Ecco una rottura:
`Abilita password`
* Storage: Memorizzato nel file di configurazione in pianura (o minimamente oscurato con una crittografia debole e fragile come la crittografia di tipo 7 di Cisco).
* Sicurezza: Molto debole . Chiunque abbia accesso al file di configurazione (in esecuzione di configurazione, configurazione di avvio o persino un backup) può facilmente leggere la password. La crittografia di tipo 7 è facilmente reversibile utilizzando strumenti online o script semplici.
* Utilizzo: Utilizzato principalmente per apparecchiature o situazioni più vecchie in cui la sicurezza non è una preoccupazione primaria (laboratori di test, reti isolate). è fortemente scoraggiato per gli ambienti di produzione.
* Esempio:
`` `
Abilita password mypassword
`` `
`Abilita Secret`
* Storage: Memorizzato nel file di configurazione in un molto più forte, crittografato a senso unico formato (di solito MD5 o sha256). Ciò significa che la password stessa non è mai direttamente visibile nella configurazione. Sebbene tecnicamente l'hash stesso è visibile, invertire un forte hash è computazionalmente impossibile.
* Sicurezza: significativamente più sicuro di `Abilita password '. Anche se qualcuno ottiene il file di configurazione, non può determinare facilmente la password effettiva.
* Utilizzo: consigliato Metodo per l'impostazione della password della modalità EXEC privilegiata. Dovrebbe essere sempre utilizzato negli ambienti di produzione.
* Precedenza: Se sono configurati sia la password "e` abilita secret`, la password `abilita segreta ha la precedenza. Il router richiederà la password `Abilita Secret`.
* Esempio:
`` `
Abilita segreta MySecretPassword
`` `
Differenze chiave riassunte:
| Caratteristica | `Abilita password` | `Abilita Secret`.
| ---------------- | -------------------------------- | -------------------------------- |
| Crittografia | Debole (o nessuno) | Strong (MD5 o SHA256) |
| Sicurezza | Basso | Alto |
| Archiviazione | Crittografia in chiaro o debole | Hashed (crittografia a senso unico) |
| Raccomandazione | Evita in produzione | consigliato |
| Precedenza | Inferiore (se `abilita segreto esiste) | Più alto |
perché `abilita secret` è superiore:
Hashing fornisce una funzione a senso unico. È possibile hash una password, ma non puoi facilmente sminuzzarla per ottenere la password originale. Ciò protegge la password anche se il file di configurazione è compromesso.
Considerazioni importanti:
* Password forti: Indipendentemente dal comando che usi (anche se dovresti sempre utilizzare `Abilita Secret`), scegli password complesse e complesse.
* Politiche di complessità della password: Implementare le politiche di complessità delle password per far rispettare l'uso di password forti.
* AAA (autenticazione, autorizzazione e contabilità): Per gli ambienti aziendali, considerare l'utilizzo di AAA con un server RADIUS o TACACS+ per la gestione e l'autenticazione centralizzate degli utenti. Questo è ancora più sicuro e scalabile delle password locali `abilita`.
* Secret 5: Cisco ha un "servizio password di servizio" che utilizza un metodo di crittografia debole (tipo 7) per "crittografare" tutte le password nel file di configurazione. È meglio di niente, ma è ancora relativamente facile da rompere. `Abilita Secret` è * molto * migliore alternativa.
in conclusione:
Usa sempre `Abilita Secret` per proteggere la modalità Exec privilegiata del router. Fornisce un livello di sicurezza significativamente più elevato rispetto a "Abilita password". Per la massima sicurezza, utilizzare AAA con un server di autenticazione esterno.
networking © www.354353.com