Vad är resultatet av att lägga till Global Command Service -lösenordskryptering till konfigurationen en router?

Att lägga till "Global Command Service Lösenordskryptering" till en routers konfiguration har följande resultat:

Det krypterar alla * okrypterade * lösenord i routerns konfigurationsfil.

Här är en uppdelning:

* `Service Password-kryptering '(Global Configuration Command): Detta kommando används för att kryptera lösenord lagrade i konfigurationsfilen. Det är en säkerhetsåtgärd för att förhindra obehörig visning av lösenord i klartext.

* vad det krypterar: Det krypterar specifikt lösenord som lagras i ett mänskligt läsbart, * okrypterat * format i konfigurationen. Detta innehåller vanligtvis lösenord som används för:

* `Enable Secret ` (det privilegierade EXEC -lägeslösenordet)

* `Line Vty 0 15 Lösenord ` (Telnet/SSH Line -lösenord)

* `Användarnamn Lösenord ` (Lokala användardatabaslösenord)

* `Användarnamn hemlighet ` (det här inlägget kommer inte att krypteras)

* Andra platser där "Password ` används i konfigurationen.

* krypteringsalgoritm: Cisco IOS använder en relativt svag, proprietär krypteringsalgoritm (typ 7 -kryptering) för detta ändamål. Det är bättre än klartext, men det anses inte vara mycket säkert enligt moderna standarder. Därför rekommenderas det att kryptera dem med hjälp av ett starkare lösenord som "Aktivera hemlighet" eller "användarnamn hemlighet ".

* Det krypterar inte allt:

* Det krypterar inte trafiken som passerar genom routern.

* Det krypterar inte lösenord som redan är krypterade med en starkare algoritm (som MD5 eller SHA). Lösenord som är konfigurerade med "Secret" -nyckelordet lagras vanligtvis med en enkelriktad hash, vilket gör dem mycket svårare att spricka.

* Det krypterar inte lösenord som lagras externt, till exempel de som används för radie eller tacacs+ autentisering.

*Det krypterar bara lösenord som finns i *körkonfigurationen *.

* Hur man ansöker: Du går in i Global Configuration Mode (`Konfigurera terminal") och skriv sedan "Service Password-kryptering" och tryck på Enter.

Exempel:

Före:

`` `

Aktivera lösenord Cisco

Line Vty 0 4

Lösenord Cisco

inloggning

`` `

Efter (efter att ha kört `Service Password-kryptering '):

`` `

Aktivera lösenord 050D1A11031B1B03

Line Vty 0 4

Lösenord 050D1A11031B1B03

inloggning

`` `

"Cisco" -lösenordet är nu krypterat.

Viktiga överväganden:

* Säkerhetssvaghet: Som nämnts är kryptering av typ 7 relativt svag. Verktyg är lätt tillgängliga online för att knäcka dessa lösenord. Betrakta det som ett grundläggande säkerhetsskikt, inte en robust.

* bästa metoder:

* Använd `Enable Secret `: Detta kommando använder en starkare krypteringsalgoritm (MD5 eller SHA) för det privilegierade EXEC -lösenordet. Använd alltid detta över "Aktivera lösenord".

* Använd `användarnamn hemlighet `: Detta kommando använder en starkare krypteringsalgoritm (MD5 eller SHA) för lösenord för användarnamn.

* Använd ssh, inte telnet: SSH krypterar hela sessionen, inklusive lösenord, som de skrivs. Telnet skickar lösenord i klartext.

* Implementera AAA (autentisering, auktorisation och redovisning): Använd externa autentiseringsservrar (RADIUS eller TACACS+) för användarverifiering. Detta centraliserar lösenordshantering och ger ofta starkare säkerhetsåtgärder.

* Regelbundna lösenordsändringar: Tvinga fram en policy för ändring av lösenord för att minimera risken för komprometterade lösenord.

Sammanfattningsvis ger `Service Password-Conkryption 'en grundläggande nivå för lösenordsskydd genom att kryptera klartext-lösenord i routerns konfigurationsfil. Det är emellertid inte ett substitut för starka lösenordspolicyer, säkra autentiseringsmetoder och med mer robusta krypteringstekniker där tillgängliga.