sexta-feira, 16 de abril de 2010

Cisco e o infame password padrão "Type 7"


Apesar de muito comentado muitos ainda cometem o grande erro de se confundir ao configurar passwords em dispositivos Cisco.

Imagine uma criptografia fraca para passwords, imaginou? Esse é o "type 7" do IOS da Cisco. Ele usa uma criptografia tão fraca e já foi amplamente divulgada, que é fácil achar vários sites que permitem sua quebra facilmente.

Por outro lado, o modo correto de configurar passwords em dispositivos Cisco, é usando MD5 (Type 5) que é muito mais seguro.

Nesse post, veremos os dois modos e entenda na prática porque não usar o infame "Type 7".

---
"Type 7" (Use apenas para testes!):
Ao configurar o password num roteador por exemplo pode-se usar os comandos em modo de configuração global:

(config)# enable password ESSASENHAFACIL

Claro que só assim, é possível ver essa exata senha que está em texto plano usando o comando:

#show running-config

Para criptografar usando "Type 7", faça:

(config)# service password-encryption

O resultado é esse: enable password 7 08047F7D282A20393A2A2A25090208

Copie apenas 08047F7D282A20393A2A2A25090208 e coloque no campo String nesse site

Como já falado ela pode ser quebrada facilmente.

---
"Type 5" (Use apenas para testes!):
O jeito certo que sempre deve ser usado para colocar um password num dispositivo Cisco é usar o comando:

(config)#enable secret ESSASENHAROCKZ


Agora se fizermos um show running-config veremos:
enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0

Dessa forma é facil percebemos a grande diferença em trocarmos apenas uma palavra no comando em vez de usar enable password, usar sempre enable secret.

Claro que dá pra perceber também que quando existe um 7 como em "enable password 7" ele está usando o "Type 7" e quando existe o 5 como em "enable secret 5" ele está usando MD5.

Obviamente, não adianta em nada deixarmos os 2 tipos de criptografia ativos, o dispositivo permanecerá inseguro do mesmo modo! Então, oque está esperando? Desabilite essa criptografia fraca fazendo:

(config)#no enable password


obs: Ao colocar pedaços de arquivos de configuração dos seus devices num fórum, 2 dicas:
1 - Substitua IP públicos da configuração por outros privados
2 - Nunca mantenha sua senha do dispositivo de rede em produção em "Type 7", nele.

Ref: http://www.cisco.com/en/US/docs/ios/12_2t/12_2t8/feature/guide/ft_md5.html

Abraços
Posted by at
Labels: , , ,
Assinar: Postar comentários (Atom)