dimanche 12 décembre 2010

Protection des mots de passe Cisco

Bonjour à tous ceux qui suivent le blog!
Comme vous avez pu le constater, très peu d'actualités ici depuis quelques temps mais ça devrait revenir doucement à la normale.

Un petit billet, sur la protection des mots de passe sur les équipements Cisco, lié à une petite mésaventure.
J'avais tout simplement perdu le mot de passe telnet d'un switch Cisco. Merci au fait que les mots de passe telnet, console et auxiliaire soient, dans mon cas, cryptés via le "service password-encrytion" et que le cryptage utilisé dans ce cas soit réversible. Il m'a suffit d'aller sur la sauvegarde de la configuration, de passer sur internet avec une recherche du style : decrypt 7 cisco. Et là plein d'utilitaires online pour decrypter le mots de passe.

J'en profite pour faire un petit rappel sur les recommandations Cisco en matière de mot de passe :
  • Utiliser un mot de passe d'au moins 10 caractères. On peut exécuter la commande "security password min-length 10" pour s'assurer que cette recommandation soit respectée.
  • Utiliser des caractères alphanumériques (minuscule et majuscule), caractères spéciaux. Un espace est un caractère spécial valide sauf s'il est utilisé au tout début du mot de passe, dans ce cas il est ignoré.
  • Le mot de passe ne devrait pas être un mot commun que l'ont peut trouver dans un dictionnaire.
  • Créer une politique qui définit quand les mots de passes doivent être changés.
  • Utiliser la commande "enable secret" plutôt que "enable password". La première crypte le mot de passe (MD5) ne permettant pas ainsi de lire le mot de passe à l'œil nu dans la configuration, tandis que la deuxième laisse le mot de passe en clair. La commande "enable password" n'est à utiliser que si l'IOS ne supporte pas la commande "enable secret".
  • Les mots de passe telnet, console et auxiliaires sont stockés en clair dans la configuration. Il est nécessaire d'utiliser la commande "service password-encryption" pour qu'ils soient cryptés. Le service utilise un algorithme de cryptage propre à Cisco basé sur "le chiffre de vigenere". Ce cryptage est facilement réversible comme indiqué au début du billet.
Note : L'encryption MD5 est désignée par un 5 par Cisco. L'encryption propriétaire à Cisco est désignée quand à elle par un 7. Il existe aussi une encryption "6", plus d'informations encrypt pre-shared key.

Le cryptage MD5 n'est pas en reste puisqu'en faisant une recherche "md5 decrypt" vous trouverez un panel de site vous proposant de "décrypter" le hash MD5 de votre mot de passe.
Lire la suite »