Артём Санников
Данная книга является руководством для начинающих специалистов в области анализа и обработки данных. В книге рассматривается язык SQL и его процедурное расширение PL/SQL от компании Oracle.
Главная › Cisco › Cisco Packet Tracer › Шифрование паролей enable и console. Cisco packet tracer.
Шифрование паролей enable и console. Cisco packet tracer.
Если пароли для enable password и console хранятся в виде обычного текста, то их необходимо зашифровать с помощью команды service password-encryption в CLI.
S1> enable // переходим в привилегированный режим EXEC
S1# configure terminal // переходим в режим глобальной конфигурации
S1(config)# service password-encryption // выполняем шифрование паролей enable и console
S1(config)# exit // выходим из привилегированного режима
S1#
Важный момент: Пароль enable secret имеет приоритет перед паролем enable password. Если для коммутатора заданы оба пароля, для перехода в привилегированный режим EXEC нужно ввести пароль enable secret.
Результат выполнения команды service password-encryption.
Записи по теме
- Запрет на передачу данных для MAC-адресов. Cisco packet tracer.
- Запись MAC-адреса в рабочую конфигурацию. Cisco packet tracer.
- Время старения MAC-адреса. Cisco packet tracer.
- Количество MAC-адресов на порт устройства. Cisco packet tracer.
- Активация функции port-security. Cisco packet tracer.
- Исключение IP-адреса из пула DHCP. Cisco packet tracer.
- Адрес домена для пула DHCP. Cisco packet tracer.
- Срок аренды IP-адреса для пула DHCP. Cisco packet tracer.
Виды паролей Cisco
Для защиты устройств cisco от несанкционированного доступа используется несколько видов паролей. В курсе CCNA рассматривается настройка паролей на консоль, паролей на подключение по telnet и ssh, а так же пароль для доступа в привилегированный режим работы устройства. Пароли настраиваются одинаковым образом для маршрутизаторов и коммутаторов.
Пароль на консоль
При подключении к устройству через консольный провод необходимо ввести пароль. По умолчанию пароль на консоль отсутствует. Надо понимать, что физическая безопасность устройства наиболее важный аспект защиты, так как имея физический доступ к консольному порту, даже не зная пароля его можно сбросить. Подробнее об этом в статье «Сброс пароля на маршрутизаторе Cisco». Пароль на консоль задаётся следующим образом:
Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#line console 0 Router(config-line)#password MyPassword Router(config-line)#login Router(config-line)#exit Router(config)#exit Router#
Необходимо зайти в режим глобальной конфигурации, зайти в подрежим настройки консоли (line console 0), где 0 – это порядковый номер консоли. Обычно на всех устройствах консольный порт один и он имеет номер 0. В этом подрежиме задаётся пароль с помощью команды password, затем необходимо ввести слово login, чтобы разрешить вход под указанным паролем. После этого при подключении по консоли будет выводиться следующее приглашение:
Press RETURN to get started. User Access Verification Password:
Где требуется ввести указанный пароль. При вводе символы пароля не отображаются.
Пароль на Telnet и SSH
Доступ по протоколам telnet или ssh может быть осуществлён только после того как на устройстве настроен какой-то ip-адрес, а так же заданы пароли. В этом важное отличие от доступа по консоли. Если пароли не заданы, то по консоли можно зайти без пароля, а по Telnet или SSH зайти нельзя – будет выдано сообщение, что пока нет пароля, удалённый вход запрещён.
Задаются пароли следующим образом:
Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#line vty 0 4 Router(config-line)#password MyPassword Router(config-line)#login Router(config-line)#exit Router(config)#exit Router#
Процедура аналогична настройке пароля на консоль, только действия выполняются не в режиме конфигурирования консоли (con 0), а в режиме настройки виртуальных терминалов (vty 0 4), где цифры «0» и «4» следует трактовать как «Перейти в подрежим конфигурирования всех виртуальных терминалов с нулевого по четвёртый». Обычно для telnet-а используются именно эти 5 виртуальных терминалов. Если один терминал занят подключением, то человек подключится к следующему свободному. Этот же пароль будет работать и для доступа по SSH, если сам SSH настроен.
Пароль на привилегированный режим
Этот важный пароль используется для перехода из пользовательского режима в привилегированный. Подробнее о режимах можно прочесть в соответствующей статье. При входе на устройство, независимо от того, делаем мы это через VTY или через консоль, мы попадаем в пользовательский режим. Далее можно осуществить переход в привилегированный. Если задан пароль на привилегированный режим, то его потребуется ввести, если не задан – то всё зависит от того способа, по которому мы подключились к устройству. При подключении по консоли и отсутствующем пароле на enable, переход в привилегированный режим произойдёт без ввода пароля, если же доступ осуществляется через Telnet или SSH, то без пароля на enable, нас в этот режим не пустят если пароль не задан. По этой причине начальная настройка маршрутизатора всегда производится через консоль и должна включать в себя задание всех необходимых паролей.
Пароль на enable можно задать двумя разными командами обе из которых вводятся в режиме глобальной конфигурации:
Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#enable password MyEnablePassword Router(config)#exit Router#
Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#enable secret SecretPassword Router(config)#exit Router#
Обе команды вводить не надо. Либо enable password, либо enable secret. Разница между ними заключается в том, что вторая команда сохраняет пароль в зашифрованном виде и его нельзя восстановить глядя на файл конфигурации. Если же применять enable password, то пароль храниться в конфиге в открытом виде. Таким образом, лучше всегда использовать enable secret, а enable password – скорее сохранена с целью обратной совместимости между версиями IOS. Если вы вдруг примените обе команды одновременно, то будет работать тот пароль, который задан с помощью enable secret.
Чтобы было понятно, о чём идёт речь, давайте просмотрим конфигурацию устройства с помощью команды show running-config:
Router#show running-config Building configuration. Current configuration : 592 bytes ! version 12.4 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! hostname Router ! ! ! enable secret 5 $1$mERr$KnP4XAeHLfyk/RPXMCetr0 enable password MyEnablePassword …
Как видно из вывода, пароль, заданный enable password виден открытым текстом, а с помощью enable secret – не виден.
Служба шифрования паролей
В любом случае, пароли, заданный для доступа по telnet или через консоль видны открытым текстом, ниже приведён кусок вывода команды show running-config:
Router#show running-config … line vty 0 4 password MyPassword login …
Для того, чтобы скрыть и эти пароли надо включить службу шифрования паролей:
Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#service password-encryption Router(config)#exit Router# %SYS-5-CONFIG_I: Configured from console by console Router#show running-config Building configuration. … enable secret 5 $1$mERr$KnP4XAeHLfyk/RPXMCetr0 enable password 7 080C556B0718071B173B0D17393C2B3A37 … line vty 0 4 password 7 080C557E080A16001D1908 login …
Как видно, после применения команды service password-encryption, все пароли в конфигурационном файле, включая enable password, пароль на консоль и пароль на telnet, начинают храниться в зашифрованном виде. Эту команду рекомендуется всегда включать в базовую настройку устройств cisco.
Перехват паролей с помощью Wireshark
.jpg)
.jpg)
Многие пользователи и не догадываются, что заполняя логин и пароль при регистрации или авторизации на закрытом Интернет-ресурсе и нажимая ENTER, эти данные легко могут перехватить. Очень часто они передаются по сети не в защищенном виде. Поэтому если сайт, на котором вы пытаетесь авторизоваться, использует HTTP протокол, то очень просто выполнить захват этого трафика, проанализировать его с помощью Wireshark и далее с помощью специальных фильтров и программ найти и расшифровать пароль.
Лучшее место для перехвата паролей – ядро сети, где ходит трафик всех пользователей к закрытым ресурсам (например, почта) или перед маршрутизатором для выхода в Интернет, при регистрациях на внешних ресурсах. Настраиваем зеркало и мы готовы почувствовать себя хакером.
Шаг 1. Устанавливаем и запускаем Wireshark для захвата трафика
Иногда для этого достаточно выбрать только интерфейс, через который мы планируем захват трафика, и нажать кнопку Start. В нашем случае делаем захват по беспроводной сети.
Захват трафика начался.
Шаг 2. Фильтрация захваченного POST трафика
Открываем браузер и пытаемся авторизоваться на каком-либо ресурсе с помощью логина и пароля. По завершению процесса авторизации и открытия сайта мы останавливаем захват трафика в Wireshark. Далее открываем анализатор протоколов и видим большое количество пакетов. Именно на этом этапе большинство ИТ-специалистов сдаются, так как не знают, что делать дальше. Но мы знаем и нас интересуют конкретные пакеты, которые содержат POST данные, которые формируются на нашей локальной машине при заполнении формы на экране и отправляются на удаленные сервер при нажатии кнопки «Вход» или «Авторизация» в браузере.
Вводим в окне специальный фильтр для отображения захваченных пакетов: http.request.method == “POST”
И видим вместо тысячи пакетов, всего один с искомыми нами данными.
Шаг 3. Находим логин и пароль пользователя
Быстрый клик правой кнопки мыши и выбираем из меню пункт Follow TCP Steam
После этого в новом окне появится текст, который в коде восстанавливает содержимое страницы. Найдем поля «password» и «user», которые соответствуют паролю и имени пользователя. В некоторых случаях оба поля будут легко читаемы и даже не зашифрованы, но если мы пытаемся захватить трафик при обращении к очень известным ресурсам типа: Mail.ru, Facebook, Вконтакте и т.д., то пароль будет закодирован:
HTTP/1.1 302 Found
Date: Mon, 10 Nov 2014 23:52:21 GMT
Server: Apache/2.2.15 (CentOS)
P3P: CP=»NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM»
Set-Cookie: non=non; expires=Thu, 07-Nov-2024 23:52:21 GMT; path=/
Set-Cookie: password=e4b7c855be6e3d4307b8d6ba4cd4ab91; expires=Thu, 07-Nov-2024 23:52:21 GMT; path=/
Set-Cookie: scifuser=networkguru; expires=Thu, 07-Nov-2024 23:52:21 GMT; path=/
Content-Type: text/html; charset=UTF-8
Таким образом, в нашем случае:
Имя пользователя: networkguru
Шаг 4. Определение типа кодирования для расшифровки пароля
Заходим, например, на сайт http://www.onlinehashcrack.com/hash-identification.php#res и вводим наш пароль в окно для идентификации. Мне выдан был список протоколов кодирования в порядке приоритета:
Шаг 5. Расшифровка пароля пользователя
На данном этапе можем воспользоваться утилитой hashcat:
~# hashcat -m 0 -a 0 /root/wireshark-hash.lf /root/rockyou.txt
На выходе мы получили расшифрованным пароль: simplepassword
Таким образом, с помощью Wireshark мы можем не только решать проблемы в работе приложений и сервисов, но и также попробовать себя в роли хакера, осуществляя перехват паролей, которые пользователи вводят в веб-формах. Также можно узнавать и пароли к почтовым ящикам пользователей, используя незатейливые фильтры для отображения:
- Протокол POP и фильтр выглядит следующим образом: pop.request.command == «USER» || pop.request.command == «PASS»
- Протокол IMAP и фильтр будет: imap.request contains «login»
- Протокол SMTP и потребуется ввод следующего фильтра: smtp.req.command == «AUTH»
и более серьезные утилиты для расшифровки протокола кодирования.
Шаг 6. Что делать, если трафик зашифрован и используется HTTPS?
Для ответа на этот вопрос есть несколько вариантов.
Вариант 1. Подключиться в разрыв соединения между пользователем и сервером и захватить трафик в момент установления соединения (SSL Handshake). В момент установки соединения можно перехватить сеансовый ключ.
Вариант 2. Вы можете расшифровать трафик HTTPS, используя файл журнала сеансовых ключей, записываемый Firefox или Chrome. Для этого браузер должен быть настроен на запись этих ключей шифрования в файл журнала (пример на базе FireFox), и вы должны получить этот файл журнала. По сути, необходимо похитить файл с ключом сессии с жесткого диска другого пользователя (что является незаконным). Ну а далее захватить трафик и применить полученный ключ для его расшифровки.
Уточнение. Мы говорим о веб-браузере человека, у которого пытаются украсть пароль. Если же мы подразумеваем расшифровку нашего собственного HTTPS трафика и хотим потренироваться, то эта стратегия будет работать. Если вы пытаетесь расшифровать HTTPS трафик других пользователей без доступа к их компьютерам, это не сработает – на то оно и шифрование, и личное пространство.
После получения ключей по варианту 1 или 2 необходимо прописать их в WireShark:
- Идем в меню Edit – Preferences – Protocols – SSL.
- Ставим флаг «Reassemble SSL records spanning multiple TCP segments».
- «RSA keys list» и нажимаем Edit.
- Вводим данные во все поля и прописываем путь в файлу с ключом
WireShark может расшифровывать пакеты, которые зашифрованы с использованием алгоритма RSA. В случае если используются алгоритмы DHE/ECDHE, FS, ECC, сниффер нам не помощник.
Вариант 3. Получить доступ к web-серверу, которым пользуется пользователь, и получить ключ. Но это является еще более сложной задачей. В корпоративных сетях с целью отладки приложений или контент фильтрации этот вариант реализуется на легальной основе, но не с целью перехвата паролей пользователей.
БОНУС
ВИДЕО: Wireshark Packet Sniffing Usernames, Passwords, and Web Pages
См. также:
- Как правильно подключится к сети для захвата трафика? Часть 2. Захват на коммутаторе путем настройки зеркала или SPAN
- 5 недостатков Wireshark: в чём бесплатный сниффер проигрывает коммерческим аналогам?
- Как настроить фильтры для захвата трафика в WireShark? Примеры!
Какая команда привела к выводу паролей cisco
Команда enable secret используется для назначения локального пароля доступа в привилегированный режим консоли в открытом виде и хранении в зашифрованном виде пользователям всех уровней привилегий. Для снятия защиты паролем привилегированного режима используется та же команда с префиксом no .
Синтаксис enable secret < 0 | 5 >
no enable secret < 0 | 5 >
password значение пароля
0 при этом значении пароль вводится в открытом виде и зашифровывается внутри
5 при этом значении считается, что вводимый пароль является результатом функции хэширования, и сохраняется без изменения.
Значение по умолчанию Значение по умолчанию отсутствует.
Режимы команды Global configuration
Рекомендации по использованию
При значении < 0 >пароль вводится в открытом виде, а затем вычисляется функция хэширования пароля. Если посмотреть конфигурацию командой show running — config , то команда
enable secret 0
будет представлена с паролем, который является результатом функции хэширования, в виде:
При значении < 5 >считается, что введенный пароль является результатом функции хэширования пароля и в конфигурации сохраняется без изменения в том виде, в каком и был введен в команде:
enable secret 5
Команда может быть задана и в другом виде:
password значение пароля, которое не может быть равно 0 или 5, в противном случае данный синтаксис недопустим.
Если задать одну из двух команд (в данной версии Продукта они эквивалентны друг другу):
no enable password
no enable secret
это означает, что вход в привилегированный режим отключается:
· В этом случае запрещается вход в консоль непривилегированному пользователю (уровень привилегий, отличный от 15). При попытке войти в консоль, будет выдано сообщение: «Password required, but none set» (сообщение, аналогичное сообщению Cisco). После этого программа завершит работу.
· Следует соблюдать осторожность: если удалить всех привилегированных пользователей (с уровнем 15) и отключить пароль на вход в привилегированный режим, то зайти в консоль больше не удастся.
· Если при отключенном пароле на вход в привилегированный режим зайти привилегированным пользователем, затем с помощью команды disable выйти из привилегированного режима, а потом задать команду enable – будет выдано сообщение об ошибке: «% Error in authentication.» (сообщение, аналогичное сообщению Cisco). Войти в привилегированный режим в рамках данной сессии уже не удастся.
· По команде show running-config в этом случае не будут показываться команды enable password и enable secret .
Отличие данной команды от подобной команды Cisco IOS :
Формат зашифрованного пароля отличается от формата подобной команды в IOS.
Приведенный ниже пример демонстрирует команду для назначения пароля «qwerty» для хранения ее внутри в зашифрованном виде:
Router#enable secret 0 qwerty
В конфигурации эта команда будет храниться в виде:
enable secret 5 2 Fe 034 RYzgb 7 xbt 2 pYxcpA ==