą szyfrowane właśnie metodą Vigenere:
Niestety szyfrowanie czegokolwiek na poziomie 7, nie daje żadnych gwarancji bezpieczeństwa, ponieważ jest to bardzo łatwa do odwrócenia metoda. Z łatwością można znaleźć w sieci wiele stron, które po podstawie skopiowanego ciągu znaków potrafią odwrócić to szyfrowanie:
Jak zatem widać i to rozwiązanie nie daje nam żadnych gwarancji bezpieczeństwa, dlatego warto przyjrzeć się innej metodzie. Dużo bezpieczniejsza i bardziej skuteczna będzie metoda szyfrowania wykorzystująca algorytm MD5crypt (nie mylić ze "zwykłym" MD5 - dużo słabszym algorytmem haszowania). Jest to metoda, dzięki której nie da się trywialnie łatwo odczytać hasła z przechwyconego ciągu znakowego, przez co jest dużo bardziej skuteczna. Aby wykorzystać algorytm MD5crypt do zaszyfrowania hasła przejścia do trybu uprzywilejowanego należy wykonać następujące polecenia:
- Switch> enable
- Switch# conf t
- Switch(config)# enable secret cisco
Kluczowym jest tutaj polecenie secret
, które odpowiada właśnie za szyfrowanie algorytmem MD5crypt. Od momentu wykonania tego polecenia hasło przejścia do trybu uprzywilejowanego zapisane będzie na urządzeniu w postaci zaszyfrowanego ciągu znaków:
Dla zwiększenia bezpieczeństwa powinniśmy jeszcze usunąć hasło zaszyfrowane na poziomie 7. Do realizacji tej czynności należy wykonać w trybie konfiguracji polecenie no enable password
.
Polecamy: Sekurak Academy 2024
Akademia Sekuraka 2024 zapewnia dostęp do minimum 15 szkoleń online z bezpieczeństwa IT oraz dostęp do materiałów z edycji Sekurak Academy z roku 2023! Przy zakupie możecie skorzystać z kodu: pasja-akademia w koszyku, uzyskując rabat -30% na bilety w wersji "Standard" - warto korzystać! Więcej szczegółów znajdziecie tutaj.
Książka: Wprowadzenie do bezpieczeństwa IT
Niedawno wystartował dodruk świetnej, rozchwytywanej książki pt. "Wprowadzenie do bezpieczeństwa IT, Tom I" (około 940 stron). Mamy dla Was kod: pasja (wpisz go w koszyku), dzięki któremu otrzymacie 10% zniżki - dziękujemy zaprzyjaźnionej ekipie Sekuraka za taki bonus dla naszych Widzów! Jest to pierwszy tom serii o ITsec, który wprowadzi w świat bezpieczeństwa IT każdą osobę - warto, polecamy!
Pomóż dzieciom
Polska Akcja Humanitarna od wielu lat dożywia dzieci. Prosimy, poświęć teraz dosłownie chwilę i pomóż klikając w oznaczony strzałką zielony brzuszek Pajacyka. Dziękujemy!
Komentarze
Czy macie jakieś pytania, sugestie, uwagi? A może zauważyliście literówkę albo błąd? Dajcie koniecznie znać w komentarzach! Dziękujemy Wam za poświęcony na to czas!
Disqus