+7 (343) 263-74-66
info@novacom.ru

Cisco Tips: Схема шифрования паролей в Cisco IOS

По имеющимся сведениям некий источник выпустил новую программу для расшифровки пользовательских паролей в конфигурационных файлах маршрутизаторов Cisco. Эта программа не расшифровывает наборы паролей защищеные командой enable secret.

Неожиданное беспокойство пользователей Cisco связанное с появлением этой программы заставило нас подозревать, что многие пользователи предполагают в существующей системе шифрования паролей гораздо большую защиту, чем та, для которой она изначально проектировалась. Данный документ объясняет принцип шифрования паролей в маршрутизаторах Cisco и ограничения этой схемы безопасности.

Пользовательские пароли

Пользовательские пароли и большинство других паролей (исключая enable secret) в конфигурационных файлах Cisco IOS зашифровано с помощью алгоритма, который является очень слабым по современным стандартам криптографии.

Хотя Cisco не распространяет программу расшифровки, через Internet доступны по меньшей мере две различных программы, выполняющих данную функцию. Впервые такая програма появилась в начале 1995 года. Мы считаем что хороший программист-дешифровальщик сможет написать такую программу за несколько часов.

Схема, использованная в Cisco IOS для зашифровки пользовательских паролей никогда не планировалась для противостояния целенаправленной атаке, она проектировалась для того, чтобы избежать случайного подсмотра пароля "через плечо". Никогда не предполагалось, что она устоит против расшифровки с детальным анализом содержимого  конфигурационного файла.

В связи с таким слабым алгоритмом шифрования, Cisco предполагалось, что пользователь должен хранить конфигурационные файлы, содержащие пароли с теми же мерами предосторожности, какие предпринимаются для хранения открытого списка паролей.

Пароли Enable Secret

Пароли enable secret закодированы с использованием алгоритма MD5. По данным Cisco не существует способа восстановить пароль enable secret по содержимому конфигурационного файла. Единственный способ - простой перебор всех возможных комбинаций букв.

Примечание: это относится только к паролям, заданным с помощью команды enable secret и не относится к тем, которые заданы с помощью команды enable password. Разница между этими командами и заключается в системе кодирования.

Другие пароли

Почти все пароли и другие строки аутентикации пользователей в конфигурационных файлах закодированы слабым, обратимым алгоритмом, использованным для пользовательских паролей. Чтобы определить, с помощью какой схемы закодирован конкретный пароль, проверьте цифру, предшествующую закодированной строке в конфигурационном файле. Если эта цифра 7, то пароль закодирован слабым алгоритмом. Если цифра 5 - пароль закодирован сильным алгоритмом MD5.

Например, команда в конфигурации:

    enable secret 5 $1$iUjJ$cDZ03KKGh7mHfX2RSbDqP.

Данный пароль закодирован алгоритмом MD5, тогда как в команде

    username jbash password 7 07362E590E1B1C041B1E124C0A2F2E206832752E1A01134D

пароль закодирован слабым, восстанавливаемым алгоритмом.

Может ли алгоритм быть изменен?

Cisco не планирует немедленно включить поддержку  сложных алгоритмов шифрования паролей в Cisco IOS. Если Cisco решит встроить эту поддержку в дальнейшем, это определенно увеличит сложность администрирования тех пользователей, которые захотят ее испльзовать.

В общем же случае, возможно использование алгоритма MD5, как и для паролей enable secret, поскольку этот алгоритм однонаправленный и пароль не может быть восстановлен из зашифрованных данных. Однако для поддержки некоторых протоколов аутентикации (к примеру CHAP) системе требуется доступ к незакодированным паролям, и она должна хранить их используя восстановимый алгоритм.

Ключевые задачи администрирования делают задачу перехода на более сложные восстановимые алгоритмы шифрования, такие как DES весьма нетривиальной. Хотя несложно модифицировать Cisco IOS для использования DES для кодировки паролей, администратор не получит преимуществ в безопасности если все системы с Cisco IOS в сети будут использовать один и тот же ключ DES. Если же ключи для всех систем будут различными, то это сильно увеличит нагрузку на сетевых администраторов и переносимость конфигурационныз файлов между системами будет нарушена. Потребность же пользователей в сложном восстановимом алгоритме шифрования паролей невысока и не оправдывает таких затрат.

 

ООО "Новаком" тел./факс (343) 263-74-66 (многоканальный),   info@novacom.ru