Как известно, пароли в конфигах устройств Cisco хранятся тремя способами:

1. В открытом виде, в конфиге в явном виде указан пароль.
2. Пароль «тип 7» или «password 7» — пароль закодирован шестнадцатеричными цифрами, обычно 20 цифр. Таким методом кодируется пароль enable или пользовательские пароли. Кодирующая последовательность легко преобразуется в открытый пароль, и его калькуляторы в обилии есть в Интернете, поэтому Cisco не рекомендует использовать такой способ хранения пароля в конфигурации.
3. Пароль типа secret применяется к паролю enable и к пользовательским паролям. В этом случае конфиг хранит не сам пароль, просто контрольную сумму от пароля — хеш. Поскольку программа Cain&Abel называет такие хеши Cisco IOS-MD5 Hash, то вполне возможно, что они вычисляются в устройстве Cisco по алгоритму MD5. Процедура проверки пароля при этом следующая — от введенного пользователем пароля вычисляется хеш, и сравнивается с тем, что сохранен в конфигурации. Если хеши совпадают, то пароль верен. Интересно, что вычисление хеша Cisco от пароля неоднозначное — есть несколько вариантов хеша для одного и того же пароля. Длина хеша обычно 30 символов. Пароль secret наиболее часто используется, поскольку позволяет хорошо защитить устройство.

Пароль типа secret можно взломать, зная хеш — перебираются варианты пароля, и хеши вариантов сравниваются с эталоном на совпадение. Такой возможностью обладает программа Cain&Abel — абсолютный must have для хакера или специалиста по безопасности. Скачать программу (она бесплатна) можно тут — http://www.oxid.it/cain.html (версия для Windows). Пароли к устройствам Cisco (как, впрочем, и многие другие разновидности паролей) взламываются на закладке Cracker — в папку Cisco IOS-MD5 Hashes добавляется текстовый хеш пароля, и потом через контекстное меню можно применить Brute-Force Attack (простой перебор паролей) или Dictionary Attack (подбор пароля из словаря). Кроме того, можно проверить на хеше пароль (пункт контекстного меню Test Password). Хеши с верным (или расшифрованным) паролем помечается значком со связкой ключей, а неправильный пароль — закрытым замком. Хеши, которые еще не разгадывались, обозначаются крестиком. См. скриншот:

Время, которое нужно для взлома грубым перебором алфавитно-цифрового пароля на процессоре Celeron 2.53 ГГц:
Пароль из 3 символов — меньше минуты.
Пароль из 4 символов — примерно 10 минут.
Пароль из 5 символов — 6 часов.
Пароль из 6 символов — около 10 дней.
Пароль из 7 символов — почти год.

Таким образом, методом грубого перебора реально вскрыть только простые пароли — не длиннее 6 символов.

В программе Cain&Abel есть также утилита для вычисления паролей Cisco password 7 — доступна через меню Tools\Cisco Type-7 Password Decoder.

Пароль enable и Секретный Пароль enable

Рубрика: Конфигурация и тестирование сети

Чтобы обеспечить дополнительную безопасность, используйте команду enable password или .

«123456» — разве это пароль? Какой пароль самый надежный?

Любая из этих команд может использоваться, чтобы установить аутентификацию прежде, чем получить доступ к привилегированному режиму EXEC (режиму enable).

Всегда используйте команду , а не более старую команду по возможности. Команда обеспечивает большую безопасность, потому что пароль шифруется. Команда может использоваться только если еще не была установлена.

Команду можно использовать, если устройство использует более старую копию программного обеспечения Cisco IOS, которое не распознает команду .

Следующие команды используются, чтобы устанавливать пароли:

Отметьте: Если не установлен пароль или , IOS предотвращает привилегированный доступ EXEC из сеанса Telnet.

Без установки пароля посредством , сеанс Telnet произвел бы следующий вывод:

Пароль VTY

Линии vty предоставляют доступ к маршрутизатору через Telnet. По умолчанию многие устройства Cisco поддерживают пять линий VTY, которые нумеруются от 0 до 4. Пароль должен быть установлен для всех доступных линий vty. Один и тот же пароль может быть установлен для всех соединений. Однако, часто требуется, чтобы для одной из линий устанавливается уникальный пароль, чтобы обеспечить альтернативную запись при подключении администратора, если другие соединения используются.

Следующие команды применяются, чтобы установить пароль на линии vty:

По умолчанию IOS включает команду для линий VTY. Это предотвращает доступ Telnet к устройству без предварительной аутентификации. Если, по ошибке, устанавливается команда , которая удаляет требование аутентификации, неправомочные люди могут соединиться с линией, используя Telnet. Это является большой угрозой безопасности.

Шифрование Отображения Пароля

Другая полезная команда препятствует тому, чтобы пароль отображался простым текстом при просмотре конфигурационных файлов. Это команда .

Эта команда заставляет шифровать пароли при их конфигурации. Команда применяет слабое шифрование ко всем незашифрованным паролям. Это шифрование не применяется к паролям, когда они отправляются через носитель, а используется только в конфигурации. Цель этой команды состоит в том, чтобы воспрепятствовать неправомочным людям подсмотреть пароли в конфигурационном файле.

Если Вы выполняете команду или до выполнения команды , незашифрованные пароли будут видимы при выводе конфигурации. Если затем выполняется , то шифрование будет применено к паролям. Как только шифрование было применено, удаление службы шифрования не инвертирует шифрование.

Далее: Протоколы Канального уровня — Пример протокола уровня 2

Написать

Настройка защиты профиля

---

Использование утилиты подключения Intel® PROSet/Wireless WiFi
Персональная защита
Настройки персональной защиты
Настройка шифрования данных и аутентификации

Корпоративная защита
Настройки корпоративной защиты

Сетевая аутентификация

Типы аутентификации 802.1X

---

Использование утилиты подключения Intel® PROSet/Wireless WiFi

В следующих разделах рассказано, как использовать утилиту подключения Intel® PROSet/Wireless WiFi для установки необходимых параметров безопасности вашего адаптера WiFi. См. раздел Персональная защита.

В них также приведена информация о том, как сконфигурировать дополнительные параметры безопасности для вашего адаптера WiFi. Настройка указанных параметров требует получения дополнительной информации от системного администратора (для корпоративных систем) или дополнительной настройки безопасности вашей точки доступа (для частных пользователей). См. раздел Корпоративная защита.

Общая информация о настройках защиты приведена в разделе Обзор возможностей защиты.

---

Настройка шифрования данных и аутентификации

В домашних условиях можно использовать разнообразие простых процедур настройки системы безопасности для обеспечения защиты беспроводного подключения. В их число входит:

• Использование стандарта Wi-Fi Protected Access* (WPA).
• Изменение пароля.
• Изменение имени сети (SSID).

Шифрование WPA (Wi-Fi Protected Access), которое обеспечивает защиту ваших данных и сети. WPA использует ключ шифрования, называемый предварительно опубликованным ключом PSK (Pre-Shared Key), для шифрования данных перед их отправкой. Для доступа к этим данным необходимо ввести этот же пароль на всех компьютерах и в точке доступа вашей домашней или офисной сети. Только компьютеры, использующие этот же ключ, могут получить доступ к сети и расшифровать переданные другими компьютерами данные. Для шифрования данных пароль автоматически инициирует протокол целостности временного ключа (Temporal Key Integrity Protocol — TKIP) или протокол AES-CCMP.

Сетевые ключи

WEP-шифрование представляет два уровня защиты:

• 64-битный ключ (иногда называется 40-битным)
• 128-битный ключ (также называется 104-битным)

Для повышения безопасности необходимо использовать 128-битный ключ. Если вы используете шифрование, все устройства в беспроводной сети должны использовать одинаковые ключи шифрования.

Необходимо создать ключ и указать его длину (64 или 128 бит) и индекс ключа (местоположение хранения ключа). Ключ, имеющий большую длину, наиболее защищен.

Длина ключа: 64 бита

Контрольная фраза (64 бита): Введите пять (5) алфавитно-цифровых символов: 0-9, a-z или A-Z.
Шестнадцатеричный ключ (64 бита): Ведите 10 шестнадцатиричных символов: 0-9, A-F.

Длина ключа: 128 бит

Контрольная фраза (128 бит): Введите 13 алфавитно-цифровых символов, 0-9, a-z или A-Z.
Шестнадцатеричный ключ (128 бит): Ведите 26 шестнадцатиричных символов: 0-9, A-F.

С WEP-шифрованием данных станция беспроводной сети может иметь в конфигурации до четырех ключей (значения индекса ключа: 1, 2, 3 и 4). Когда точка доступа или станция беспроводной сети передает шифрованное сообщение, использующее ключ, хранящийся в указанном индексе ключа, переданное сообщение будет указывать на индекс ключа, использованного для шифрования сообщения. Принимающая точка доступа или станция беспроводной сети может найти ключ, хранящийся в индексе, и использовать его для дешифрования сообщения.

---

Настройка клиента без аутентификации и без шифрования данных

Внимание! Сети WiFi, не использующие аутентификации или шифрования, особенно уязвимы в отношении доступа неавторизованных пользователей.

В главном окне утилиты подключений WiFi можно выбрать один их следующих способов подключения к сети «Infrastructure»:

• Дважды щелкните сеть типа «Infrastructure» в списке сетей WiFi.
• Выберите сеть «Infrastructure» в списке сетей WiFi. Щелкните Подключить. Утилита подключений WiFi автоматически определит настройки защиты адаптера WiFi.

Если аутентификация в сети не требуется, подключение будет выполнено без запроса идентификационной информации. Любое беспроводное устройство, использующее корректное имя сети (SSID), сможет подключиться к другим устройствам сети.

Для создания профиля для подключения к сети WiFi без шифрования:

1. Выберите параметр Профили… в главном окне утилиты подключений WiFi.
2. На странице «Профили» щелкните Добавить для открытия страницы беспроводных профилей Общие настройки.
3. Имя профиля: Введите описательное имя.
4. Имя сети WiFi (SSID): Введите имя своей беспроводной сети.
5. Режим работы: Щелкните Одноранговая сеть (Ad hoc).
6. Нажмите Далее для открытия страницы Настройки защиты.
7. Параметр Персональная защита выбран по умолчанию.
8. Настройки защиты: По умолчанию установлено Нет, что указывает, что в этой беспроводной сети нет защиты.
9. Щелкните OK.

   Теперь профиль добавлен в список профилей и может использоваться для подключения к сети.

---

Настройка клиента с 64- или 128-битовым WEP-шифрованием данных

Если включено шифрование данных (WEP), для этой цели используется сетевой ключ или пароль.

Сетевой ключ предоставляется автоматически (например, он может быть предоставлен производителем адаптера беспроводной сети) или вы можете ввести его самостоятельно, указав длину ключа (64 или 128 бит), формат ключа (ASCII-символы или шестнадцатиричные цифры) и индекс ключа (место хранения ключа). Ключ, имеющий большую длину, наиболее защищен.

Для добавления ключа для подключения к одноранговой сети (ad hoc):

1. В главном окне утилиты подключений WiFi дважды щелкните параметр одноранговой сети (ad hoc) в списке сетей WiFi или выберите сеть и щелкните Подключить.
2. Щелкните Профили… для доступа к списку профилей.
3. Щелкните Свойства для открытия страницы Общие настройки. Отобразится имя профиля и имя сети WiFi (SSID). Для режима работы должен быть выбран режим одноранговой сети (ad Hoc).
4. Нажмите Далее для открытия страницы Настройки защиты.
5. Параметр Персональная защита выбран по умолчанию.
6. Настройки защиты: По умолчанию установлено Нет, что указывает, что в этой беспроводной сети нет защиты.

Для добавления пароля или сетевого ключа:

1. Настройки защиты: Выберите 64- или 128-битное WEP-шифрование для настройки шифрования данных с 64- или 128-битным ключом.

Когда в точке доступа разрешено WEP-шифрование, WEP-ключ используется для проверки доступа к сети. Если беспроводное устройство не имеет правильного WEP-ключа, даже при успешной аутентификации устройство не может передавать данные через точку доступа или дешифровать полученные от нее данные.

Имя	Описание
Пароль	Введите пароль сетевой защиты (контрольная фраза) или ключ шифрования (WEP-ключ).
Контрольная фраза (64 бита)	Введите пять (5) алфавитно-цифровых символов: 0-9, a-z или A-Z.
WEP-ключ (64 бита)	Ведите 10 шестнадцатиричных символов: 0-9, A-F.
Контрольная фраза (128 бит)	Введите 13 алфавитно-цифровых символов, 0-9, a-z или A-Z.
WEP-ключ (128 бит)	Ведите 26 шестнадцатиричных символов: 0-9, A-F.

1. Индекс ключа: Можно изменить индекс ключа для установки до четырех паролей.
2. Щелкните OK для возврата к списку «Профили».

Для добавления нескольких паролей:

1. Выберите число индекса ключа: 1, 2, 3 или 4.
2. Введите пароль сетевой защиты.
3. Выберите другое число индекса ключа.
4. Введите другой пароль сетевой защиты.

---

Настройка клиента с WPA*-персональной (TKIP) или WPA2*-персональной защитой

Для режима персональной защиты WPA* необходимо вручную сконфигурировать предварительно опубликованный общий ключ (PSK) в точке доступа или клиентах. Этот ключ PSK аутентифицирует пользователей с помощью пароля или кода идентификации на обеих сторонах — станции клиента и в точке доступа. Сервер аутентификации не требуется. Режим персональной защиты WPA используется в домашних условиях или сетях малого бизнеса.

WPA2* — это второе поколение WPA-защиты, обеспечивающее предприятия и отдельных пользователей беспроводных сетей наивысшим уровнем безопасности, гарантирующим лишь санкционированный доступ к их беспроводным сетям. WPA2 обеспечивает усиленный режим шифрования с помощью AES (Advanced Encryption Standard), необходимый для использования в корпоративных сетях и сетях государственных учреждений.

ПРИМЕЧАНИЕ. Для обеспечения скоростей передачи более 54 Мб/c при подключениях 802.11n необходимо выбрать параметр защиты WPA2-AES. Отсутствие защиты (Нет) может быть выбрано для включения настройки сети и поиска и устранения неисправностей.

Для конфигурации профиля с сетевой аутентификацией WPA-персональная и шифрованием данных TKIP:

1. В главном окне утилиты подключений WiFi в списке сетей WiFi дважды щелкните имя сети «Infrastructure» или выберите сеть и щелкните Подключить.
2. Щелкните Профили… для доступа к списку профилей.
3. Щелкните Свойства для открытия страницы Общие настройки. Отобразится имя профиля и имя сети WiFi (SSID). Сеть (Infrastructure) необходимо выбрать в качестве режима работы.
4. Нажмите Далее для открытия страницы Настройки защиты.
5. Щелкните Персональная защита.
6. Настройки защиты: Выберите WPA-персональная (TKIP) для обеспечения уровня защиты в небольших сетях или в домашних условиях. Она использует пароль, который называется предварительно опубликованным ключом (pre-shared key — PSK).

   Длинный пароль обеспечивает более надежную сетевую защиту, чем короткий.

Если ваша беспроводная точка доступа или маршрутизатор поддерживают WPA2-персональную аутентификацию, тогда вы должны использовать ее в точке доступа, а также назначить длинный и надежный пароль. Длинный пароль обеспечивает более надежную сетевую защиту, чем короткий. Этот пароль, введенный в точке доступа, должен использоваться в этом компьютере и на всех беспроводных устройствах сети для подключения к этой точке доступа.

ПРИМЕЧАНИЕ. WPA- и WPA2-персональная совместимы друг с другом.

1. Пароль защиты (ключ шифрования): Введите текстовую фразу от восьми до 63 символов. Убедитесь, что сетевой ключ соответствует паролю в беспроводной точке доступа.
2. Щелкните OK для возврата к списку «Профили».

---

Настройка клиента с WPA*-персональной (AES-CCMP) или WPA2*-персональной (AES-CCMP) защитой

Стандарт Wi-Fi Protected Access (WPA*) — усовершенствованный стандарт безопасности, который значительно поднимает уровень защищенности и управления доступом к данным беспроводных локальных сетей. WPA активизирует аутентификацию по стандарту 802.1x, обмен ключами и может работать только с динамическими ключами шифрования. Во время использования в домашних условиях или в небольших корпоративных сетях защита WPA-персональная использует стандарт шифрования AES-CCMP (Advanced Encryption Standard — Counter CBC-MAC Protocol) или протокол TKIP (Temporal Key Integrity Protocol).

Для создания профиля с сетевой аутентификацией WPA2*-персональная и шифрованием данных AES-CCMP:

1. В главном окне утилиты подключений WiFi в списке сетей WiFi дважды щелкните параметр сети «Infrastructure» или выберите сеть и щелкните Подключить.
2. Если профиль уже получен, его имя и имя сети WiFi (SSID) должно отображаться на экране Общие настройки. Сеть (Infrastructure) необходимо выбрать в качестве режима работы. Нажмите Далее для открытия страницы Настройки защиты.
3. Щелкните Персональная защита.
4. Настройки защиты: Выберите WPA2-персональная (AES-CCMP) для обеспечения уровня защиты в небольших сетях или в домашних условиях. Она использует пароль, который называется предварительно опубликованным ключом (pre-shared key — PSK). Длинный пароль обеспечивает более надежную сетевую защиту, чем короткий.

AES-CCMP (Advanced Encryption Standard — Counter CBC-MAC Protocol) — это новейший метод защиты конфиденциальности при беспроводной передаче данных, определенный в стандарте IEEE 802.11i. Протокол AES-CCMP обеспечивает более надежный метод шифрования в сравнении с TKIP. Выберите AES-CCMP в качестве метода шифрования, когда необходима повышенная безопасность данных.

Если ваша беспроводная точка доступа или маршрутизатор поддерживают WPA2-персональную защиту, тогда вы должны использовать ее в точке доступа, а также назначить длинный и надежный пароль. Этот пароль, введенный в точке доступа, должен использоваться в этом компьютере и на всех беспроводных устройствах сети для подключения к этой точке доступа.

ПРИМЕЧАНИЕ. WPA- и WPA2-персональная совместимы друг с другом.

Некоторые решения в области безопасности могут не поддерживаться операционной системой вашего компьютера.

Правильный пароль.

Для поддержки инфраструктуры беспроводной сети может потребоваться установка дополнительного программного обеспечения или оборудования. За информацией обратитесь к производителю своего компьютера.

1. Пароль: Пароль защиты (ключ шифрования): Введите текстовую фразу (от 8 до 63 символов). Убедитесь, что сетевой ключ соответствует паролю в беспроводной точке доступа.
2. Щелкните OK для возврата к списку «Профили».

---

Кратко объясним, что такое WEP, WPA и WPA2 и в чем разница между ними.

WEP

Расшифровка: Wired Equivalent Privacy. Переводится как Безопасность, эквивалентная проводному соединению. Видимо, изобретатели переоценили надежности этого типа защиты, когда давали название.

WEP-  это устаревший режим безопасности беспроводных сетей. Обеспечивает низкий уровень защиты.

Как выудить пароль авторизации из Zyxel

В Windows режиме безопасности WEP часто называется Open , т.е. открытым типом.

WPA

Расшифровка: Wi-Fi Protected Access (защищенный Wi-Fi доступ)

Подразделяется на 2 подвида:

• WPA-Personal (-Personal Key или -PSK)
• WPA-Enterprise.

WPA-PSK

Этот вариант подойдет для домашнего использования. Для авторизации в сети нужен только ключ безопасности.

WPA-Enterprise

Это более продвинутый и замороченный вариант для корпоративных сетей для обеспечения более высокого уровня безопасности. Для авторизации требуется сервер Radius.

WPA2

WPA2 — более современная и улучшенная версия защиты WPA. Точно так же может работать в обоих режимах: PSK и Enterprise. Отличается тем, что поддерживает тип шифрования AES CCMP.

Что лучше? WEP, WPA или WPA2?

На современном оборудовании в большинстве случаев оптимальным вариантом будет использование режима WPA2-PSK с типом шифрования AES:

Что делать, если я не знаю, какой тип безопасности использует wifi-сеть?

Если вы не знаете, какое шифрование используется на точке доступа (роутере), отключитесь от сети и удалите её профиль. Затем подключитесь заново. Вам придется ввести лишь ключ безопасности. При этом режим безопасности будет выбран автоматически.

---

По теме:

О типах шифрования (Cipher Type, Encryption Type) читайте в статье:

Узнать ключ безопасности вай фай необходимо для того, чтобы подключиться к беспроводной сети, запрашивающей пароль. Нужно это также для возможности обезопасить сигнал сети от перехвата другими пользователями и любителями халявы, живущими по соседству, поскольку радиус покрытия сигнала обыкновенно распространяется на несколько квартир и этажей. Понадобится для данных целей как минимум один компьютер или ноутбук, подключенный на данный момент к сети.

Какие существуют виды шифрования сети

• WEP – считается не особо надежным видом шифрования и на текущий момент времени применяется сравнительно нечасто. Шифрование подобного типа не поддерживается многими роутерами и крайне уязвимо, то есть взломать пароль можно без особого труда.
• WPA и WPA2 – гораздо более надежные разновидности шифрования. Поддерживаются большинством современных маршрутизаторов и используются для безопасности как обычных пользователей, так и целых предприятий.

Первый способ: самый простой

1. Итак, для того чтобы узнать ключ беспроводной сети, необходимо отыскать значок вай фай, который расположен в панели задач в правом нижнем углу экрана (между выбором языковой раскладки клавиатуры и часами).
2. В открывшемся окне нужно выбрать сеть, к которой, собственно, и требуется подобрать пароль. Узнать его получится только в том случае, если он уже вводился до этого.
3. Теперь по названию сети необходимо кликнуть правой кнопкой мыши и выбрать раздел «Свойства».
4. В открывшейся вкладке нужно выставить галочку возле «Отображения вводимых знаков».
5. Код, состоящий из цифр и латинских букв, и будет вашим паролем беспроводной вай фай сети.

Способ второй: как узнать пароль через настройки маршрутизатора

1. Для того чтобы узнать ключ безопасности сети, можно воспользоваться встроенными средствами самого роутера. Разумеется, он должен быть подключен к вашему ноутбуку или стационарному компьютеру посредством коммутации, идущей в комплекте с устройством.
2. Когда все подключено согласно инструкции по эксплуатации маршрутизатора, необходимо открыть любой браузер и ввести в адресную строку «192.168.1.1».
3. Теперь нужно ввести свой логин и пароль. По умолчанию это обыкновенно «admin» + «admin» (в том случае, если настройки не были изменены).
4. Далее, чтобы узнать ключ безопасности сети вай фай, требуется открыть раздел «Защиты беспроводного режима» или «Wireless security».
5. В строке, которая называется «Password PSK», будет содержаться информация о текущем пароле. В роутерах некоторых производителей ключ безопасности вай фай сети может быть расположен в другой строке либо окне.

Способ третий: как узнать пароль при помощи телефона

1. Если вы хотите узнать ключ безопасности сети вай фай, то сделать это также можно с помощью телефона. Для владельцев смартфонов на базе Android требуется сначала получить особые ROOT – права, позволяющие вносить расширенные изменения в настройки устройства.
2. Само собой разумеется, что телефон должен обладать wi-фай модулем для возможности подсоединения к беспроводной сети.
3. Через любой файловый менеджер нужно войти в корневую папку «Data» – «Wifi».
4. В этой папке будет находиться файл «wpa_supplicant» с расширением «.conf». Откройте его с помощью любого текстового редактора и в строке «PSK» увидите ключ безопасности, который, собственно, и требовалось узнать.