web-dev-qa-db-ja.com

AristaEOSとCisco IOS tacacs +暗号化キーをどのように暗号化しますか?

ネットワークデバイスでAAAにtacacsを使用していますが、デバイスがパスワードデバイス側をどのように暗号化しているかに興味があります。

Arista EOSマニュアル 、139ページに従って、私は実行しています:

switch(config)#tacacs-server key 0 cv90jr1

ガイドによると、対応する暗号化された文字列は020512025B0C1D70です。

switch(config)#show running-config | grep tacacs
tacacs-server key 7 1306014B5B06167B

彼らが言及したものとは異なる暗号化された文字列を見て、私は興味をそそられました。そこで、同じキーをさらに10回追加し、暗号化されたバージョンを確認しました。

tacacs-server key 7 0110105D0B01145E
tacacs-server key 7 070C37151E030B54
tacacs-server key 7 020512025B0C1D70
tacacs-server key 7 1306014B5B06167B
tacacs-server key 7 020512025B0C1D70
tacacs-server key 7 020512025B0C1D70
tacacs-server key 7 0110105D0B01145E
tacacs-server key 7 110A0F5C4718195D
tacacs-server key 7 0007055F54511957
tacacs-server key 7 03074D525605331D

これに関する情報は見つかりませんでした。マニュアルのキーを3回衝突させ、そこで別の衝突が発生したという事実に特に興味があります。彼らが行う塩漬けが何であれ、特に大きな入力ドメインを持っていないようです。

では、これはどのように暗号化されるのでしょうか?攻撃者がデバイスの構成情報(たとえば、show running-configの出力)を取得した場合、真のtacacs +キーを計算するのはどれほど簡単/難しいでしょうか?

Cisco IOSは同じように機能しますか?これを実験するためのラボCiscoデバイスはありませんが、アリスタが異なる必要があるとは思わなかった機能があるという印象を受けています。 AristaとCiscoの間で同一です。

securityciscoencryptioniostacacs+
2
David Mah

これはCiscoタイプ7エンコーディングです。これは非常に弱いアルゴリズムであるため、暗号化と呼ぶのをためらっています。実例を示すために、これらの暗号化された文字列のいずれかを このツール にドロップすると、すぐに秘密鍵が提供されます。

暗号化された出力の変動性は、確かにある種の塩から来ています-具体的には、tfd;kfoA,.iyewrkldJKD。その文字列は一定であり、変化するのは開始点です。暗号化された文字列の最初の2文字は、ソルトのどこから復号化を開始するかを示します。

アルゴリズムの実装の詳細については、 ここ を参照してください。

1
Shane Madden

シェーンが述べたように、これらのキーはほとんど暗号化されておらず、キーとパスワードの肩越しの表示に対する単なる防御として一般に認識されています。実際、シスコでservice password-encryptionを有効にしていない場合、キーはプレーンテキストになります。

この構成を組織外の誰かと共有する必要がある場合は、構成ファイルからキーを削除し、タイプ7を使用するその他のパスワードを削除することをお勧めします。

0
Eleck