какая команда не позволит просмотреть все незашифрованные пароли

Пароль enable и Секретный Пароль enable

Следующие команды используются, чтобы устанавливать пароли:

Router(config)#enable password пароль
Router(config)#enable secret пароль

Switch>enable
% No password set
Switch>

Пароль VTY

Линии vty предоставляют доступ к маршрутизатору через Telnet. По умолчанию многие устройства Cisco поддерживают пять линий VTY, которые нумеруются от 0 до 4. Пароль должен быть установлен для всех доступных линий vty. Один и тот же пароль может быть установлен для всех соединений. Однако, часто требуется, чтобы для одной из линий устанавливается уникальный пароль, чтобы обеспечить альтернативную запись при подключении администратора, если другие соединения используются.

Следующие команды применяются, чтобы установить пароль на линии vty:

Router(config)#line vty 0 4
Router(config-line)#password пароль
Router(config-line)#login

Шифрование Отображения Пароля

Эта команда заставляет шифровать пароли при их конфигурации. Команда service password-encryption применяет слабое шифрование ко всем незашифрованным паролям. Это шифрование не применяется к паролям, когда они отправляются через носитель, а используется только в конфигурации. Цель этой команды состоит в том, чтобы воспрепятствовать неправомочным людям подсмотреть пароли в конфигурационном файле.

Источник

КОНТРОЛЬНО-ИЗМЕРИТЕЛЬНЫЕ МАТЕРИАЛЫ по дисциплине ОП.13 КОМПЬЮТЕРНЫЕ СЕТИ по специальности Сети связи и системы коммутации

1 КОНТРОЛЬНО-ИЗМЕРИТЕЛЬНЫЕ МАТЕРИАЛЫ по дисциплине ОП.13 КОМПЬЮТЕРНЫЕ СЕТИ по специальности Сети связи и системы коммутации 2016

2 Вариант Посмотрите на рисунок. Какой термин правильно определяет тип устройства, приведенного в области В? a) устройство-источник b) конечное устройство c) передающее устройство d) промежуточное устройство 2. Какое утверждение описывает сеть с поддержкой качества обслуживания (QoS)? a) Сбой затрагивает минимальное количество устройств. b) Сеть должна иметь возможность расширения в соответствии с потребностями пользователей. c) Сеть обеспечивает прогнозируемые уровни обслуживания для различных типов трафика. d) Данные, передаваемые по сети, в процессе передачи не изменяются. 3.Что такое Вики? a) личный журнал, размещенный в сети Интернет b) звуковая среда, которая используется для доставки информации широкой аудитории c) веб-страница, которую могут просматривать и редактировать группы пользователей d) интернет-конференция 4. Сетевой администратор забыл аргумент команды операционной системы IOS. Как он может получить справку из интерфейса командной строки операционной системы IOS, чтобы правильно ввести эту команду? a) Ввести help и нажать клавишу Enter при появлении на экране соответствующего запроса. b) Ввести данную команду и нажать клавишу?. c) Ввести данную команду и нажать клавишу Tab. d) Ввести данную команду, затем ввести help и нажать клавишу Enter. e) Ввести данную команду, а затем нажать сочетание клавиш CTRL-C. 5. С помощью какой команды командной строки CLI можно попасть из привилегированного режима в пользовательский? a) enable b) configure terminal c) interfase [idint] d) disable 6. Какой вариант доставки сообщений используется в том случае, когда все устройства должны получить одно и то же сообщение одновременно? a) дуплексная передача b) одноадресная рассылка c) многоадресная рассылка d) широковещательная рассылка

3 7. Какая организация занимается разработкой семейства стандартов 802 для проводных и беспроводных локальных и городских сетей? a) ISOC b) ITU-T c) IEEE d) ISO e) IANA 8. Сколько уровней содержит в себе модель сетевого взаимодействия OSI? a) 7 b) 6 c) 5 d) 4 9. Каким общим термином описывают данные на любом уровне модели сети? a) блок протокольных данных b) пакет c) сегмент d) кадр 10. Какое действие предпринимает коммутатор второго уровня при получении широковещательного кадра такого же уровня? a) Сбрасывает кадр. b) Отправляет данный кадр на все порты, кроме порта, получившего этот кадр. c) Отправляет этот кадр на все порты, зарегистрированные для пересылки широковещательных пакетов. d) Отправляет кадр на все порты. 11. Какова характеристика топологии «звезда» глобальной вычислительной среды? a) Она требует, чтобы некоторые узлы разветвления были взаимоподключены посредством соединения «точка-точка». b) Она требует, чтобы все узлы были взаимоподключены посредством соединения «точка-точка». c) Для всех узлов требуется наличие устройства-концентратора, подключённого к маршрутизатору. d) Узлы разветвления подключены к центральному узлу посредством соединения «точка-точка» бит/с можно записать как: a) 1 Гбит/с b) 10 Гбит/с c) 100 Гбит/с 13. Заполните пустое поле. 8-битное двоичное значение для числа 41 имеет следующий вид: a) b) c) d) Заполните пустое поле. Наиболее короткий сжатый формат IPv6-адреса 2001:0DB8:0000:1470:0000:0000:0000:0200 имеет следующий вид: a) 2001:DB8:0:1470::200

4 b) 2001:DB8:0:1470::0200 c) 2001:DB8::1470:0200 d) 2001:DB8:0:147:: Какие две компоненты являются компонентами адреса IPv4? a) логическая часть, часть подсети b) сетевая часть, узловая часть c) физическая часть, часть широковещательной рассылки d) сетевая часть, часть подсети 16. Какая команда не позволит просмотреть все незашифрованные пароли, содержащиеся в конфигурационном файле в виде обычного текста? a) (config)# enable password secret b) (config)# enable secret Secret_Password c) (config-line)# password secret d) (config)# service password-encryption e) (config)# enable secret Encrypted_Password 17. Как называются сети, предназначенные для объединения отдельных компьютеров и локальных сетей, расположенных на значительном удалении друг от друга? a) локальные; b) глобальные; c) Интернет; d) городские. 18. Как называется топология сети, в которой все компьютеры соединены коммутатором или хабом? a) шина; b) точка-точка; c) звезда; d) кольцо. 19. Сетевое устройство анализирующие адрес пакета и могут направлять его адресату по определенному маршруту. a) повторитель; b) маршрутизатор; c) коммутатор; d) сервер. 20. Что является основным недостатком множественного доступа с контролем несущей и обнаружением столкновений (CSMA/CD метод обнаружения коллизий)? a) высокая стоимость оборудования; b) большое число коллизий; c) временные задержки; d) сложность в техническом исполнении.

6 6. Какой вариант доставки сообщений используется в том случае, когда группа устройств должна получить одно и то же сообщение одновременно? a) дуплексная передача b) одноадресная рассылка c) многоадресная рассылка d) широковещательная рассылка 7. Какая организация разработала эталонную модель взаимодействия открытых систем, которая применяется в современных сетевых технологиях? a) ISOC b) TIA c) ISO d) EIA e) IANA 8. Сколько уровней содержит в себе модель сетевого взаимодействия TCP\IP? a) 7 b) 6 c) 5 d) 4 9. Каким термином описывают данные на сетевом уровне модели сети OSI? a) блок протокольных данных b) пакет c) сегмент d) кадр 10. Посмотрите на рисунок. Укажите MAC-адрес назначения кадра Ethernet, когда тот покидает вебсервер, если конечное устройство назначения ПК1. a) F-3A-07-AA b) F-3A-07-BB c) F-3A-07-CC d) F-3A-07-DD 11. Каково назначение поля FCS в кадре? a) получить mac-адреса узла-отправителя b) рассчитать заголовок crc для поля данных c) определить, возникли ли ошибки при передачи или приёме d) проверить логический адрес узла-отправителя.

7 12. Какой уровень модели взаимодействия открытых систем (OSI) отвечает за выбор метода инкапсуляции, который используется в средах передачи данных определенного типа? a) физический b) транспортный c) канальный d) прикладной 13. Поставщик интернет-услуг выдал вашей организации следующий префикс IPv6 2001:0000:130F::/48. Сколько бит может быть использовано для создания подсетей вашей организацией с помощью данного префикса? a) 8 b) 16 c) 80 d) Какой IPv6-адрес является наиболее краткой записью полного адреса FF80:0:0:0:2AA:FF:FE9A:4CA3? a) FF80::2AA:FF:FE9A:4CA3 b) FF80::0:2AA:FF:FE9A:4CA3 c) FF80. 2AA:FF:FE9A:4CA3 d) FF8::2AA:FF:FE9A:4CA3 15. Какие три составляющие глобального индивидуального адреса IPv6? a) глобальный префикс, идентификатор подсети, идентификатор интерфейса b) сетевая часть, часть подсети, узловая часть c) глобальный префикс, часть подсети, узловая часть d) сетевая часть, идентификатор подсети, идентификатор интерфейса 16. Технический специалист выполняет настройку с помощью следующих команд: SwitchA(config)# interface vlan 1 SwitchA(config-if)# ip address SwitchA(config-if)# no shutdown Что настраивает этот технический специалист? a) доступ по протоколу Telnet b) SVI c) шифрование пароля d) физический доступ через порты коммутатора 17. Как называются сети, объединяющие компьютеры и локальные сети, расположенные на территории крупного города называется? a) городская сеть; b) глобальная сеть; c) локальная сеть; d) Интернет. 18. Как называется топология сети, в которой отсутствуют конечные точки соединения? a) звезда;

8 b) кольцо; c) шина; d) точка-точка. 19. Какое утверждение о пользовательском режиме является верным? a) Доступны все команды маршрутизатора. b) Доступ к режиму глобальной конфигурации можно получить с помощью команды enable. c) Это режим по умолчанию при первом запуске ненастроенного маршрутизатора. d) В этом режиме можно настраивать интерфейсы и протоколы маршрутизации. 20. Что является основным недостатком множественного доступа с контролем несущей и предотвращением столкновений (CSMA/CA метод предупреждения коллизий)? a) временные задержки; b) большое число коллизий; c) высокая стоимость оборудования; d) сложность в техническом исполнении.

9 Вариант Посмотрите на рисунок. Какой термин правильно определяет тип устройства, приведенного в области C? a) устройство-источник b) конечное устройство c) передающее устройство d) промежуточное устройство 2. Заполните пустое поле. это частное соединение локальных и глобальных сетей, принадлежащее одной компании и открыто для доступа только её членам и сотрудникам или другим лицам, обладающим соответствующими полномочиями. a) INTRAHET b) INTERNET c) EXTRANET d) WLAN 3. Сетевая тенденция, которая позволяет использовать приложения с помощью веб-браузера посредством вычислений, основанных на интернет технологиях. a) модель BYOD («Принеси на работу собственное устройство») b) совместная работа через сеть Интернет c) облачные вычисления d) вики 4. Какая команда не позволит просмотреть все незашифрованные пароли, содержащиеся в конфигурационном файле в виде обычного текста? a) (config)# enable password secret b) (config)# enable secret Secret_Password c) (config-line)# password secret d) (config)# service password-encryption e) (config)# enable secret Encrypted_Password 5. С помощью какой команды командной строки CLI можно попасть в привилегированной режим? a) enable b) configure terminal c) interfase [idint] d) disable

10 6. Какой вариант доставки сообщений используется в том случае, когда необходимо передать сообщение с одного устройства на другое? a) дуплексная передача b) одноадресная рассылка c) многоадресная рассылка d) широковещательная рассылка 7. Какая организация по стандартизации разработала стандарт (Ethernet)? a) ISO b) IEEE c) ISOC d) IETF 8. Третьим уровнем в модели OSI является: a) физический b) канальный c) сетевой d) транспортный 9. Каким термином описывают данные на транспортном уровне модели сети OSI? a) блок протокольных данных b) пакет c) сегмент d) кадр 10. Посмотрите на рисунок. Узел H2 отправил широковещательное сообщение всем узлам. Какое из привёденных утверждений верно в случае, когда узел H1 хочет отправить ответ на широковещательное сообщение? a) Узел H1 отправляет одноадресное сообщение на узел H2, но коммутатор пересылает его на все устройства. b) Узел H1 отправляет одноадресное сообщение на узел H2, и коммутатор пересылает его непосредственно на узел H2. c) Узел H1 отправляет широковещательное сообщение на узел H2, но коммутатор пересылает его на все устройства. d) Узел H1 отправляет многоадресное сообщение на узел H2, и коммутатор пересылает его непосредственно на узел H Пропускная способность сети FastEthernet 80 Мбит/с. Непроизводительные потери трафика для создания сеансов, подтверждений и инкапсуляции составляют 15 Мбит/с для одного и того же периода времени. Какова полезная пропускная способность данной сети? a) 55 Мбит/с b) 80 Мбит/с

11 c) 15 Мбит/с d) 95 Мбит/с e) 65 Мбит/с 12. Какое утверждение является верным в отношении физических и логических топологий? a) физические топологии отображают схему IP-адресации каждой сети b) на физические топологии влияет способ передачи кадров сетью c) логические топологии определяют используемый способ контроля доступа к среде передачи d) логическая топология всегда такая же, как и физическая топология. 13. Заполните пустое поле. Последний адрес узла в сети с адресом /24 имеет следующий вид: a) /24 b) /24 c) /24 d) / Сколько битов содержится в адресе IPv4? a) 64 b) 256 c) 32 d) Какое утверждение справедливо для адресов IPv4 и IPv6? a) адреса IPv4 составляют 128 битов длину b) адреса IPv6 представлены шестнадцатеричными числами c) адреса IPv6 составляют 32 бита в длину d) адреса IPv4 представлены шестнадцатеричными числами 16. Шифрование каких паролей выполняется с помощью команды enable secret? a) все настроенные пароли b) пароль привилегированного режима c) пароль консольной строки d) пароль строки VTY 17. Как называются сети, компьютеры которых, сосредоточены на относительно небольших территориях, в одном или нескольких стоящих рядом зданиях? a) глобальные; b) городские; c) Интернет; d) локальные. 18. Какое устройство выполняет роль шлюза, позволяя узлам отправлять трафик к удаленным IPсетям? a) сервер DNS b) сервер DHCP c) локальный маршрутизатор d) локальный коммутатор 19. Как называется топология сети, соединяющую только два компьютера?

12 a) шина; b) кольцо; c) точка-точка; d) звезда. 20. Как называется специальный компьютер, выделенный для совместного использования участниками сети? a) директорием; b) сервером; c) администратором; d) провайдером

13 Вариант Посмотрите на рисунок. Какой термин правильно определяет компонент локальной сети связывающий все устройства областей A,B,C? a) среда передачи данных b) конечное устройство c) среда приема данных d) промежуточное устройство 2. Какой тип проектирования сетей сочетает в себе голосовые, видео- и другие данные, передаваемые по одному и тому же каналу связи? a) традиционная сеть b) объединенная сеть c) сеть хранения данных d) экстранет 3. Сетевая тенденция, которая позволяет конечным пользователям использовать личные инструменты для связи в корпоративных сетях или в сетях, охватывающих комплекс зданий. a) модель BYOD («Принеси на работу собственное устройство») b) совместная работа через сеть Интернет c) облачные вычисления 4. Какую команду нужно ввести техническому специалисту на маршрутизаторе, чтобы вывести на экран выходные данные, показанные на рисунке? a) show ip interface brief b) show startup-config c) show version d) show running-config 5. С помощью какой команды командной строки CLI можно попасть в глобальный режим? a) enable b) configure terminal

14 c) interfase [idint] d) disable 6. Способ связи, при котором устройство может в любой момент времени и передавать, и принимать информацию. a) дуплексная передача b) одноадресная рассылка c) многоадресная рассылка d) широковещательная рассылка 7. Организация управления пространствами IP-адресов, доменов верхнего уровня, а также регистрирующая типы данных MIME и параметры прочих протоколов Интернета. a) ISOC b) TIA c) ISO d) EIA e) IANA 8. Четвертым уровнем в модели OSI является: a) физический b) канальный c) сетевой d) транспортный 9. Каким термином описывают данные на канальном уровне модели сети OSI? a) блок протокольных данных b) пакет c) сегмент d) кадр 10. Заполните пустое поле. Подуровень Ethernet отвечает за обмен данными напрямую с физическим уровнем. a) MAC b) LLC c) TCP 11. Термин обозначает производительность среды передачи данных, обычно измеряется в килобайтах в секунду (Кбит/с) или мегабайтах в секунду (Мбит/с). a) пропускная способность b) полезная пропускная способность c) производительность 12. Какое сокращение используется для обозначения канального подуровня, который определяет протокол сетевого уровня, инкапсулированный в кадр? a) LLC b) MAC c) PDU 13. Какое утверждение даёт наиболее точное описание публичных IP-адресов? a) Публичные адреса нельзя использовать в рамках частной сети. b) Публичные IP-адреса должны быть уникальными на всем пространстве сети Интернет.

17 a) enable b) configure terminal c) interfase [idint] d) disable 6. Какой вариант доставки сообщений используется в том случае, когда группа устройств должна получить одно и то же сообщение одновременно? a) дуплексная передача b) одноадресная рассылка c) многоадресная рассылка d) широковещательная рассылка 7. Какая организация по стандартизации разработала стандарт (Ethernet)? a) ISO b) IEEE c) ISOC d) IETF 8. Четвертым уровнем в модели OSI является: a) физический b) канальный c) сетевой d) транспортный 9. Каким общим термином описывают данные на любом уровне модели сети? a) блок протокольных данных b) пакет c) сегмент d) кадр 10. Посмотрите на рисунок. Укажите MAC-адрес назначения кадра Ethernet, когда тот покидает вебсервер, если конечное устройство назначения ПК1. a) F-3A-07-AA b) F-3A-07-BB c) F-3A-07-CC d) F-3A-07-DD

18 11. Пропускная способность сети FastEthernet 80 Мбит/с. Непроизводительные потери трафика для создания сеансов, подтверждений и инкапсуляции составляют 15 Мбит/с для одного и того же периода времени. Какова полезная пропускная способность данной сети? a) 55 Мбит/с b) 80 Мбит/с c) 15 Мбит/с d) 95 Мбит/с e) 65 Мбит/с 12. Какое сокращение используется для обозначения канального подуровня, который определяет протокол сетевого уровня, инкапсулированный в кадр? a) LLC b) MAC c) PDU 13. Заполните пустое поле. 8-битное двоичное значение для числа 41 имеет следующий вид: a) b) c) d) Какой IPv6-адрес является наиболее краткой записью полного адреса FF80:0:0:0:2AA:FF:FE9A:4CA3? a) FF80::2AA:FF:FE9A:4CA3 b) FF80::0:2AA:FF:FE9A:4CA3 c) FF80. 2AA:FF:FE9A:4CA3 d) FF8::2AA:FF:FE9A:4CA3 15. Какое утверждение справедливо для адресов IPv4 и IPv6? a) адреса IPv4 составляют 128 битов длину b) адреса IPv6 представлены шестнадцатеричными числами c) адреса IPv6 составляют 32 бита в длину d) адреса IPv4 представлены шестнадцатеричными числами 16. Какое утверждение описывает особенность конфигурации имени узла операционной системы IOS? a) Его максимальная длина не должна превышать 255 символов. b) Его необходимо зарегистрировать на сервере DNS. c) Оно не может начинаться с цифры. d) Оно не должно содержать пробелы. 17. Как называются сети, предназначенные для объединения отдельных компьютеров и локальных сетей, расположенных на значительном удалении друг от друга? a) локальные; b) глобальные; c) Интернет; d) городские. 18. Как называется топология сети, в которой отсутствуют конечные точки соединения? a) звезда;

19 b) кольцо; c) шина; d) точка-точка. 19. Какое устройство выполняет роль шлюза, позволяя узлам отправлять трафик к удаленным IPсетям? a) сервер DNS b) сервер DHCP c) локальный маршрутизатор d) локальный коммутатор 20. В модели сетевого взаимодействия отсутствует a) транспортный уровень; b) макро уровень; c) прикладной уровень; d) физический уровень.

20 Ключ к тестам Вопрос Вариант 1 Вариант 2 Вариант 3 Вариант 4 Вариант 5 1. d b b a d 2. c c a b c 3. c a c a c 4. b a d a a 5. d c a b d 6. d c b a c 7. c c b c b 8. a d c d d 9. a b c d a 10. b c b a c 11. d c c a c 12. b c c a a 13. b b b b b 14. a a c d a 15. b a b c b 16. d b b d d 17. b a d c b 18. c b c b b 19. b c c b c 20. b a b b b

Источник

Данные шифрования пароля Cisco IOS

Параметры загрузки

Об этом переводе

Этот документ был переведен Cisco с помощью машинного перевода, при ограниченном участии переводчика, чтобы сделать материалы и ресурсы поддержки доступными пользователям на их родном языке. Обратите внимание: даже лучший машинный перевод не может быть настолько точным и правильным, как перевод, выполненный профессиональным переводчиком. Компания Cisco Systems, Inc. не несет ответственности за точность этих переводов и рекомендует обращаться к английской версии документа (ссылка предоставлена) для уточнения.

Содержание

Введение

Сторонний разработчик (не Cisco) выпустил программу для дешифрования паролей пользователей (и других паролей) в файлах конфигурации Cisco. Программа не будет расшифровывать пароли, установленные с разрешением команды secret. Непредвиденная проблема, которую данная программа вызвала у пользователей Cisco, вызвала подозрения, что многие пользователи полагаются на шифрование пароля Cisco как на средство большей безопасности, чем это было предусмотрено. В этом документе поясняется модель безопасности, на которой строится технология шифрования паролей Cisco, и особенности этого шифрования, ограничивающие безопасность.

Примечание. Cisco рекомендует внедрить модель безопасности AAA (аутентификация, авторизация и учет) на всех устройствах Cisco IOS. В модели AAA может использоваться локальная база данных, RADIUS и TACACS+.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.

Условные обозначения

Пароли пользователя

Пароли пользователя и большая часть других паролей (не enable secrets) в файлах конфигурации Cisco IOS шифруются с помощью схемы, которая не отвечает всем требованиям современных криптографических стандартов.

Несмотря на то что Cisco не распространяет программу расшифровки, как минимум две другие программы для расшифровки паролей Cisco IOS имеются в открытом доступе в Интернете; первая общедоступная версия такой программы, известная Cisco, появилась в начале 1995 г. Мы ожидали, что любой криптограф-непрофессионал будет в состоянии создать новую программу, приложив небольшие усилия.

Схема, используемая Cisco IOS для пользовательских паролей, не предназначена для сопротивления намеренной, хорошо спланированной атаке. Схема шифрования была создана для предотвращения кражи паролей с помощью отслеживания или прослушивания. Защита от действий по взлому пароля в файле конфигурации никогда не предполагалась.

Из-за слабого алгоритма шифрования позиция Cisco всегда заключалась в том, что клиенты должны рассматривать любой файл конфигурации, содержащий пароли, как уязвимые данные — так же, как список паролей открытым текстом.

«enable secret» и «enable password»

Команду enable password больше не следует использовать. Используйте разблокированную шифрованную команду для более высокой безопасности. Единственный экземпляр, в котором можно протестировать команду enable password, — когда устройство работает в режиме загрузки, который не поддерживает команду enable secret.

Команда еnable secret хешируется при помощи алгоритма MD5. Насколько известно в Cisco, невозможно восстановить включенный секретный пароль по содержимому файла конфигурации (кроме известного способа подбора пароля по словарю).

Примечание. Это применимо только к паролям, заданным командой enable secret, а не к паролям, заданным командой enable password. Действительно, надежность используемого шифрования является единственным существенным различием между этими двумя командами.

Какой режим Cisco IOS Image поддерживает команду enable secret?

Воспользовавшись командой show version в обычном рабочем режиме, просмотрите загрузочный образ (полный образ Cisco IOS), чтобы выяснить, поддерживает ли этот загрузочный образ разрешающую секретную команду. Если имеется команда enable password, удалите ее. Если загрузочный образ не поддерживает включение секретного пароля, необходимо учесть следующие предупреждения:

Установка команды enable password может быть ненужной при наличии физических мер безопасности, чтобы никто не мог перезагрузить устройство загрузочным образом.

Физический доступ к устройству позволяет нарушить его безопасность, не обращаясь к загрузочному образу.

При установке значения enable password равным значению enable secret степень уязвимости значения enable secret к атаке становится такой же, как у значения enable password.

Если параметр enable password имеет другое значение, т. к. загрузочный образ не поддерживает команду enable secret, администраторы должны будут запомнить новый пароль, который редко используется на ROM без поддержки команды enable secret. При наличии отдельной команды enable password администраторы могут не помнить пароль, когда они переводят систему в режим простоя для обновления программного обеспечения, что является единственной причиной для входа в режим загрузки.

Другие пароли

Почти все пароли и другие строки аутентификации в файлах конфигурации Cisco IOS шифруются с помощью слабой, обратимой схемы, используемой для паролей пользователей.

Чтобы определить, какая схема была использована для шифрования конкретного пароля, проверьте цифру, предшествующую зашифрованной строке в файле конфигурации. Если данная цифра – 7, это означает, что пароль был зашифрован с помощью слабого алгоритма. Если же это 5, значит пароль был хэширован с помощью более сильного алгоритма MD5.

Например, в команде настройки:

Хэширование команды enable secret осуществляется с помощью MD5, тогда как для команды:

Пароль зашифрован с использованием слабого обратимого алгоритма.

Файлы конфигурации

Перед передачей сведений о конфигурации в сообщении электронной почты необходимо удалить из конфигурации пароли типа 7. Можно использовать команду show tech-support, которая по умолчанию изымает секретные данные. Пример вывода команды show tech-support показан ниже.

При сохранении файлов конфигурации на сервер простейшего протокола передачи файлов (TFTP) измените полномочия на эти файлы, если они не используются, или защитите их межсетевым экраном.

Можно ли изменить алгоритм?

Cisco не имеет планов в обозримом будущем поддерживать стойкий алгоритм шифрования для паролей пользователей Cisco IOS. Если Cisco примет решение внедрить такую функцию в будущем, эта функция определенно наложит дополнительную административную нагрузку на пользователей, которые решат ею воспользоваться.

В общем случае невозможно переключить пароли пользователей на алгоритм на основе MD5, используемый в команде enable secret, поскольку MD5 является однонаправленным хешированием и пароль вообще нельзя восстановить из зашифрованных данных. Для поддержки определенных протоколов аутентификации (особенно CHAP) системе требуется доступ к открытому тексту паролей пользователей, и поэтому она должна хранить их с использованием обратимого алгоритма.

Из-за сложностей с управлением ключами переход на использование более сильного обратимого алгоритма, например DES, может оказаться непростой задачей. Несмотря на то что было бы легко модифицировать Cisco IOS и использовать для шифрования паролей алгоритм DES, это не дало бы преимущества в безопасности, если бы во всех системах Cisco IOS использовался один и тот же ключ DES. Если бы разные ключи использовались разными системами, административная нагрузка была бы введена для всех сетевых администраторов Cisco IOS, и совместимость файлов конфигурации при переносе с одной системы на другую была бы нарушена. Потребность заказчиков в более серьезном обратимом шифровании пароля была небольшой.

Источник