(2) Comentários

Por André Ortega, 23/03/2010 11:10

Como já escrito no post Enable password e enable secret a criptografia do tipo 7 é fraca, já foi quebrada e existem inúmeros software para reverter uma senha codificada por esse mecanismo.

Mais fácil ainda: podemos usar um roteador para descriptografar uma senha codificada com este tipo de criptografia.

Exemplo: Suponha que você tenha a enable password em uma configuração salva ou em um script de configuração, e queira descobrir qual é a senha.

enable password 7 02050D4808095E731F5A0C0A1112

1°) Crie um key chain com um nome qualquer.

BrainRT01(config)#key chain quebra-senha

2°) Especifique o identificador da chave.

BrainRT01(config-keychain)#key 1

3°) Cadastre a key criptografada que você possui.

BrainRT01(config-keychain-key)#key-string 7 02050D4808095E731F5A0C0A1112

4°) Peça para exibir a key cadastrada.

BrainRT01(config-keychain-key)#do sh key chain quebra-senha
Key-chain quebra-senha:
key 1 — text "cisco123teste"
accept lifetime (always valid) – (always valid) [valid now]
send lifetime (always valid) – (always valid) [valid now]
BrainRT01(config-keychain-key)#

Além da senha de enable, o mesmo processo pode ser aplicado para qualquer senha usada no roteador criptografada pelo tipo 7

Até a próxima.

Só um comentário

Por André Ortega, 16/03/2010 11:09

Os comandos enable password e enable secret permitem criarmos uma senha para restringir o acesso ao modo de configuração privilegiado e ao modo de configuração global.

Apesar do mesmo objetivo, estes comandos tem uma diferença significativa: a segurança.

O enable password usa criptografia tipo 7, que já foi quebrada e o código está disponível na internet. Além do código é possível encontrar diversos programas para reverter a senha ou ainda usar um roteador para isso.

Já o enable secret utiliza criptografia tipo 5 (muito mais forte), e até o momento não há notícia de que ele seja quebrado. A criptografia tipo 5 é um método one-way, que dificulta o processo reverso.

Fica claro que não devemos utilizar o enable password, e sim o enable secret. A exceção fica por conta dos equipamentos mais velhos, que não suportam o comando enable secret.

Inclusive, quando os dois comandos são configurados, o enable secret sobrescreve o enable password.

A mesma situação ocorre com o comando username, para criar um usuário. Devemos sempre utilizar o comando username NOME secret SENHA ao invés do comando username NOME password SENHA.

Lembre-se apenas que alguns métodos de autenticação, como CHAP, precisam de senhas sem criptografia. Neste caso devemos manter o comando username NOME password SENHA.

Em breve um post mostrando como reverter as senhas criptografadas com o tipo 7, usando um roteador.

Até a próxima.

Só um comentário

Por Rafael Leão, 22/07/2009 11:55

A administração de rede das organizações pode ter diversos administradores, e cada um deles pode ter diferentes tipos de acesso. Para criá-los, podemos usar os niveis de privilégio ou a enable view; é de costume usar-se os níveis de privilégio. Mas por este meio não temos o controle tão detalhado como na enable view.

A view da CLI é uma feature do Cisco IOS, que permite ao administrador especificar exatamente quais comandos e interfaces um grupo de adminstradores têm acesso. O IOS permite 15 views diferentes em cada dispositivo.

Root-View: Equivale ao privilégio exec nível 15. Quando o usuário se loga com este nível, a permissão para criação e manipulação das views é adicionada.

Pré-requisitos para a criação das views:
    – Senha de "enable" (usada para logar na root view);
    – AAA habilitado no router/switch;
    – Logar-se na "root view", com a senha de enable

Configuração:
    ! habilitando o AAA
    aaa new-model
    ! configurando senha do enable
    enable secret brainwork
    end
    ! logando na root view. Aqui será pedida a senha de enable
    enable view
    configure terminal
    ! criando a view nomeada "guest"
    parser view guest
    ! antes de tudo, na view é necessária a configuração da senha
    secret cisco
    ! no modo de configuração global, a view dará acesso aos seguintes comandos:
    ! end
    commands configure include all end
    ! interface fastethernet0
    commands configure include interface
    commands configure include all interface fastethernet0
    ! no modo de configuração e acesso à interfaces, a view dará acesso aos seguintes comandos:
    ! fastethernet (acesso somente à esta interface)
    commands interface include all fastethernet
    ! e o número da interface (para ser reconhecido pela CLI)
    commands interface include all 0
    ! no modo exec, qualquer comando iniciado com:
    ! telnet
    commands exec include all telnet
    ! comando logout
    commands exec include all logout
    ! debug icmp, apenas nesta view. Parâmetro especificado pelo comando "include-exclusive"
    commands exec include-exclusive debug ip icmp
    ! entrada ao modo de configuração global
    commands exec include configure terminal
   ! undebug
    commands exec include all undebug
    ! e show ip interface brief
    commands exec include show ip interface brief
    end
    write memory

Para testarmos a view guest, devemos logar nela, usando o comando enable view guest. Será pedida a senha, e o login será efetuado com sucesso. A partir daí, estarão presentes somente os comandos acima especificados.

Feita a configuração, o output do show running-config exibirá o seguinte:

    BrainRT#show run | begin parser
    parser view guest
     secret 5 $1$yI7R$kSW4QghsnDJnFVWgVrbGY/
     commands configure include all end
     commands configure include interface
     commands exec include all telnet
     commands exec include configure terminal
     commands exec include configure
     commands exec include-exclusive undebug ip icmp
     commands exec include undebug ip
     commands exec include all undebug
     commands exec include show ip interface brief
     commands exec include show ip interface
     commands exec include show ip
     commands exec include show
     commands exec include all logout
     commands exec include-exclusive debug ip icmp
     commands exec include debug ip
     commands exec include debug
     commands configure include all interface FastEthernet0
    !
    !
    end

BrainRT#

Observe que no output, alguns comandos não colocados em nossa configuração aparecem; estes são inclusos automaticamente, como por exemplo, "show ip interface brief".

Obs.: neste laboratório foi usado um Cisco Router 1721.

Para mais informações: http://www.cisco.com/en/US/docs/ios/12_3t/12_3t7/feature/guide/gtclivws.html

Espero que ajude. Até breve!

Seja o primeiro a comentar

Por André Ortega, 29/01/2009 12:55

Basicamente os roteadores Cisco possuem duas senhas: login e enable. A senha de login será solicitada quando o usuário conectar-se ao equipamento (via console, ssh, telnet…) e a senha de enable será solicitada para permitir que o usuário acesse o modo de configuração privilegiado.

Só para lembrar:

Router>               – modo usuário

Router#               – modo privilegiado

Router(config)#   – modo de configuração global

Assim, quando o usuário loga no equipamento ele tem direito apenas a alguns comandos (a maioria de verificação, como show, traceroute, ping…). Somente após passar pela senha de enable (que será solicitada quando ele estiver no modo usuário) ele será capaz de realizar as configurações.

Exemplo:

BrainworkRT# configure terminal
! Configurando senha de enable
BrainworkRT(config)# enable secret cisco@123
! Configurando a senha de login para console
BrainworkRT(config)# line con 0
BrainworkRT(config-line)# password 1234
BrainworkRT(config-line)# login
! Configurando senha de login para telnet
BrainworkRT(config-line)# line vty 0 4
BrainworkRT(config-line)# password brainwork
BrainworkRT(config-line)# login
BrainworkRT(config-line)#end
BrainworkRT#wr

Observe que podemos configurar senhas diferentes para cada tipo de acesso (console e telnet).

Note também que em IOS mais velho o comando enable secret não existe. Neste caso devemos utilizar o comando enable password. A diferença entre o enable secret e o enable password é que a senha é armazenada criptografada, no caso do enable secret, enquanto o enable password armazena a senha em clear text.

Até a próxima.