우리는 네트워크 장치에서 AAA용 tacacs를 사용하고 있으며 우리 장치가 장치 측에서 암호를 암호화하는 방법에 관심이 있거나 궁금합니다.
다음아리스타 EOS 매뉴얼, 139페이지, 실행 중:
switch(config)#tacacs-server key 0 cv90jr1
가이드는 해당 암호화된 문자열이 이라고 알려줍니다 020512025B0C1D70.
switch(config)#show running-config | grep tacacs
tacacs-server key 7 1306014B5B06167B
그들이 언급한 것과 다른 암호화된 문자열을 보니 호기심이 생겼습니다. 그래서 동일한 키를 10번 더 추가하고 암호화된 버전을 살펴보았습니다.
tacacs-server key 7 0110105D0B01145E
tacacs-server key 7 070C37151E030B54
tacacs-server key 7 020512025B0C1D70
tacacs-server key 7 1306014B5B06167B
tacacs-server key 7 020512025B0C1D70
tacacs-server key 7 020512025B0C1D70
tacacs-server key 7 0110105D0B01145E
tacacs-server key 7 110A0F5C4718195D
tacacs-server key 7 0007055F54511957
tacacs-server key 7 03074D525605331D
이에 대한 정보를 찾을 수 없었습니다. 특히 매뉴얼의 키를 세 번 충돌시켰고 거기에 또 다른 별도의 충돌이 있었다는 사실에 관심이 갑니다. 그들이 무엇을 하든 입력 영역이 특별히 크지 않은 것 같습니다.
그렇다면 이것이 어떻게 암호화됩니까? 공격자가 장치의 구성 정보(예: 의 출력 show running-config)를 획득하려는 경우 실제 tacacs+ 키를 계산하는 것이 얼마나 쉽거나/어려울까요?
Cisco IOS도 같은 방식으로 작동합니까? 나는 이것을 실험할 실험실 Cisco 장치가 없지만 Arista가 다를 필요가 없다고 생각했던 기능이 Arista와 Cisco 간에 동일하다는 인상을 받았습니다.
답변1
답변2
Shane이 언급했듯이 이러한 키는 거의 암호화되지 않으며 일반적으로 키와 비밀번호를 어깨 너머로 보는 것에 대한 단순한 방어 수단으로 인식됩니다. 사실, 가지고 있지 않다면서비스 비밀번호 암호화Cisco에서 활성화되면 키는 일반 텍스트가 됩니다.
일반적으로 이 구성을 조직 외부의 누군가와 공유해야 하는 경우 구성 파일에서 키와 유형 7을 사용하는 다른 비밀번호를 제거해야 하는 것이 좋습니다.