◆ Cisco IOS - Type 7 のパスワード復号方法
Cisco IOSのType 7を使用したパスワードは復号可能です。当然、復号(Decrypt)されてしまうことは
セキュリティ上問題であるので、enableパスワードは enable password コマンドで設定するのではなく
enable algorithm-typeコマンドで、SHA-256(Type 8)または Scrypt(Type 9)の暗号アルゴリズム
指定した上でパスワード設定することが推奨されています。※ enable algorithm-typeコマンドの解説
Cisco IOSで表示されるコンフィグでは、enable secret または enable algorithm-typeコマンドで設定
したパスワードは MD5 or SHA-256 or Scrypt を使用してハッシュ処理するため、ツールを使用しても
復号できず平文として表示されないことから、パスワードを忘れた場合にはパスワードリカバリーまたは
初期化を行う必要があります。
一方、以下のようなコンフィグ設定の場合、つまりCiscoのtype 7を使用したパスワードは復号可能です。
service password-encryption
enable password 7 *****(復号可能)
radius-server host 192.168.1.1 auth-port 1645 acct-port 1646 key 7 *****(復号可能)
tacacs-server host 192.168.1.1 key 7 *****(復号可能)
line vty 0 15
password 7 *****(復号可能)
上記の内容に該当する設定コマンドは他にもたくさんありますが、要するに show run コマンドにより
パスワードの前に “ 7 ” と表示されているパスワードは復号可能です。それでは復号方法を解説します。
例えば、line vty で以下のように設定すると
Cisco(config)#line vty 0 15
Cisco(config-line)#password test123
show runで確認すると以下のように表示されます。
line vty 0 4
password 7 111D1C160343595F
この「 test123 」というパスワードを忘れた場合でも、暗号化された情報の「111D1C160343595F」の
文字列から、Cisco IOSを利用し「 test123 」の文字列を知ることができます。パスワード復号のために
先ず、このパスワードを設定した機器でも別の機器でもいいので以下のように設定します。
※ key-string 7 の " 7 " という数字まで入力してから、暗号化されたパスワードを貼り付けます。
Cisco(config)#key chain TEST
Cisco(config-keychain)#key 1
Cisco(config-keychain-key)#key-string 7 111D1C160343595F ← 暗号化されたパスワード貼り付け
次に、show key chain と入力すれば、復号された情報(平文)として以下の通り設定していたパスワード
「 test123 」を確認することができます。
Cisco# show key chain
Key-chain TEST:
key 1 -- text "test123"
accept lifetime (always valid) - (always valid) [valid now]
send lifetime (always valid) - (always valid) [valid now]
パスワードの確認が終わったら、Cisco(config)# no key chain TEST で設定コマンドを削除しましょう。
|