Podcast 21T36 Cisco – enable password [Łamanie Hasła w 3 min.]

Więcej miejsc do posłuchania:

Spotify

WERSJA TEKSTOWA:

Witam Cię w dzisiejszym odcinku mojego podcastu. Dziś temat łamania hasła enable w routerach, przełącznikach Cisco.

Domyślną metodą enable password było używanie plaintext’u. Tzn, że nie mamy żadnego szyfrowania, jeżeli ktoś widzi hasło – to je po prostu widzi. Pierwotnie Cisco przewidziało zabezpieczenie dla takiego scenariusza w postaci wprowadzenia serwisu szyfrowania. Co ten serwis tak naprawdę wykonuje? Wykonuje on algorytm Vigenère’a – czyli bardzo prosty algorytm podobny do podstawowego algorytmu tłumaczenia kodowania lub do książek kodów z II Wojny Światowej. Oznacza to, że mamy mapowanie konkretnego znaku na konkretny znak. Innymi słowy można potraktować to, iż każdy znak kodowany jest z pewnym przesunięciem w naszej tablicy znaków.

Tak czy inaczej, problem z danym kodem jest taki, że jest on symetryczny. Tym samym, znając wersję zaszyfrowaną i znając sposób działania tego algorytmu i ewentualną jego podatność – można odtworzyć spokojnie plaintext – czyli nasz nie zaszyfrowany tekst. Oznacza to, że takie zabezpieczenie nie nadaje się do niczego. Może jedynie do takiego schematu, iż ktoś nam przez ramię szybko nie zapamięta. Ilość znaków nie jest duża, nie pamiętam w tej chwili, ile ich dokładnie było, ale pewnie ok 8, więc jeżeli ktoś ma w miarę sprawną pamięć, to również może nam takie hasło zapamiętać. Nie ma żadnego problemu, aby w przeglądarce, taką postać zaszyfrowaną wkleić i otrzymać nasze hasło niezaszyfrowane.

Co Cisco postanowiło zaproponować administratorom na taki wypadek? Lata temu zaproponowało użycie funkcji haszującej jednokierunkowej. Jest to funkcja matematyczna, która mówi, że z dowolnego ciągu znaków zrobimy hasza tzn. inny ciąg znaków, który jest określonej długości. Dzięki temu możemy powiedzieć, że znając hasło tekstowe, możemy je wykorzystać do stworzenia hasza, ale nie możemy z hasza odtworzyć tekstowego hasła źródłowego. W związku z tym jest to dużo lepszy poziom zabezpieczenia.

Na dzisiaj zabezpieczenie to nie jest już specjalnie dobre, ponieważ MD5 nie uważa się za funkcję haszującą bezpieczną. To z powodu tego, jaka jest moc obliczeniowa dzisiejszych komputerów i jakie są długości tych haszy. Tak czy inaczej lepiej stosować funkcję MD5, czyli enable secret niż enable password – algorytm symetryczny. Najlepiej, jeśli chodzi o dzisiejszą rekomendację, stosować – nie lokalne uwierzytelnianie i poziom dostępu – a systemy TACACS i Centralny System Uwierzytelniania (CAS). Jest to bez wątpienia nowocześniejszy sposób zabezpieczenia dostępu administracyjnego oraz bardziej bezpieczny.

W zależności od tego, jaką masz sytuację i co chcesz wykorzystać – polecam przynajmniej funkcję MD5. Jeżeli nowsze urządzenia oferują inną funkcję haszującą – takie współczesne to SHA256 bądź SHA512 – to oczywiście warto wybrać dłuższą funkcję haszującą. Trudniej jest taki hasz odtworzyć, ponieważ założenie jest takie, że dany ciąg znaków tworzy tylko jeden unikalny hasz. W zależności od wielkości tego hasza, jest to prawdą w przybliżeniu większym lub mniejszym. Z punktu widzenia szyfrowania takiego hasła, to oczywiście rozwiązanie wystarczające. Tego typu konstrukcje warto u siebie wdrożyć i sprawdzić, czy nie używasz zabezpieczeń, które są już nieaktualne a z tym należy być na bieżąco, ponieważ technologia idzie na przód, moce obliczeniowe również, pojawiają się nowe błędy oraz narzędzia, które potrafią łatwo łamać starsze rozwiązania. Jest ich niemało.

Jeżeli chciałbyś zobaczyć, jak to wykonać w praktyce, to w poniedziałek pojawi się przykład takiej konfiguracji, będę omawiał, jak to zrobić. Film trwa do 3 min, więc bardzo szybko można wykonać łamanie takiego hasła, jeżeli nie wykorzystujesz funkcji haszującej.

Na dziś to tyle, dziękuję Ci za uwagę.

Autor: Darek Koralewski

Od początku swojej kariery, czyli od 2004 roku, zajmuję się sieciami komputerowymi ze szczególnym uwzględnieniem ich bezpieczeństwa oraz sieciami programowalnymi. Mam na swoim koncie całą listę certyfikatów różnych producentów, dwa najważniejsze to te poświadczające najwyższy poziom wiedzy eksperckiej z zakresu rozwiązań Aruba ClearPass ACCX#901 oraz z projektowania sieci opartych o rozwiązania Aruba ACDX#1255. Więcej informacji możesz znaleźć na moich portalach społecznościowych.