Мы используем tacacs для AAA на наших сетевых устройствах, и мне интересно / любопытно, как наши устройства шифруют пароли на стороне устройства.
После Руководство Arista EOS, стр. 139, бегу:
switch(config)#tacacs-server key 0 cv90jr1
В руководстве говорится, что соответствующая зашифрованная строка 020512025B0C1D70.
switch(config)#show running-config | grep tacacs
tacacs-server key 7 1306014B5B06167B
Увидев зашифрованную строку, отличную от той, которую они упомянули, мне стало любопытно. Поэтому я добавил тот же ключ еще десять раз и взглянул на зашифрованные версии:
tacacs-server key 7 0110105D0B01145E
tacacs-server key 7 070C37151E030B54
tacacs-server key 7 020512025B0C1D70
tacacs-server key 7 1306014B5B06167B
tacacs-server key 7 020512025B0C1D70
tacacs-server key 7 020512025B0C1D70
tacacs-server key 7 0110105D0B01145E
tacacs-server key 7 110A0F5C4718195D
tacacs-server key 7 0007055F54511957
tacacs-server key 7 03074D525605331D
Я не мог найти никакой информации об этом. Меня особенно интересует тот факт, что я трижды столкнулся с ключом из руководства и получил еще одно отдельное столкновение там. Независимо от того, что они делают, кажется, что у них нет особенно большой области ввода.
Так как же это зашифровать? Если злоумышленник должен получить информацию о конфигурации устройства (скажем, вывод show running-config), насколько легко / сложно было бы вычислить истинные tacacs + ключ?
Cisco IOS работает так же? У меня нет лабораторного устройства Cisco, на котором можно было бы поэкспериментировать, но у меня сложилось впечатление, что функции, которые, по мнению Arista, должны отличаться, идентичны между Arista и Cisco.
Это кодировка Cisco типа 7 ... Я бы не стал называть это шифрованием, поскольку это невероятно слабый алгоритм. Чтобы продемонстрировать, поместите любую из этих зашифрованных строк в этот инструмент, и он немедленно выдаст вам секретный ключ.
Различия в зашифрованном выводе действительно происходят из-за своего рода соли - в частности, tfd;kfoA,.iyewrkldJKD. Эта строка является константой, меняется только начальная точка - первые два символа зашифрованной строки указывают, где на соли начать расшифровку.
Видеть Вот для получения дополнительной информации об особенностях реализации алгоритма.
Эти ключи, как сказал Шейн, вряд ли зашифрованы и обычно считаются простой защитой от просмотра ключей и паролей из-за плеча. На самом деле, если у вас нет сервисное шифрование паролей включен в Cisco, ключи будут в виде открытого текста.
Обычно рекомендуется, чтобы, если вам нужно поделиться этой конфигурацией с кем-то за пределами вашей организации, вам необходимо удалить ключи из файла конфигурации и любые другие пароли, использующие тип 7.