admin / 03.07.2018
Как известно, пароли в конфигах устройств Cisco хранятся тремя способами:
1. В открытом виде, в конфиге в явном виде указан пароль.
2. Пароль «тип 7» или «password 7» — пароль закодирован шестнадцатеричными цифрами, обычно 20 цифр. Таким методом кодируется пароль enable или пользовательские пароли. Кодирующая последовательность легко преобразуется в открытый пароль, и его калькуляторы в обилии есть в Интернете, поэтому Cisco не рекомендует использовать такой способ хранения пароля в конфигурации.
3. Пароль типа secret применяется к паролю enable и к пользовательским паролям. В этом случае конфиг хранит не сам пароль, просто контрольную сумму от пароля — хеш. Поскольку программа Cain&Abel называет такие хеши Cisco IOS-MD5 Hash, то вполне возможно, что они вычисляются в устройстве Cisco по алгоритму MD5. Процедура проверки пароля при этом следующая — от введенного пользователем пароля вычисляется хеш, и сравнивается с тем, что сохранен в конфигурации. Если хеши совпадают, то пароль верен. Интересно, что вычисление хеша Cisco от пароля неоднозначное — есть несколько вариантов хеша для одного и того же пароля. Длина хеша обычно 30 символов. Пароль secret наиболее часто используется, поскольку позволяет хорошо защитить устройство.
Пароль типа secret можно взломать, зная хеш — перебираются варианты пароля, и хеши вариантов сравниваются с эталоном на совпадение. Такой возможностью обладает программа Cain&Abel — абсолютный must have для хакера или специалиста по безопасности. Скачать программу (она бесплатна) можно тут — http://www.oxid.it/cain.html (версия для Windows). Пароли к устройствам Cisco (как, впрочем, и многие другие разновидности паролей) взламываются на закладке Cracker — в папку Cisco IOS-MD5 Hashes добавляется текстовый хеш пароля, и потом через контекстное меню можно применить Brute-Force Attack (простой перебор паролей) или Dictionary Attack (подбор пароля из словаря). Кроме того, можно проверить на хеше пароль (пункт контекстного меню Test Password). Хеши с верным (или расшифрованным) паролем помечается значком со связкой ключей, а неправильный пароль — закрытым замком. Хеши, которые еще не разгадывались, обозначаются крестиком. См. скриншот:
Время, которое нужно для взлома грубым перебором алфавитно-цифрового пароля на процессоре Celeron 2.53 ГГц:
Пароль из 3 символов — меньше минуты.
Пароль из 4 символов — примерно 10 минут.
Пароль из 5 символов — 6 часов.
Пароль из 6 символов — около 10 дней.
Пароль из 7 символов — почти год.
Таким образом, методом грубого перебора реально вскрыть только простые пароли — не длиннее 6 символов.
В программе Cain&Abel есть также утилита для вычисления паролей Cisco password 7 — доступна через меню Tools\Cisco Type-7 Password Decoder.
Содержание
Рубрика: Конфигурация и тестирование сети
Чтобы обеспечить дополнительную безопасность, используйте команду enable password или .
Любая из этих команд может использоваться, чтобы установить аутентификацию прежде, чем получить доступ к привилегированному режиму EXEC (режиму enable).
Всегда используйте команду , а не более старую команду по возможности. Команда обеспечивает большую безопасность, потому что пароль шифруется. Команда может использоваться только если еще не была установлена.
Команду можно использовать, если устройство использует более старую копию программного обеспечения Cisco IOS, которое не распознает команду .
Следующие команды используются, чтобы устанавливать пароли:
Отметьте: Если не установлен пароль или , IOS предотвращает привилегированный доступ EXEC из сеанса Telnet.
Без установки пароля посредством , сеанс Telnet произвел бы следующий вывод:
Линии vty предоставляют доступ к маршрутизатору через Telnet. По умолчанию многие устройства Cisco поддерживают пять линий VTY, которые нумеруются от 0 до 4. Пароль должен быть установлен для всех доступных линий vty. Один и тот же пароль может быть установлен для всех соединений. Однако, часто требуется, чтобы для одной из линий устанавливается уникальный пароль, чтобы обеспечить альтернативную запись при подключении администратора, если другие соединения используются.
Следующие команды применяются, чтобы установить пароль на линии vty:
По умолчанию IOS включает команду для линий VTY. Это предотвращает доступ Telnet к устройству без предварительной аутентификации. Если, по ошибке, устанавливается команда , которая удаляет требование аутентификации, неправомочные люди могут соединиться с линией, используя Telnet. Это является большой угрозой безопасности.
Другая полезная команда препятствует тому, чтобы пароль отображался простым текстом при просмотре конфигурационных файлов. Это команда .
Эта команда заставляет шифровать пароли при их конфигурации. Команда применяет слабое шифрование ко всем незашифрованным паролям. Это шифрование не применяется к паролям, когда они отправляются через носитель, а используется только в конфигурации. Цель этой команды состоит в том, чтобы воспрепятствовать неправомочным людям подсмотреть пароли в конфигурационном файле.
Если Вы выполняете команду или до выполнения команды , незашифрованные пароли будут видимы при выводе конфигурации. Если затем выполняется , то шифрование будет применено к паролям. Как только шифрование было применено, удаление службы шифрования не инвертирует шифрование.
Далее: Протоколы Канального уровня — Пример протокола уровня 2
Смотрите также
Написать
Использование утилиты подключения Intel® PROSet/Wireless WiFi
Персональная защита
Настройки персональной защиты
Настройка шифрования данных и аутентификации
Корпоративная защита
Настройки корпоративной защиты
Сетевая аутентификация
Типы аутентификации 802.1X
В следующих разделах рассказано, как использовать утилиту подключения Intel® PROSet/Wireless WiFi для установки необходимых параметров безопасности вашего адаптера WiFi. См. раздел Персональная защита.
В них также приведена информация о том, как сконфигурировать дополнительные параметры безопасности для вашего адаптера WiFi. Настройка указанных параметров требует получения дополнительной информации от системного администратора (для корпоративных систем) или дополнительной настройки безопасности вашей точки доступа (для частных пользователей). См. раздел Корпоративная защита.
Общая информация о настройках защиты приведена в разделе Обзор возможностей защиты.
В домашних условиях можно использовать разнообразие простых процедур настройки системы безопасности для обеспечения защиты беспроводного подключения. В их число входит:
Шифрование WPA (Wi-Fi Protected Access), которое обеспечивает защиту ваших данных и сети. WPA использует ключ шифрования, называемый предварительно опубликованным ключом PSK (Pre-Shared Key), для шифрования данных перед их отправкой. Для доступа к этим данным необходимо ввести этот же пароль на всех компьютерах и в точке доступа вашей домашней или офисной сети. Только компьютеры, использующие этот же ключ, могут получить доступ к сети и расшифровать переданные другими компьютерами данные. Для шифрования данных пароль автоматически инициирует протокол целостности временного ключа (Temporal Key Integrity Protocol — TKIP) или протокол AES-CCMP.
WEP-шифрование представляет два уровня защиты:
Для повышения безопасности необходимо использовать 128-битный ключ. Если вы используете шифрование, все устройства в беспроводной сети должны использовать одинаковые ключи шифрования.
Необходимо создать ключ и указать его длину (64 или 128 бит) и индекс ключа (местоположение хранения ключа). Ключ, имеющий большую длину, наиболее защищен.
Контрольная фраза (64 бита): Введите пять (5) алфавитно-цифровых символов: 0-9, a-z или A-Z.
Шестнадцатеричный ключ (64 бита): Ведите 10 шестнадцатиричных символов: 0-9, A-F.
Контрольная фраза (128 бит): Введите 13 алфавитно-цифровых символов, 0-9, a-z или A-Z.
Шестнадцатеричный ключ (128 бит): Ведите 26 шестнадцатиричных символов: 0-9, A-F.
С WEP-шифрованием данных станция беспроводной сети может иметь в конфигурации до четырех ключей (значения индекса ключа: 1, 2, 3 и 4). Когда точка доступа или станция беспроводной сети передает шифрованное сообщение, использующее ключ, хранящийся в указанном индексе ключа, переданное сообщение будет указывать на индекс ключа, использованного для шифрования сообщения. Принимающая точка доступа или станция беспроводной сети может найти ключ, хранящийся в индексе, и использовать его для дешифрования сообщения.
Внимание! Сети WiFi, не использующие аутентификации или шифрования, особенно уязвимы в отношении доступа неавторизованных пользователей.
В главном окне утилиты подключений WiFi можно выбрать один их следующих способов подключения к сети «Infrastructure»:
Если аутентификация в сети не требуется, подключение будет выполнено без запроса идентификационной информации. Любое беспроводное устройство, использующее корректное имя сети (SSID), сможет подключиться к другим устройствам сети.
Для создания профиля для подключения к сети WiFi без шифрования:
Теперь профиль добавлен в список профилей и может использоваться для подключения к сети.
Если включено шифрование данных (WEP), для этой цели используется сетевой ключ или пароль.
Сетевой ключ предоставляется автоматически (например, он может быть предоставлен производителем адаптера беспроводной сети) или вы можете ввести его самостоятельно, указав длину ключа (64 или 128 бит), формат ключа (ASCII-символы или шестнадцатиричные цифры) и индекс ключа (место хранения ключа). Ключ, имеющий большую длину, наиболее защищен.
Для добавления ключа для подключения к одноранговой сети (ad hoc):
Для добавления пароля или сетевого ключа:
Когда в точке доступа разрешено WEP-шифрование, WEP-ключ используется для проверки доступа к сети. Если беспроводное устройство не имеет правильного WEP-ключа, даже при успешной аутентификации устройство не может передавать данные через точку доступа или дешифровать полученные от нее данные.
Имя Описание Пароль
Введите пароль сетевой защиты (контрольная фраза) или ключ шифрования (WEP-ключ).
Контрольная фраза (64 бита)
Введите пять (5) алфавитно-цифровых символов: 0-9, a-z или A-Z.
WEP-ключ (64 бита)
Ведите 10 шестнадцатиричных символов: 0-9, A-F.
Контрольная фраза (128 бит)
Введите 13 алфавитно-цифровых символов, 0-9, a-z или A-Z.
WEP-ключ (128 бит)
Ведите 26 шестнадцатиричных символов: 0-9, A-F.
Для добавления нескольких паролей:
Для режима персональной защиты WPA* необходимо вручную сконфигурировать предварительно опубликованный общий ключ (PSK) в точке доступа или клиентах. Этот ключ PSK аутентифицирует пользователей с помощью пароля или кода идентификации на обеих сторонах — станции клиента и в точке доступа. Сервер аутентификации не требуется. Режим персональной защиты WPA используется в домашних условиях или сетях малого бизнеса.
WPA2* — это второе поколение WPA-защиты, обеспечивающее предприятия и отдельных пользователей беспроводных сетей наивысшим уровнем безопасности, гарантирующим лишь санкционированный доступ к их беспроводным сетям. WPA2 обеспечивает усиленный режим шифрования с помощью AES (Advanced Encryption Standard), необходимый для использования в корпоративных сетях и сетях государственных учреждений.
ПРИМЕЧАНИЕ. Для обеспечения скоростей передачи более 54 Мб/c при подключениях 802.11n необходимо выбрать параметр защиты WPA2-AES. Отсутствие защиты (Нет) может быть выбрано для включения настройки сети и поиска и устранения неисправностей.
Для конфигурации профиля с сетевой аутентификацией WPA-персональная и шифрованием данных TKIP:
Длинный пароль обеспечивает более надежную сетевую защиту, чем короткий.
Если ваша беспроводная точка доступа или маршрутизатор поддерживают WPA2-персональную аутентификацию, тогда вы должны использовать ее в точке доступа, а также назначить длинный и надежный пароль. Длинный пароль обеспечивает более надежную сетевую защиту, чем короткий. Этот пароль, введенный в точке доступа, должен использоваться в этом компьютере и на всех беспроводных устройствах сети для подключения к этой точке доступа.
ПРИМЕЧАНИЕ. WPA- и WPA2-персональная совместимы друг с другом.
Стандарт Wi-Fi Protected Access (WPA*) — усовершенствованный стандарт безопасности, который значительно поднимает уровень защищенности и управления доступом к данным беспроводных локальных сетей. WPA активизирует аутентификацию по стандарту 802.1x, обмен ключами и может работать только с динамическими ключами шифрования. Во время использования в домашних условиях или в небольших корпоративных сетях защита WPA-персональная использует стандарт шифрования AES-CCMP (Advanced Encryption Standard — Counter CBC-MAC Protocol) или протокол TKIP (Temporal Key Integrity Protocol).
Для создания профиля с сетевой аутентификацией WPA2*-персональная и шифрованием данных AES-CCMP:
AES-CCMP (Advanced Encryption Standard — Counter CBC-MAC Protocol) — это новейший метод защиты конфиденциальности при беспроводной передаче данных, определенный в стандарте IEEE 802.11i. Протокол AES-CCMP обеспечивает более надежный метод шифрования в сравнении с TKIP. Выберите AES-CCMP в качестве метода шифрования, когда необходима повышенная безопасность данных.
Если ваша беспроводная точка доступа или маршрутизатор поддерживают WPA2-персональную защиту, тогда вы должны использовать ее в точке доступа, а также назначить длинный и надежный пароль. Этот пароль, введенный в точке доступа, должен использоваться в этом компьютере и на всех беспроводных устройствах сети для подключения к этой точке доступа.
ПРИМЕЧАНИЕ. WPA- и WPA2-персональная совместимы друг с другом.
Некоторые решения в области безопасности могут не поддерживаться операционной системой вашего компьютера.
Правильный пароль.
Для поддержки инфраструктуры беспроводной сети может потребоваться установка дополнительного программного обеспечения или оборудования. За информацией обратитесь к производителю своего компьютера.
Кратко объясним, что такое WEP, WPA и WPA2 и в чем разница между ними.
Расшифровка: Wired Equivalent Privacy. Переводится как Безопасность, эквивалентная проводному соединению. Видимо, изобретатели переоценили надежности этого типа защиты, когда давали название.
WEP- это устаревший режим безопасности беспроводных сетей. Обеспечивает низкий уровень защиты.
В Windows режиме безопасности WEP часто называется Open , т.е. открытым типом.
Расшифровка: Wi-Fi Protected Access (защищенный Wi-Fi доступ)
Подразделяется на 2 подвида:
Этот вариант подойдет для домашнего использования. Для авторизации в сети нужен только ключ безопасности.
Это более продвинутый и замороченный вариант для корпоративных сетей для обеспечения более высокого уровня безопасности. Для авторизации требуется сервер Radius.
WPA2 — более современная и улучшенная версия защиты WPA. Точно так же может работать в обоих режимах: PSK и Enterprise. Отличается тем, что поддерживает тип шифрования AES CCMP.
На современном оборудовании в большинстве случаев оптимальным вариантом будет использование режима WPA2-PSK с типом шифрования AES:
Если вы не знаете, какое шифрование используется на точке доступа (роутере), отключитесь от сети и удалите её профиль. Затем подключитесь заново. Вам придется ввести лишь ключ безопасности. При этом режим безопасности будет выбран автоматически.
По теме:
О типах шифрования (Cipher Type, Encryption Type) читайте в статье:
Относится к рубрикам:Networks
Узнать ключ безопасности вай фай необходимо для того, чтобы подключиться к беспроводной сети, запрашивающей пароль. Нужно это также для возможности обезопасить сигнал сети от перехвата другими пользователями и любителями халявы, живущими по соседству, поскольку радиус покрытия сигнала обыкновенно распространяется на несколько квартир и этажей. Понадобится для данных целей как минимум один компьютер или ноутбук, подключенный на данный момент к сети.
Похожие записи:
FILED UNDER : IT