Wir verwenden Taktiken für AAA auf unseren Netzwerkgeräten und ich bin daran interessiert/neugierig, wie unsere Geräte die Passwörter geräteseitig verschlüsseln.
Im Anschluss an dieArista EOS-Handbuch, Seite 139, Ich laufe:
switch(config)#tacacs-server key 0 cv90jr1
Die Anleitung sagt mir, dass die entsprechende verschlüsselte Zeichenfolge lautet 020512025B0C1D70.
switch(config)#show running-config | grep tacacs
tacacs-server key 7 1306014B5B06167B
Als ich eine andere verschlüsselte Zeichenfolge sah als die, die sie erwähnten, wurde ich neugierig. Also fügte ich denselben Schlüssel noch zehnmal hinzu und sah mir die verschlüsselten Versionen an:
tacacs-server key 7 0110105D0B01145E
tacacs-server key 7 070C37151E030B54
tacacs-server key 7 020512025B0C1D70
tacacs-server key 7 1306014B5B06167B
tacacs-server key 7 020512025B0C1D70
tacacs-server key 7 020512025B0C1D70
tacacs-server key 7 0110105D0B01145E
tacacs-server key 7 110A0F5C4718195D
tacacs-server key 7 0007055F54511957
tacacs-server key 7 03074D525605331D
Ich konnte dazu keine Informationen finden. Mich interessiert besonders die Tatsache, dass ich dreimal mit dem Schlüssel des Handbuchs kollidiert bin und dort eine weitere separate Kollision vorliegt. Was auch immer sie für ein Salting durchführen, es scheint keinen besonders großen Eingabebereich zu haben.
Wie wird das also verschlüsselt? Wenn ein Angreifer die Konfigurationsinformationen eines Geräts (z. B. die Ausgabe von show running-config) erhalten würde, wie einfach/schwer wäre es, den wahren tacacs+-Schlüssel zu berechnen?
Funktioniert Cisco IOS genauso? Ich habe kein Cisco-Laborgerät, auf dem ich damit experimentieren könnte, aber ich habe den Eindruck, dass Funktionen, von denen Arista dachte, dass sie nicht unterschiedlich sein müssten, bei Arista und Cisco identisch sind.
Antwort1
Das ist eine Cisco-Typ-7-Kodierung. Ich würde es nicht als Verschlüsselung bezeichnen, da es ein unglaublich schwacher Algorithmus ist. Um dies zu demonstrieren, fügen Sie eine dieser verschlüsselten Zeichenfolgen indieses Werkzeug, und Sie erhalten sofort den geheimen Schlüssel.
Die Variabilität der verschlüsselten Ausgabe kommt tatsächlich von einer Art Salt, genauer gesagt von tfd;kfoA,.iyewrkldJKD. Diese Zeichenfolge ist konstant, was variiert, ist der Startpunkt – die ersten beiden Zeichen der verschlüsselten Zeichenfolge geben an, wo auf dem Salt mit der Entschlüsselung begonnen werden soll.
SehenHierfür weitere Informationen zu den Einzelheiten der Implementierung des Algorithmus.
Antwort2
Diese Schlüssel sind, wie Shane erwähnte, kaum verschlüsselt und werden allgemein als bloßer Schutz gegen das Einsehen von Schlüsseln und Passwörtern über die Schulter angesehen. Tatsächlich, wenn Sie nicht habenDienst-Passwort-VerschlüsselungWenn diese in einem Cisco aktiviert sind, sind die Schlüssel im Klartext.
Wenn Sie diese Konfiguration mit jemandem außerhalb Ihrer Organisation teilen müssen, wird generell empfohlen, dass Sie die Schlüssel aus der Konfigurationsdatei und alle anderen Passwörter vom Typ 7 entfernen.