簡介
本檔案將說明思科密碼加密背後的安全模式,以及加密的安全限制。
背景
某個思科以外的來源公佈了一項計畫,要解密思科組態檔中的使用者密碼(和其他密碼)。程式不會解密使用 enable secret
指令。該程式在思科使用者中引發的意外擔憂,使得許多使用者懷疑思科密碼加密的安全性要比其設計的安全性高。
注意:思科建議所有Cisco IOS®裝置實施身份驗證、授權和記帳(AAA)安全模型。AAA可以使用本地、RADIUS和TACACS+資料庫。
必要條件
需求
本文件沒有特定需求。
採用元件
本文件所述內容不限於特定軟體和硬體版本。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
慣例
如需文件慣例的詳細資訊,請參閱思科技術提示慣例。
使用者密碼
使用者密碼和大多數其他密碼(不 enable secret
s)在Cisco IOS組態檔中,使用按照現代加密標準非常薄弱的套件進行加密。
雖然思科沒有分發解密程式,但至少有兩種Cisco IOS密碼的解密程式可供公眾在網際網路上使用;思科知道的此類程式的首次公開版本是在1995年初。我們期望所有業餘密碼學家能夠不費多少力氣就能創造一個新的程式。
Cisco IOS用於使用者密碼的方案絕不是為了抵禦確定的智慧攻擊。此加密方案旨在通過簡單的窺探或監聽來避免密碼失竊。它絕不是為了防止有人對配置檔案執行密碼破解。
由於加密演算法較弱,思科一直堅持以下立場:使用者將包含密碼的任何配置檔案視為敏感資訊,與處理密碼的明文清單的方式相同。
enable secret和enable password命令
其 enable password
不再建議使用命令。使用 enable secret
命令提高安全性。唯一一個 enable password
當裝置處於不支援 enable secret
指令。
使能加密使用MD5演算法進行雜湊。據思科人員所知,無法根據配置檔案的內容恢復啟用密碼(除非受到明顯的字典攻擊)。
注意:這僅適用於使用 enable secret
,而不是使用設定密碼 enable password
.實際上,所用加密的強度是兩個命令之間唯一的顯著差異。
哪個Cisco IOS映像支援啟用金鑰?
使用 show version
命令(完整Cisco IOS映像),檢視引導映像是否支援 enable secret
指令。如果是,請刪除 enable password
.如果啟動映像不支援 enable secret
,請注意以下警告:
-
如果您有物理安全性,則可能不需要使用啟用密碼,這樣任何人都無法將裝置重新載入到引導映像。
-
如果有人對裝置具有物理訪問許可權,則無需訪問啟動映像,他們就可以輕鬆破壞裝置安全性。
-
如果您設定了 enable password
與 enable secret
,您已經將 enable secret
像我們一樣, enable password
.
-
如果您設定 enable password
轉換為不同的值,因為啟動映像不支援 enable secret
,您的路由器管理員必須記住一個不常用於不支援 enable secret
指令。使用單獨的啟用密碼時,管理員在強制軟體升級停機時需要記住密碼,這是登入到引導模式的唯一原因。
其他密碼
Cisco IOS配置檔案中幾乎所有密碼和其他身份驗證字串都使用用於使用者密碼的弱可逆方案進行加密。
要確定使用哪種方案加密特定密碼,請在配置檔案中檢查加密字串之前的位數。如果數字是7,則密碼已使用弱演算法加密。如果數字是5,則密碼已使用更強大的MD5演算法進行了雜湊處理。
例如,在組態指令中:
enable secret 5 $1$iUjJ$cDZ03KKGh7mHfX2RSbDqP.
使能加密已使用MD5進行雜湊處理,但在命令中:
username jdoe password 7 07362E590E1B1C041B1E124C0A2F2E206832752E1A01134D
密碼已使用弱可逆演算法加密。
組態檔
在電子郵件中傳送配置資訊時,使用第7類密碼清除配置。您可以使用 show tech-support
命令,預設情況下清除資訊。樣本 show tech-support
命令輸出如下所示:
...
hostname routerA
!
aaa new-model
aaa authentication login default local
aaa authentication ppp default if-needed local
enable secret 5
!
username jdoe password 7
username headquarters password 7
username hacker password 7
...
將組態檔儲存在簡單式檔案傳輸通訊協定(TFTP)伺服器上時,請變更該檔案未使用的許可權,或將其放在防火牆之後。
演算法可以改變嗎?
思科目前沒有計畫支援更強大的Cisco IOS使用者密碼加密演算法。如果思科確實決定將來引入此類功能,則該功能無疑會給選擇使用該功能的使用者帶來額外的管理負擔。
在一般情況下,不能將使用者密碼切換到用於啟用密碼的基於MD5的演算法,因為MD5是單向雜湊,並且密碼根本無法從加密資料中恢復。為了支援某些身份驗證協定(特別是CHAP),系統需要訪問使用者密碼的明文,因此必須使用可逆演算法儲存這些密碼。
金鑰管理問題會使切換到更強的可逆演算法(如資料加密標準(DES))成為一項不平凡的任務。雖然修改Cisco IOS以使用DES加密密碼比較容易,但是如果所有Cisco IOS系統使用相同的DES金鑰,則此方法不會具有安全優勢。如果不同的系統使用不同的金鑰,將會給所有Cisco IOS網路管理員帶來管理負擔,並且會破壞系統之間配置檔案的便攜性。使用者要求更強的可逆密碼加密已經很小。
相關資訊