21 de jul. de 2010

As senhas de seu Router são seguras ?


Neste post vamos discutir como deixar as senhas usadas em roteadores Cisco mais fortes, definindo um número mínimo de caracteres e ativando o serviço de criptografia de senhas. Primeiro, vamos definir o tamanho mínimo das senhas com o comando abaixo:

Router(config)#security passwords min-length ?
<0-16> Minimum length of all user/enable passwords


Aqui vemos que o número mínimo pode ser definido para até 16 caracteres. É interessante notar que o espaço em branco digitado a esquerda antes de qualquer caracter é ignorado, mas se o espaço for colocado no meio da string é considerado um caracter válido.

Com exceção da enable secret, todas as deais senhas são apresentadas em texto claro quando usamos os comandos show running-config ou show startup-config. Para fazer com que todas as novas senhas sejam criptografadas de forma nativa ao serem definidas, usamos:

Router(config)#service password-encryption

É importante notar que o serviço de encriptação não vai converter as atuais senhas existentes em texto claro e que nem a sua desativação irá desencriptar as senhas que estiverem cifradas. A lógica é a seguinte: Todas as senhas que forem definidas enquanto o serviço estiver ativo serão criptografadas. Portanto, é necessário redefinir as senhas já existentes:

Router(config-line)#line console 0
Router(config-line)#password console2010
Router(config-line)#login
Router(config-line)#line vty 0 4
Router(config-line)#password telnet2010
Router(config-line)#login


Estas senhas já devem aparecer criptografadas com o número 7 indicando a criptografia proprietária da Cisco:

!
!
!
line con 0
password 7 082243401A160912405B5D54
login
line vty 0 4
password 7 08354942071C1145425A5C
login
!
!
!

Uma outra boa medida de segurança para suas senhas é usar a palavra secret no lugar de password na hora de definir as senhas dos seus usuários locais:

Router(config)#username huguinho secret netfindersbrasil2010
Router(config)#username zezinho secret netfindersbrasil2010
Router(config)#username luizinho secret netfindersbrasil2010

Ao verificar com o comando show runn, vemos que as senhas foram criptografadas como tipo 5 --> md5, mais seguras que o tipo 7 usado nos exemplos anteriores:

!
username huguinho secret 5 $1$mERr$EVIxOm6/n2ECVovxbzOQO/
username luizinho secret 5 $1$mERr$EVIxOm6/n2ECVovxbzOQO/
username zezinho secret 5 $1$mERr$EVIxOm6/n2ECVovxbzOQO/
!

VC pode opcionalmente indicar que a senha ficará em texto claro substituindo o número 5 com o 0 (zero).

Abs,

6 comentários:

  1. A não recomenda mais o uso de encriptação do tipo 7, usem md5, segue link oficial da cisco:

    http://www.cisco.com/en/US/tech/tk59/technologies_tech_note09186a00809d38a7.shtml

    ResponderExcluir
  2. Me desculpe colegas, mas não reconheço a encriptação do tipo 7 uma medida de segurança, inclusive, a cisco não recomenda mais o uso dessa encriptação, portanto, usem md5, segue um link interessante da cisco, sobre encriptações de senha, segue:

    http://www.cisco.com/en/US/tech/tk59/technologies_tech_note09186a00809d38a7.shtml

    ResponderExcluir
  3. Um cracker de encriptação do tipo 7: http://www.kazmier.com/computer/cisco-noswing.html

    ResponderExcluir
  4. Ielton,

    Só tenho que lhe agradecer pela contribuição. Conforme o link que vc nos enviou, apesar da Cisco reconhecer que a encriptação do tipo 7 é fraca, ela ainda não a aboliu.

    Mais uma razão para usar o argumento secret na criação de um username local e usar a encriptação do tipo 5.

    Abs,

    ResponderExcluir
  5. Adilson, eu que agradeço, o blog está muito bom, parabéns a todos, abraço.

    ResponderExcluir
  6. Senhores, falando em senhas de equipamentos Cisco, este site pode ajudar a quebrar algumas delas: http://www2.tongzweb.com/tools/cisco.asp

    Para teste utilizem o código e cliquem em Decrypt

    082243401A160912405B5D54

    ResponderExcluir