Como o Arista EOS e o Cisco IOS criptografam tacacs + chaves de criptografia?

2

Estamos usando tacacs para AAA em nossos dispositivos de rede e estamos interessados / curiosos em saber como nossos dispositivos estão criptografando o lado do dispositivo de senhas.

Seguindo o manual do Arista EOS , página 139, estou em execução:

switch(config)#tacacs-server key 0 cv90jr1

O guia informa que a string criptografada correspondente é 020512025B0C1D70 .

switch(config)#show running-config | grep tacacs
tacacs-server key 7 1306014B5B06167B

Ver uma string criptografada diferente daquela que eles mencionaram me deixou curioso. Então adicionei a mesma chave dez vezes mais e dei uma olhada nas versões criptografadas:

tacacs-server key 7 0110105D0B01145E
tacacs-server key 7 070C37151E030B54
tacacs-server key 7 020512025B0C1D70
tacacs-server key 7 1306014B5B06167B
tacacs-server key 7 020512025B0C1D70
tacacs-server key 7 020512025B0C1D70
tacacs-server key 7 0110105D0B01145E
tacacs-server key 7 110A0F5C4718195D
tacacs-server key 7 0007055F54511957
tacacs-server key 7 03074D525605331D

Não encontrei nenhuma informação sobre isso. Estou particularmente interessado no fato de ter colidido a chave do manual três vezes e ter outra colisão separada lá. Qualquer que seja a salga, parece não ter um domínio de entrada particularmente grande.

Então, como isso é criptografado? Se um adversário obtivesse informações de configuração de um dispositivo (digamos, a saída de show running-config ), quão fácil / difícil seria calcular os verdadeiros tacacs + chave?

O Cisco IOS funciona da mesma maneira? Eu não tenho um dispositivo Cisco de laboratório para experimentar isso, mas tenho a impressão de que os recursos que Arista não achava que fossem diferentes são idênticos entre a Arista e a Cisco.

    
por David Mah 11.09.2013 / 19:07

2 respostas

1

Essa é uma codificação do tipo 7 da Cisco. Eu hesitaria em chamá-la de criptografia, já que é um algoritmo incrivelmente fraco. Para demonstrar, elimine qualquer uma dessas strings criptografadas em esta ferramenta e ela lhe dará a chave secreta imediatamente.

A variabilidade na saída criptografada realmente vem de uma espécie de sal - especificamente, tfd;kfoA,.iyewrkldJKD . Essa string é constante, o que varia é o ponto inicial - os dois primeiros caracteres da string criptografada indicam onde o sal deve começar a descriptografar.

Veja aqui para mais informações nas especificidades da implementação do algoritmo.

    
por 12.09.2013 / 07:56
0

Essas chaves, como Shane mencionou, dificilmente são criptografadas e são comumente reconhecidas como simplesmente uma defesa contra a visualização de chaves e senhas por cima do ombro. Na verdade, se você não tiver o serviço de criptografia de senha ativado em um Cisco, as chaves serão em texto simples.

Geralmente, é recomendável que, se você precisar compartilhar essa configuração com alguém de fora da sua organização, remova as chaves do arquivo de configuração e de qualquer outra senha que use o tipo 7.

    
por 20.09.2013 / 04:01