Szyfrowanie haseł dostępu

Damian Stelmach

Pierwszą czynnością jaką powinien wykonać administrator przed rozpoczęciem konfiguracji każdego urządzenia sieciowego jest zabezpieczenie dostępu do tejże konfiguracji poprzez hasło. Na przełącznikach CISCO możemy skonfigurować hasło wymagane przy logowaniu się do panelu konfiguracyjnego (konsoli CLI), a także hasło wymagane w celu przejścia do trybu uprzywilejowanego. Przypomnijmy:

  • Switch> enable
  • Switch# conf t
  • Switch(config)# line console 0
  • Switch(config-line)# password cisco
  • Switch(config-line)# login

Wykonanie tych poleceń utworzy nam hasło (cisco) wymagane do połączenia konsolowego. Z kolei wydanie tych poleceń:

  • Switch> enable
  • Switch# conf t
  • Switch(config)# enable password cisco

uruchomi nam hasło wymagane podczas przejścia do tryby uprzywilejowanego. Utworzenie haseł za pomocą tych metod nie gwarantuje pełnego bezpieczeństwa, ponieważ hasła w pamięci urządzenia przechowywane są jawnym tekstem. Można je odczytać, uruchamiając w trybie uprzywilejowanym poleceniem show running-config plik konfiguracyjny. Część jego zawartości, razem z hasłami widoczna jest poniżej:

Hasła Cisco

Istnieje kilka metod, które pozwalają nam zabezpieczyć hasła zapisane w pliku konfiguracyjnym. Pierwsza z nich to zaszyfrowanie haseł metodą Vigenere (poziom 7 szyfrowania). Aby takie szyfrowanie utworzonych już haseł zrealizować, wystarczy w trybie konfiguracji wykonać polecenie service password-encryption. Od tego momentu, wszystkie zapisane hasła na urządzeniu będą szyfrowane właśnie metodą Vigenere:

Service password encryption

Niestety szyfrowanie czegokolwiek na poziomie 7, nie daje żadnych gwarancji bezpieczeństwa, ponieważ jest to bardzo łatwa do odwrócenia metoda. Z łatwością można znaleźć w sieci wiele stron, które po podstawie skopiowanego ciągu znaków potrafią odwrócić to szyfrowanie:

Crackowanie hasła

Jak zatem widać i to rozwiązanie nie daje nam żadnych gwarancji bezpieczeństwa, dlatego warto przyjrzeć się innej metodzie. Dużo bezpieczniejsza i bardziej skuteczna będzie metoda szyfrowania wykorzystująca algorytm MD5crypt (nie mylić ze "zwykłym" MD5 - dużo słabszym algorytmem haszowania). Jest to metoda, dzięki której nie da się trywialnie łatwo odczytać hasła z przechwyconego ciągu znakowego, przez co jest dużo bardziej skuteczna. Aby wykorzystać algorytm MD5crypt do zaszyfrowania hasła przejścia do trybu uprzywilejowanego należy wykonać następujące polecenia:

  • Switch> enable
  • Switch# conf t
  • Switch(config)# enable secret cisco

Kluczowym jest tutaj polecenie secret, które odpowiada właśnie za szyfrowanie algorytmem MD5crypt. Od momentu wykonania tego polecenia hasło przejścia do trybu uprzywilejowanego zapisane będzie na urządzeniu w postaci zaszyfrowanego ciągu znaków:

Cisco password md5

Dla zwiększenia bezpieczeństwa powinniśmy jeszcze usunąć hasło zaszyfrowane na poziomie 7. Do realizacji tej czynności należy wykonać w trybie konfiguracji polecenie no enable password.