Zabezpieczenie haseł dostępu urządzenia sieciowego przy użyciu MD5 – dlaczego nie korzystać z metody Vigenere?

Dobra praktyka dotycząca szyfrowania haseł dostępu

Pierwsza rzecz o jakiej powinien pamiętać, a następnie wykonać administrator przed wykonywaniem konfiguracji niemalże wszystkich urządzeń sieciowych wiążę się z zabezpieczeniem dostępu do konfiguracji przy wykorzystaniu hasła.

Jeżeli interesuje Cię ten temat w formie video – Kliknij

Konfigurowanie haseł na urządzeniu CISCO

Sprzęt producenta CISCO daje nam możliwość skonfigurowania hasła wymaganego do zalogowania się do panelu konfiguracyjnego z linie poleceń (CLI), dodatkowo wymaga się hasła jakie ma posłużyć do przejścia do trybu uprzywilejowanego.

Zabezpieczenie hasła na Routerze – przykładowa topologia

Topologia do zadania

Powyższa topologia zawiera:

  1. Dwie stacje robocze (H1,H2)
  2. Przełącznik (SW1)
  3. Router (R1)

Konfiguracja haseł na R1 zawiera:

  1. Stworzenie hasła (test), które jest wymagane do połączenia konsolowego poprzez poniższe komendy:
Router>en
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#line console 0
Router(config)#line console 0
Router(config-line)#password test
Router(config-line)#login
  1. Stworzenie hasła (test), które jest konieczne do uruchomienia trybu uprzywilejowanego przez poniższe komendy:
Router>enable
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#enable password test

Konfiguracja haseł tymi dwoma metodami nie jest w żaden sposób bezpieczna. Hasła są przechowywane w pamięci urządzenia jako jawny tekst. Odczytanie ich wymaga uruchomienia w trybie uprzywilejowanym komendy:

Show running-config

Wynik polecenia show running-config na R1:

Widoczne hasło

Powyższy wynik polecenia wyświetla pełne hasło jako jawny tekst – tak nie powinno być.

Zabezpieczenie haseł zapisanych w pliku konfiguracyjnym:

  1. Szyfrowanie haseł dzięki metodzie Vigenere (7 poziom szyfrowania) – w celu zaszyfrowania stworzonych haseł należy w trybie konfiguracji wydać komendę:
service password-encryption
R1:
User Access Verification
Password:
Router>en
Password:
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#service password-encryption

Wynik polecenia show running-config na R1 po metodzie Vigenere:

Hasło jako poziom 7

Metoda Vigenere a znikoma gwarancja bezpieczeństwa

Co prawda metoda Vigenere (7 poziom szyfrowania) szyfruje w pewien sposób, ale nie można mówić o jakiejkolwiek gwarancji bezpieczeństwa. Wiele stron w Internecie na podstawie skopiowanego ciągu znaków są w stanie odszyfrować hasło:

Jak generować hasło
  • Druga metoda szyfrowania wykorzystująca algorytm MD5 jest o wiele bezpieczniejsza, odczytanie hasła z hashu nie należy do najprostszych (dlatego jest tak efektywna) – w celu wykorzystania algorytmu MD5 do hashowania należy użyć komendy:
enable secret cisco 
R1:
User Access Verification
Password:
Router>en
Password:
Router#en
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#enable secret cisco

Wynik polecenia show running-config na R1 po metodzie algorytmu MD5:

Zaszyfrowane hasło

Bardzo ważne w komendzie jest słowo secret jakie jest odpowiedzialne za hash algorytmem MD5. Na R1 hasło będzie miał postać hashu. Dodatkowo na sam koniec warto usunąć hasło zaszyfrowanego na poziomie 7 w trybie konfiguracji przez komendę:

no enable password