Como já escrito no post Enable password e enable secret a criptografia do tipo 7 é fraca, já foi quebrada e existem inúmeros software para reverter uma senha codificada por esse mecanismo.
Mais fácil ainda: podemos usar um roteador para descriptografar uma senha codificada com este tipo de criptografia.
Exemplo: Suponha que você tenha a enable password em uma configuração salva ou em um script de configuração, e queira descobrir qual é a senha.
enable password 7 02050D4808095E731F5A0C0A1112
1°) Crie um key chain com um nome qualquer.
BrainRT01(config)#key chain quebra-senha
2°) Especifique o identificador da chave.
BrainRT01(config-keychain)#key 1
3°) Cadastre a key criptografada que você possui.
BrainRT01(config-keychain-key)#key-string 7 02050D4808095E731F5A0C0A1112
4°) Peça para exibir a key cadastrada.
BrainRT01(config-keychain-key)#do sh key chain quebra-senha
Key-chain quebra-senha:
key 1 — text "cisco123teste"
accept lifetime (always valid) – (always valid) [valid now]
send lifetime (always valid) – (always valid) [valid now]
BrainRT01(config-keychain-key)#
Além da senha de enable, o mesmo processo pode ser aplicado para qualquer senha usada no roteador criptografada pelo tipo 7
Até a próxima.
O básico para autenticação do acesso remoto a um roteador é a senha de enable, e a senha especificada para o método de acesso (console, auxiliar, Telnet, SSH,…). Assim normalmente é configurado o seguinte:
Exemplo: configuração sem a verificação de usuário para acesso Telnet:
! Entre no modo de configuração global
BrainRT01#conf t
! Crie a senha de enable
BrainRT01(config)#enable secret cisco
! Entre na line (onde é configurado o acesso Telnet)
BrainRT01(config)#line vty 0 4
! Cadastre a senha que será usada para telnet
BrainRT01(config-line)#password 123cisco
BrainRT01(config-line)#end
BrainRT01#
No entanto, com a configuração acima o usuário seria indagado apenas sobre a senha de acesso (que foi configurada na line) e a senha de enable, que é utilizada para entrar no modo de configuração privilegiado. Observe que o roteador não perguntou o nome do usuário para o acesso.
Para configurar o equipamento para pedir o usuário e senha, além do enable, precisamos primeiro criar no roteador um usuário (neste exemplo será configurada autenticação local). Depois basta ativar o AAA (authentication, authorization e accounting), e especificar o método de autenticação. Com estas configurações o roteador passará a solicitar usuário a quem estiver realizando o acesso.
Exemplo: Configurando usuário e senha para o roteador
! Entre no modo de configuração global
BrainRT01#conf t
! Crie um usuário e sua respectiva senha (neste exemplo o usário tem privilégio total – 15)
BrainRT01(config)#username brainwork privilege 15 password cisco123
! Habilite o aaa
BrainRT01(config)#aaa new-model
! Especifique que para o login deve ser usada a base de autenticação local
BrainRT01(config)#aaa authentication login default local
BrainRT01(config)#end
BrainRT01#
Com esta configuração o equipamento passará a pedir usuário e senha, quando o acesso remoto for realizado e ter um usuário e senha para cada usuário que acessa o equipamento.
Com a diferenciação entre os usuários podemos ter níveis de acesso diferenciado (authorization) e monitorar quem logou no equipamento, quando e o que fez (accounting). E além da base de usuário local, também podemos usar um servidor externo Radius ou TACACS para o AAA.
Até a próxima.
Basicamente os roteadores Cisco possuem duas senhas: login e enable. A senha de login será solicitada quando o usuário conectar-se ao equipamento (via console, ssh, telnet…) e a senha de enable será solicitada para permitir que o usuário acesse o modo de configuração privilegiado.
Só para lembrar:
Router> – modo usuário
Router# – modo privilegiado
Router(config)# – modo de configuração global
Assim, quando o usuário loga no equipamento ele tem direito apenas a alguns comandos (a maioria de verificação, como show, traceroute, ping…). Somente após passar pela senha de enable (que será solicitada quando ele estiver no modo usuário) ele será capaz de realizar as configurações.
Exemplo:
BrainworkRT# configure terminal
! Configurando senha de enable
BrainworkRT(config)# enable secret cisco@123
! Configurando a senha de login para console
BrainworkRT(config)# line con 0
BrainworkRT(config-line)# password 1234
BrainworkRT(config-line)# login
! Configurando senha de login para telnet
BrainworkRT(config-line)# line vty 0 4
BrainworkRT(config-line)# password brainwork
BrainworkRT(config-line)# login
BrainworkRT(config-line)#end
BrainworkRT#wr
Observe que podemos configurar senhas diferentes para cada tipo de acesso (console e telnet).
Note também que em IOS mais velho o comando enable secret não existe. Neste caso devemos utilizar o comando enable password. A diferença entre o enable secret e o enable password é que a senha é armazenada criptografada, no caso do enable secret, enquanto o enable password armazena a senha em clear text.
Até a próxima.
Seja o primeiro a comentar 
Cisco, Configuração, Dicas, Routers, Uteis
| 
criptografia, enable, password, senha, tipo 7 
