1 00:00:00,240 --> 00:00:06,210 In diesem Video werden die Aktivierungskennwörter und die geheimen Kennwörter auf Cisco-Geräten beschrieben. 2 00:00:06,210 --> 00:00:13,220 In diesem Beispiel habe ich einen Cisco-Router, und wenn ich die Eingabetaste drücke, werde ich in den 3 00:00:13,240 --> 00:00:18,820 Benutzermodus versetzt und kann dann "enable" eingeben. Damit wird der Aktivierungsmodus sofort aktiviert. 4 00:00:19,620 --> 00:00:22,020 Es gibt überhaupt keine Authentifizierung. 5 00:00:22,020 --> 00:00:27,290 Ich kann sofort mit der Konfiguration des Routers aus Sicherheitsgründen beginnen. 6 00:00:27,290 --> 00:00:29,410 Das ist eine wirklich schlechte Idee. 7 00:00:29,810 --> 00:00:36,680 Wenn sich jemand mit der Konsole eines Routers oder Switches verbindet, möchten Sie in 8 00:00:36,980 --> 00:00:45,080 der Regel ein Kennwort konfigurieren, damit diese Person nicht vom Benutzermodus in den Aktivierungs- oder Berechtigungsmodus wechseln kann, 9 00:00:45,080 --> 00:00:47,200 ohne einen bestimmten Sicherheitstyp. 10 00:00:47,230 --> 00:00:54,170 Es ist sehr riskant, einen Router ohne Kation zu konfigurieren. 11 00:00:54,220 --> 00:01:01,960 Jetzt in diesem Beispiel ingenius drei funktioniert es ein bisschen anders. Jenius drei Router bringen Sie 12 00:01:01,990 --> 00:01:04,370 sofort in den Privilegierungsmodus. 13 00:01:04,450 --> 00:01:11,110 Ich werde also eine Konsole für diesen Cisco-Router öffnen, der in Janissary ausgeführt wird. Mir wurde gesagt, dass 14 00:01:11,260 --> 00:01:17,470 ich die Eingabetaste drücken kann, um zu beginnen, und ich werde sofort in den Privilegienmodus versetzt. 15 00:01:17,600 --> 00:01:27,050 Wenn Sie also exit eingeben und die Eingabetaste drücken, wird der Privileg-Modus sofort auf einem echten Cisco-Router aktiviert. 16 00:01:27,130 --> 00:01:36,020 Ein physischer Router, den Sie in diesem Beispiel sehen können, zeigt, dass ich eine 17 00:01:36,050 --> 00:01:44,610 12:32 verwende, wenn Sie exit eingeben und dann die Eingabetaste drücken jetzt. 18 00:01:44,700 --> 00:01:52,320 Abgesehen davon können Sie das gesamte Labor auf Jena 3 testen, da Sie "disable" und dann "enable" eingeben können. 19 00:01:52,440 --> 00:01:56,260 Dadurch gelangen Sie erneut vom Benutzermodus in den Privilegienmodus. 20 00:01:56,730 --> 00:02:05,700 Das Problem hierbei ist also, dass Sie beim Herstellen einer Verbindung zu echten Routern über die Konsole auf den Rodda zugreifen 21 00:02:05,700 --> 00:02:09,010 können, ohne ein Kennwort eingeben zu müssen. 22 00:02:09,030 --> 00:02:13,830 Wir möchten dies ändern und eine Art Sicherheit hinzufügen. 23 00:02:13,880 --> 00:02:21,560 Also noch einmal, wenn ich im Benutzermodus bin und die Enable-Option eingebe. Ich erhalte standardmäßig Zugriff auf den 24 00:02:21,620 --> 00:02:27,790 Router mit der Berechtigungsstufe 15, dh ich habe alle Rechte am Router ohne Passwort. 25 00:02:27,860 --> 00:02:31,530 Ändern wir also das so konfigurierte Terminal Confiteor. 26 00:02:31,610 --> 00:02:38,820 Es gibt zwei Möglichkeiten, Kennwörter für den Aktivierungsmodus oder den Berechtigungsmodus zu konfigurieren, wenn Sie enable eingeben. 27 00:02:38,840 --> 00:02:45,340 Sie werden sehen, dass Sie ein Passwort für den Aktivierungsmodus oder ein geheimes Passwort für den Aktivierungsmodus konfigurieren können. 28 00:02:45,770 --> 00:02:50,060 Daher weisen beide eine Berechtigungsstufe für das Kennwort zu. 29 00:02:50,060 --> 00:02:57,950 Jetzt befindet sich das Enable-Kennwort immer noch im Cisco CCMA, was überraschend ist, weil es eine sehr schwache 30 00:02:58,190 --> 00:03:00,440 Art ist, Kennwörter einzurichten. 31 00:03:00,440 --> 00:03:04,340 Der Grund dafür ist, dass das Passwort wie hier gezeigt unverschlüsselt ist. 32 00:03:04,790 --> 00:03:09,090 Wenn Sie das Kennwort eingeben, geben Sie entweder 0 an. Dies bedeutet, dass das 33 00:03:09,090 --> 00:03:15,950 Kennwort, das Sie jetzt eingeben möchten, im Klartext angezeigt wird, oder Sie geben 7 an, dh das Kennwort wird bei der Eingabe verschlüsselt. 34 00:03:16,280 --> 00:03:18,830 Standardmäßig müssen Sie die Null nicht eingeben. 35 00:03:19,100 --> 00:03:22,780 Das bedeutet, dass das Passwort, das Sie eingeben, im Klartext ist. 36 00:03:22,790 --> 00:03:27,560 Seien Sie vorsichtig, indem Sie an dieser Stelle die Eingabetaste drücken, um kein Kennwort für den Cisco-Bereich zu erhalten. 37 00:03:27,650 --> 00:03:31,230 Wenn ich also die Rücktaste drücke und dann die Eingabetaste drücke. 38 00:03:31,550 --> 00:03:38,960 Das konfigurierte Kennwort ist also aktiviert. Kennwort Cecka Control Zero steuert die Rückkehr zum 39 00:03:38,960 --> 00:03:39,530 Privilegienmodus. 40 00:03:39,890 --> 00:03:43,760 Und jetzt für den Top-Showlauf sehen Sie das Problem. 41 00:03:43,760 --> 00:03:46,180 Beachten Sie, dass das Passwort im Klartext angezeigt wird. 42 00:03:46,370 --> 00:03:51,470 Wenn Sie also hinter mir stehen und über meine Schulter schauen, können Sie sehen, 43 00:03:51,470 --> 00:03:57,890 wie das Passwort konfiguriert ist, um die Konfiguration auf ein TFT-Teil zu kopieren und die Datei auf dem 44 00:03:57,890 --> 00:03:59,060 TFT-Teil zu öffnen. 45 00:03:59,090 --> 00:04:02,330 Sie können auch sehen, wie das Passwort konfiguriert ist. 46 00:04:02,490 --> 00:04:08,990 Daher empfiehlt Cisco, dass Sie die Standardverschlüsselung für keine Dienstkennwörter in Dienstkennwortverschlüsselung 47 00:04:09,140 --> 00:04:13,550 ändern, um die Verschlüsselung des Kennworts zu aktivieren. 48 00:04:13,550 --> 00:04:14,800 Das ist jetzt eine Falle. 49 00:04:14,810 --> 00:04:17,770 Lassen Sie sich von dieser Verschlüsselung nicht täuschen. 50 00:04:17,840 --> 00:04:23,570 Wenn Sie show run oder show running eingeben, wird die Kennwortverschlüsselung für das Dienstkennwort zurückgesetzt. Das 51 00:04:23,960 --> 00:04:28,130 Kennwort wird jetzt mit einem Kennwort vom Typ sieben verschlüsselt. 52 00:04:28,130 --> 00:04:35,540 Wenn ich das jedoch kopiere und in ein Hacking-Tool einfüge, wird dieses Tool jetzt als Teil des Kurses 53 00:04:35,540 --> 00:04:36,100 verfügbar. 54 00:04:36,140 --> 00:04:42,680 Sie sollten es also unter dem Video sehen, wenn ich dieses Passwort einfügte und auf Passwort anzeigen klicke. 55 00:04:42,680 --> 00:04:44,850 Beachten Sie, dass das Passwort entschlüsselt wurde. 56 00:04:45,200 --> 00:04:51,770 Daher ist dieses Passwort nur nützlich, um jemanden zu stoppen, der hinter mir steht und über Ihre Schulter schaut, um zu 57 00:04:51,770 --> 00:04:53,470 sehen, was Ihr Passwort ist. 58 00:04:53,570 --> 00:04:56,720 Es ist eigentlich nichts, was Sie heute verwenden sollten. 59 00:04:56,820 --> 00:05:05,360 Nun, nur um zu bestätigen, dass dieser Typ das Kennwort Cisco aktiviert hat, und in diesem Fall verwende ich den 60 00:05:05,360 --> 00:05:12,560 Befehl "show show run". Dies bedeutet, dass ich einen show-Befehl im Konfigurationsmodus ausführt und Pipe-Include aktivieren, 61 00:05:12,740 --> 00:05:20,270 um nur Zeilen anzuzeigen in der laufenden config mit dem Enable word Notice unterscheidet sich das Passwort 62 00:05:20,270 --> 00:05:23,120 von dem, was wir zuvor hatten. 63 00:05:23,390 --> 00:05:27,890 Zurück in meine Hacking-Anwendung füge ich das ein. 64 00:05:27,890 --> 00:05:29,950 Beachten Sie das Passwort. 65 00:05:30,050 --> 00:05:33,850 Ich werde es an Cisco zurücksenden. 66 00:05:34,020 --> 00:05:35,380 Schau es dir nochmal an. 67 00:05:35,490 --> 00:05:41,990 Beachten Sie, dass es geändert wurde, aber wenn ich das Passwort eingefügt habe, wird es durch dieses Hacking-Tool angezeigt. 68 00:05:42,360 --> 00:05:46,380 Lassen Sie sich also nicht mit dem Enable-Passwort täuschen. 69 00:05:46,380 --> 00:05:49,480 Noch etwas werde ich darauf hinweisen und Ihnen dann einen besseren Weg zeigen. 70 00:05:49,800 --> 00:05:56,540 Wenn Sie das aktivierte Passwort eingeben, beachten Sie die sieben, was bedeutet, dass das folgende Passwort verschlüsselt ist. 71 00:05:56,640 --> 00:06:02,240 Wenn ich es so einsetze, bedeutet das, dass ich ein Passwort von Cisco verwendet habe. 72 00:06:02,250 --> 00:06:03,680 Wie hilft mir das jetzt? 73 00:06:03,970 --> 00:06:12,360 Wenn ich "disable" und jetzt "enable" eintippe, muss ich das Kennwort von Cisco eingeben. 74 00:06:12,360 --> 00:06:22,010 Der Befehl "enable password" wird verwendet, um zu verhindern, dass jemand aus dem Benutzermodus in den Aktivierungsmodus wechselt. 75 00:06:22,020 --> 00:06:25,740 Sie werden auch feststellen, dass das Passwort nicht angezeigt wird. 76 00:06:25,830 --> 00:06:31,320 Es zeigt Ihnen nicht einmal die Anzahl der Zeichen, die Sie eingeben. Wenn ich eine Tabelle eingebe, wird 77 00:06:31,320 --> 00:06:33,730 nichts angezeigt, obwohl ich das Kennwort eingebe. 78 00:06:33,990 --> 00:06:38,080 So weiß jemand hinter mir nicht, wie viele Zeichen mein Passwort ist. 79 00:06:38,430 --> 00:06:39,550 Und du würdest es nicht wissen. 80 00:06:39,630 --> 00:06:41,250 Video ansehen 81 00:06:41,310 --> 00:06:47,930 Die Empfehlung zum Aktivieren des Kennworts lautet also: Verwenden Sie es nicht, da der Text standardmäßig unklar ist. 82 00:06:48,360 --> 00:06:54,660 Also nochmal keine Service-Passwortverschlüsselung und dann do show run eingeben. 83 00:06:54,660 --> 00:06:57,310 Das Passwort wird hier verschlüsselt angezeigt. 84 00:06:57,480 --> 00:07:04,250 Wenn ich dieses Kennwort zur Aktivierung des Kennworts ändere, zeigt Cisco Laufpassio in Klartext an. 85 00:07:04,350 --> 00:07:10,530 Wenn Sie also ein aktiviertes Kennwort verwenden und es wird empfohlen, dies nicht zu tun, wird empfohlen, 86 00:07:10,530 --> 00:07:14,990 die Verschlüsselungsoption für das Dienstkennwort zum Verschlüsseln der Kennwörter zu verwenden. 87 00:07:15,030 --> 00:07:20,730 Cisco unterstützt das aktivierte Kennwort aus Gründen der Abwärtskompatibilität noch immer, es sollte jedoch in 88 00:07:20,730 --> 00:07:22,770 der Realität nicht verwendet werden. 89 00:07:22,770 --> 00:07:28,170 Sehen wir uns nun einen besseren Weg an, um die Sicherheit für den Enable-Modus einzustellen.