Vulnerabilità relativa alle password criptate sui dispositivi Cisco

Creato il 22 novembre 2010 da Nightfly

Uno dei primi argomenti che vengono trattati nell'ambito del corso CCNA riguarda l'uso del comando service password-encryption per cifrare le password impostate durante la configurazione dei dispositivi di casa Cisco (altrimenti esse verrebbero salvate come plaintext, ovvero "in chiaro").

Peccato però che tale comando sia completamente inutile, in quanto l'algoritmo utilizzato per cifrare le password si è rivelato del tutto inadeguato per garantire un livello di sicurezza sufficiente. Basta quindi procurarsi un file di configurazione in cui sono presenti le password cifrate in modalità 7,  ovvero mediante un algoritmo proprietario Cisco che nasce inizialmente come sistema di cifratura one-way per poi rivelarsi (nel 2008) totalmente reversibile, per conoscere tutte le password settate dall'amministratore.

Mi sono imbattuto in tale problematica recentemente, studiando in modo piuttosto approfondito la configurazione di alcuni switch. Nella fattispecie, volevo verificare che le password definite fossero corrette.

Potete avere conferma di quanto detto semplicemente copiando una password cifrata in modalità 7 per poi incollarla nell'apposito campo di input presente su questo sito.

Ma come fare per ovviare a tale problema?

Per prima cosa conviene utilizzare enable secret anzichè enable password per definire la password relativa all'EXEC mode del nostro dispositivo. Inoltre, se la nostra configurazione viene postata su forum vari, soprattutto per testarne la qualità e verificare l'eventuale presenza di errori, è necessario rimuovere completamente la password cifrata in modalità 7.

Ma perchè enable secret consente di ottenere un livello di protezione superiore? Semplicemente perchè tale comando genera un digest MD5 della nostra password, molto più "solido" dell'algoritmo di cifratura Cisco, anche se non completamente sicuro (ma tale regola vale per tutti gli algoritmi di cifratura one-way).

Ci aggiorniamo. Bye.