Neste post vamos discutir como deixar as senhas usadas em roteadores Cisco mais fortes, definindo um número mínimo de caracteres e ativando o serviço de criptografia de senhas. Primeiro, vamos definir o tamanho mínimo das senhas com o comando abaixo:
Router(config)#security passwords min-length ?
<0-16> Minimum length of all user/enable passwords
Aqui vemos que o número mínimo pode ser definido para até 16 caracteres. É interessante notar que o espaço em branco digitado a esquerda antes de qualquer caracter é ignorado, mas se o espaço for colocado no meio da string é considerado um caracter válido.
Com exceção da enable secret, todas as deais senhas são apresentadas em texto claro quando usamos os comandos show running-config ou show startup-config. Para fazer com que todas as novas senhas sejam criptografadas de forma nativa ao serem definidas, usamos:
Router(config)#service password-encryption
É importante notar que o serviço de encriptação não vai converter as atuais senhas existentes em texto claro e que nem a sua desativação irá desencriptar as senhas que estiverem cifradas. A lógica é a seguinte: Todas as senhas que forem definidas enquanto o serviço estiver ativo serão criptografadas. Portanto, é necessário redefinir as senhas já existentes:
Router(config-line)#line console 0
Router(config-line)#password console2010
Router(config-line)#login
Router(config-line)#line vty 0 4
Router(config-line)#password telnet2010
Router(config-line)#login
Estas senhas já devem aparecer criptografadas com o número 7 indicando a criptografia proprietária da Cisco:
!
!
!
line con 0
password 7 082243401A160912405B5D54
login
line vty 0 4
password 7 08354942071C1145425A5C
login
!
!
!
Uma outra boa medida de segurança para suas senhas é usar a palavra secret no lugar de password na hora de definir as senhas dos seus usuários locais:
Router(config)#username huguinho secret netfindersbrasil2010
Router(config)#username zezinho secret netfindersbrasil2010
Router(config)#username luizinho secret netfindersbrasil2010
Ao verificar com o comando show runn, vemos que as senhas foram criptografadas como tipo 5 --> md5, mais seguras que o tipo 7 usado nos exemplos anteriores:
!
username huguinho secret 5 $1$mERr$EVIxOm6/n2ECVovxbzOQO/
username luizinho secret 5 $1$mERr$EVIxOm6/n2ECVovxbzOQO/
username zezinho secret 5 $1$mERr$EVIxOm6/n2ECVovxbzOQO/
!
VC pode opcionalmente indicar que a senha ficará em texto claro substituindo o número 5 com o 0 (zero).
Abs,
6 comentários:
A não recomenda mais o uso de encriptação do tipo 7, usem md5, segue link oficial da cisco:
http://www.cisco.com/en/US/tech/tk59/technologies_tech_note09186a00809d38a7.shtml
Me desculpe colegas, mas não reconheço a encriptação do tipo 7 uma medida de segurança, inclusive, a cisco não recomenda mais o uso dessa encriptação, portanto, usem md5, segue um link interessante da cisco, sobre encriptações de senha, segue:
http://www.cisco.com/en/US/tech/tk59/technologies_tech_note09186a00809d38a7.shtml
Um cracker de encriptação do tipo 7: http://www.kazmier.com/computer/cisco-noswing.html
Ielton,
Só tenho que lhe agradecer pela contribuição. Conforme o link que vc nos enviou, apesar da Cisco reconhecer que a encriptação do tipo 7 é fraca, ela ainda não a aboliu.
Mais uma razão para usar o argumento secret na criação de um username local e usar a encriptação do tipo 5.
Abs,
Adilson, eu que agradeço, o blog está muito bom, parabéns a todos, abraço.
Senhores, falando em senhas de equipamentos Cisco, este site pode ajudar a quebrar algumas delas: http://www2.tongzweb.com/tools/cisco.asp
Para teste utilizem o código e cliquem em Decrypt
082243401A160912405B5D54
Postar um comentário