Qual è il risultato dell'aggiunta della crittografia della password del servizio di comando globale alla configurazione di un router?

L'aggiunta di `Criplesso del servizio di comando globale crittografia" alla configurazione di un router ha il seguente risultato:

crittografa tutte le password * non crittografate * nel file di configurazione del router.

Ecco una rottura:

* `Service Password-Cryption` (Comando di configurazione globale): Questo comando viene utilizzato per crittografare le password memorizzate nel file di configurazione. È una misura di sicurezza per evitare la visualizzazione non autorizzata delle password in chiaro.

* Cosa crittografa: In particolare crittografa le password memorizzate in un formato * non crittografato * di leggibili umani all'interno della configurazione. Questo in genere include password utilizzate per:

* `Abilita segreto ` (la password della modalità Exec privilegiata)

* `riga vty 0 15 password ` (password di riga Telnet/SSH)

* `nome utente password ` (password del database utente locale)

* `nome utente segreto ` (questa voce non verrà crittografata)

* Altri luoghi in cui `password ` viene utilizzato nella configurazione.

* Algoritmo di crittografia: Cisco IOS utilizza un algoritmo di crittografia proprietaria relativamente debole (crittografia di tipo 7) a tale scopo. È meglio del testo in chiaro, ma non è considerato altamente sicuro dagli standard moderni. Pertanto, si consiglia di crittografarli utilizzando una password più forte come `Abilita Secret` o` Nome utente Secret `.

* Non crittografa tutto:

* Non crittografa il traffico che passa attraverso il router.

* Non crittografa le password che sono già crittografate con un algoritmo più forte (come MD5 o SHA). Le password configurate con la parola chiave `Secret` sono di solito memorizzate con un hash a senso unico, rendendole molto più difficili da decifrare.

* Non crittografa le password archiviate esternamente, come quelle utilizzate per raggio o autenticazione TACACS+.

*Crittografa solo le password che si trovano nella *configurazione in esecuzione *.

* Come applicare: Si inserisce la modalità di configurazione globale (`configure Terminal`) e quindi digitare` Service Password-critting` e premere Invio.

Esempio:

Prima:

`` `

Abilita la password Cisco

riga vty 0 4

Password Cisco

login

`` `

Dopo (dopo aver eseguito `servizio password-cription`):

`` `

Abilita password 050D1A11031B1B03

riga vty 0 4

Password 050D1A11031B1B03

login

`` `

La password `Cisco` è ora crittografata.

Considerazioni importanti:

* debolezza di sicurezza: Come accennato, la crittografia di tipo 7 è relativamente debole. Gli strumenti sono prontamente disponibili online per rompere queste password. Consideralo un livello base di sicurezza, non robusto.

* Best Practices:

* Usa `Abilita segreto `: Questo comando utilizza un algoritmo di crittografia più forte (MD5 o SHA) per la password EXEC privilegiata. Usalo sempre su `Abilita password`.

* Usa `nome utente segreto `: Questo comando utilizza un algoritmo di crittografia più forte (MD5 o SHA) per le password del nome utente.

* Usa ssh, non telnet: SSH crittografa l'intera sessione, comprese le password, mentre vengono digitate. Telnet invia password in chiaro.

* Implementa AAA (autenticazione, autorizzazione e contabilità): Utilizzare server di autenticazione esterna (raggio o TACAC+) per l'autenticazione dell'utente. Ciò centralizza la gestione delle password e spesso fornisce misure di sicurezza più forti.

* Modifiche a password regolari: Applicare una politica di modifica della password per ridurre al minimo il rischio di password compromesse.

In sintesi, `servizio password-entryption` fornisce un livello base di protezione da password crittografando le password in chiaro nel file di configurazione del router. Tuttavia, non è un sostituto di forti politiche di password, metodi di autenticazione sicuri e utilizzando tecniche di crittografia più robuste ove disponibili.

• Come si elimina la password dell'account utente? 
• Hai caricato un file RAR da Rapidshare Come trovi la password?