Adicionando `Global Command Service Senha Criptografia 'à configuração de um roteador tem o seguinte resultado:
Encrypts todas * senhas não criptografadas * no arquivo de configuração do roteador. Aqui está um colapso:
*
`Serviço Senha-Encryption` (Comando Global de Configuração): Este comando é usado para criptografar senhas armazenadas no arquivo de configuração. É uma medida de segurança para impedir a visualização não autorizada de senhas no texto simples.
*
O que criptografa: Ele criptografa especificamente as senhas armazenadas em um formato legível por humanos, * não criptografado * dentro da configuração. Isso normalmente inclui senhas usadas para:
* `Enable Secret
` (a senha do modo executivo privilegiado)
* `Linha VTY 0 15 Senha ` (Telnet/SSH Line Passwords)
* `Nome de usuário senha ` (senhas de banco de dados do usuário local)
* `Nome de usuário Secret ` (esta entrada não será criptografada)
* Outros lugares onde `senha ` é usada na configuração.
* algoritmo de criptografia : O Cisco iOS usa um algoritmo de criptografia proprietário relativamente fraco (criptografia tipo 7) para esse fim. É melhor do que texto simples, mas não é considerado altamente seguro pelos padrões modernos. Portanto, recomenda -se criptografá -los usando uma senha mais forte como `habilitar secret` ou` nome de usuário secret `.
* não criptografa tudo:
* Não criptografa o tráfego que passa pelo roteador.
* Ele não criptografa senhas que já estão criptografadas com um algoritmo mais forte (como MD5 ou SHA). As senhas configuradas com a palavra-chave 'secret' geralmente são armazenadas com um hash de mão única, tornando-as muito mais difíceis de quebrar.
* Ele não criptografa senhas armazenadas externamente, como as usadas para raio ou autenticação TACACS+.
*Ele criptografa apenas senhas que estão na configuração *em execução *.
* Como se inscrever: Você insere o modo de configuração global (`configure terminal`) e digite` Encripção de senha de serviço 'e pressione Enter.
Exemplo:
Antes:
`` `
Ativar senha Cisco
linha vty 0 4
Senha Cisco
Conecte-se
`` `
Depois (depois de executar o `Service Senha-Encryption`):
`` `
Ativar senha 050D1A11031B1B03
linha vty 0 4
Senha 050D1A11031B1B03
Conecte-se
`` `
A senha `Cisco` agora está criptografada.
Considerações importantes:
* Fraqueza de segurança: Como mencionado, a criptografia do tipo 7 é relativamente fraca. As ferramentas estão prontamente disponíveis online para quebrar essas senhas. Considere uma camada básica de segurança, não robusta.
* Melhores práticas:
* Use `atabille Secret `: Este comando usa um algoritmo de criptografia mais forte (MD5 ou SHA) para a senha executiva privilegiada. Sempre use isso sobre `Ativar senha`.
* Use `Nome de usuário secreto `: Este comando usa um algoritmo de criptografia mais forte (MD5 ou SHA) para senhas de nome de usuário.
* Use ssh, não telnet: O SSH criptografa a sessão inteira, incluindo senhas, conforme elas são digitadas. A Telnet envia senhas em texto simples.
* Implementar AAA (autenticação, autorização e contabilidade): Use servidores de autenticação externa (raio ou tacacs+) para autenticação do usuário. Isso centraliza o gerenciamento de senhas e geralmente fornece medidas de segurança mais fortes.
* Alterações regulares de senha: Aplique uma política de alteração de senha para minimizar o risco de senhas comprometidas.
Em resumo, `Serviço-Senha-Encryption` fornece um nível básico de proteção de senha, criptografando senhas de texto simples no arquivo de configuração do roteador. No entanto, não substitui políticas de senha fortes, métodos de autenticação seguros e usando técnicas de criptografia mais robustas, quando disponíveis.