Cisco IOS - decryption of Type 7 Password



 ◆ Cisco IOS - Type 7 のパスワード復号方法

 Cisco IOSのType 7を使用したパスワードは復号可能です。当然、復号(Decrypt)されてしまうことは
 セキュリティ上問題であるので、enableパスワードは enable password コマンドで設定するのではなく
 enable algorithm-typeコマンドで、
SHA-256(Type 8)または Scrypt(Type 9)の暗号アルゴリズム
 指定した上でパスワード設定することが推奨されています。※ enable algorithm-typeコマンドの解説

 Cisco IOSで表示されるコンフィグでは、enable secret または enable algorithm-typeコマンドで設定
 したパスワードは MD5 or SHA-256 or Scrypt を使用してハッシュ処理するため、ツールを使用しても
 復号できず平文として表示されないことから、パスワードを忘れた場合にはパスワードリカバリーまたは
 初期化を行う必要があります。

 一方、以下のようなコンフィグ設定の場合、つまりCiscoのtype 7を使用したパスワードは復号可能です。


 service password-encryption

 enable password 7 *****(復号可能)
 radius-server host 192.168.1.1 auth-port 1645 acct-port 1646 key 7 *****(復号可能)
 tacacs-server host 192.168.1.1 key 7 *****(復号可能)

 line vty 0 15
 password 7 *****(復号可能)



 上記の内容に該当する設定コマンドは他にもたくさんありますが、要するに show run コマンドにより
 
パスワードの前に “ 7 ” と表示されているパスワードは復号可能です。それでは復号方法を解説します。

 例えば、line vty で以下のように設定すると


 Cisco(config)#line vty 0 15
 Cisco(config-line)#password test123



 show runで確認すると以下のように表示されます。


 line vty 0 4
 password 7 111D1C160343595F



 この「 test123 」というパスワードを忘れた場合でも、暗号化された情報の「111D1C160343595F」の
 文字列から、Cisco IOSを利用し「 test123 」の文字列を知ることができます。パスワード復号のために
 先ず、このパスワードを設定した機器でも別の機器でもいいので以下のように設定します。
 ※ key-string 7 の " 7 " という数字まで入力してから、暗号化されたパスワードを貼り付けます。


 Cisco(config)#key chain TEST
 Cisco(config-keychain)#
key 1
 Cisco(config-keychain-key)#
key-string 7 111D1C160343595F ← 暗号化されたパスワード貼り付け



 次に、show key chain と入力すれば、復号された情報(平文)として以下の通り設定していたパスワード
 「 test123 」を確認することができます。


 Cisco# show key chain
 Key-chain TEST:
 key 1 -- text "test123"
 accept lifetime (always valid) - (always valid) [valid now]
 send lifetime (always valid) - (always valid) [valid now]



 パスワードの確認が終わったら、Cisco(config)#
no key chain TEST で設定コマンドを削除しましょう。



ネットワークエンジニアとして

Copyright (C) 2002-2024 ネットワークエンジニアとして All Rights Reserved.