ネットワークデバイスでAAAにtacacsを使用していますが、デバイスがパスワードデバイス側をどのように暗号化しているかに興味があります。
Arista EOSマニュアル 、139ページに従って、私は実行しています:
switch(config)#tacacs-server key 0 cv90jr1
ガイドによると、対応する暗号化された文字列は020512025B0C1D70
です。
switch(config)#show running-config | grep tacacs
tacacs-server key 7 1306014B5B06167B
彼らが言及したものとは異なる暗号化された文字列を見て、私は興味をそそられました。そこで、同じキーをさらに10回追加し、暗号化されたバージョンを確認しました。
tacacs-server key 7 0110105D0B01145E
tacacs-server key 7 070C37151E030B54
tacacs-server key 7 020512025B0C1D70
tacacs-server key 7 1306014B5B06167B
tacacs-server key 7 020512025B0C1D70
tacacs-server key 7 020512025B0C1D70
tacacs-server key 7 0110105D0B01145E
tacacs-server key 7 110A0F5C4718195D
tacacs-server key 7 0007055F54511957
tacacs-server key 7 03074D525605331D
これに関する情報は見つかりませんでした。マニュアルのキーを3回衝突させ、そこで別の衝突が発生したという事実に特に興味があります。彼らが行う塩漬けが何であれ、特に大きな入力ドメインを持っていないようです。
では、これはどのように暗号化されるのでしょうか?攻撃者がデバイスの構成情報(たとえば、show running-config
の出力)を取得した場合、真のtacacs +キーを計算するのはどれほど簡単/難しいでしょうか?
Cisco IOSは同じように機能しますか?これを実験するためのラボCiscoデバイスはありませんが、アリスタが異なる必要があるとは思わなかった機能があるという印象を受けています。 AristaとCiscoの間で同一です。
シェーンが述べたように、これらのキーはほとんど暗号化されておらず、キーとパスワードの肩越しの表示に対する単なる防御として一般に認識されています。実際、シスコでservice password-encryptionを有効にしていない場合、キーはプレーンテキストになります。
この構成を組織外の誰かと共有する必要がある場合は、構成ファイルからキーを削除し、タイプ7を使用するその他のパスワードを削除することをお勧めします。