Estamos usando tacacs para AAA en nuestros dispositivos de red, y estoy interesado/curioso en cómo nuestros dispositivos cifran las contraseñas del lado del dispositivo.
Siguiendo elManual de Arista EOS, página 139, estoy ejecutando:
switch(config)#tacacs-server key 0 cv90jr1
La guía me dice que la cadena cifrada correspondiente es 020512025B0C1D70.
switch(config)#show running-config | grep tacacs
tacacs-server key 7 1306014B5B06167B
Ver una cadena cifrada diferente a la que mencionaron me dio curiosidad. Entonces agregué la misma clave diez veces más y eché un vistazo a las versiones cifradas:
tacacs-server key 7 0110105D0B01145E
tacacs-server key 7 070C37151E030B54
tacacs-server key 7 020512025B0C1D70
tacacs-server key 7 1306014B5B06167B
tacacs-server key 7 020512025B0C1D70
tacacs-server key 7 020512025B0C1D70
tacacs-server key 7 0110105D0B01145E
tacacs-server key 7 110A0F5C4718195D
tacacs-server key 7 0007055F54511957
tacacs-server key 7 03074D525605331D
No pude encontrar ninguna información sobre esto. Estoy particularmente interesado en el hecho de que choqué la llave del manual tres veces y tuve otra colisión separada allí. Cualquiera que sea la salazón que hagan, parece no tener un dominio de entrada particularmente grande.
Entonces, ¿cómo se cifra esto? Si un adversario obtuviera la información de configuración de un dispositivo (por ejemplo, la salida de show running-config), ¿qué tan fácil/difícil sería calcular la verdadera clave tacacs+?
¿Cisco IOS funciona de la misma manera? No tengo un dispositivo Cisco de laboratorio para experimentar con esto, pero tengo la impresión de que las características que Arista no pensó que debían ser diferentes son idénticas entre Arista y Cisco.
Respuesta1
Esa es una codificación Cisco tipo 7. Dudaría en llamarlo cifrado, ya que es un algoritmo increíblemente débil. Para demostrarlo, coloque cualquiera de esas cadenas cifradas enesta herramienta, y te dará la clave secreta inmediatamente.
La variabilidad en la salida cifrada de hecho proviene de una especie de sal, específicamente, tfd;kfoA,.iyewrkldJKD. Esa cadena es constante, lo que varía es el punto de inicio: los primeros dos caracteres de la cadena cifrada indican en qué parte del salt comenzar a descifrar.
Veraquípara obtener más información sobre los detalles de la implementación del algoritmo.
Respuesta2
Esas claves, como mencionó Shane, apenas están cifradas y comúnmente se las reconoce simplemente como una defensa contra la visualización de claves y contraseñas por encima del hombro. De hecho, si no tienesservicio de cifrado de contraseñahabilitado en un Cisco, las claves serán texto sin formato.
En general, se recomienda que si necesita compartir esta configuración con alguien fuera de su organización, elimine las claves del archivo de configuración y cualquier otra contraseña que utilice el tipo 7.