Мы используем tacac для AAA на наших сетевых устройствах, и мне интересно/любопытно узнать, как наши устройства шифруют пароли на стороне устройства.
ПослеРуководство пользователя Arista EOS, страница 139, я запускаю:
switch(config)#tacacs-server key 0 cv90jr1
В руководстве говорится, что соответствующая зашифрованная строка — 020512025B0C1D70.
switch(config)#show running-config | grep tacacs
tacacs-server key 7 1306014B5B06167B
Увидев другую зашифрованную строку, чем та, которую они упомянули, мне стало любопытно. Поэтому я добавил тот же ключ еще десять раз и взглянул на зашифрованные версии:
tacacs-server key 7 0110105D0B01145E
tacacs-server key 7 070C37151E030B54
tacacs-server key 7 020512025B0C1D70
tacacs-server key 7 1306014B5B06167B
tacacs-server key 7 020512025B0C1D70
tacacs-server key 7 020512025B0C1D70
tacacs-server key 7 0110105D0B01145E
tacacs-server key 7 110A0F5C4718195D
tacacs-server key 7 0007055F54511957
tacacs-server key 7 03074D525605331D
Я не смог найти никакой информации об этом. Мне особенно интересно то, что я столкнулся с ключом руководства три раза и у меня там есть еще одна отдельная коллизия. Какую бы соль они ни делали, похоже, у них не очень большой входной домен.
Так как же это шифруется? Если бы злоумышленник получил информацию о конфигурации устройства (скажем, вывод show running-config), насколько легко/сложно было бы вычислить истинный ключ tacacs+?
Cisco IOS работает так же? У меня нет лабораторного устройства Cisco, чтобы поэкспериментировать с этим, но у меня сложилось впечатление, что функции, которые Arista не посчитала нужными, идентичны у Arista и Cisco.
решение1
Это кодировка Cisco типа 7. Я бы не стал называть это шифрованием, так как это невероятно слабый алгоритм. Чтобы продемонстрировать, поместите любую из этих зашифрованных строк вэтот инструмент, и он немедленно предоставит вам секретный ключ.
Изменчивость зашифрованного вывода действительно возникает из-за своего рода соли, а именно tfd;kfoA,.iyewrkldJKD. Эта строка постоянна, меняется только начальная точка — первые два символа зашифрованной строки указывают, с какой части соли следует начать расшифровку.
Видетьздесьдля получения более подробной информации об особенностях реализации алгоритма.
решение2
Эти ключи, как упомянул Шейн, едва ли зашифрованы и обычно считаются просто защитой от просмотра ключей и паролей через плечо. На самом деле, если у вас нетсервис пароль-шифрованиепри включении в Cisco ключи будут открытым текстом.
Обычно рекомендуется, если вам необходимо поделиться этой конфигурацией с кем-то за пределами вашей организации, удалить ключи из файла конфигурации и любые другие пароли, использующие тип 7.