1 00:00:00,240 --> 00:00:06,210 Dans cette vidéo, nous allons discuter des mots de passe d'activation et secrets sur les périphériques Cisco. 2 00:00:06,210 --> 00:00:13,220 Dans cet exemple, j'ai un routeur Cisco et lorsque j'appuie sur Entrée, je passe en mode utilisateur, puis 3 00:00:13,240 --> 00:00:18,820 je peux taper enable qui me prend immédiatement pour activer ou privilégier le mode. 4 00:00:19,620 --> 00:00:22,020 Il n'y a pas d'authentification du tout. 5 00:00:22,020 --> 00:00:27,290 Je peux immédiatement commencer à configurer le routeur du point de vue de la sécurité. 6 00:00:27,290 --> 00:00:29,410 C'est une très mauvaise idée. 7 00:00:29,810 --> 00:00:36,680 Lorsqu'une personne se connecte à la console d'un routeur ou d'un commutateur, vous souhaitez généralement qu'un mot 8 00:00:36,980 --> 00:00:45,080 de passe soit configuré pour que cette personne ne puisse pas passer du mode utilisateur au mode d'activation ou 9 00:00:45,080 --> 00:00:47,200 de privilège sans sécurité. 10 00:00:47,230 --> 00:00:54,170 Il est très risqué d’avoir un routeur configuré sans aucun type de cation. 11 00:00:54,220 --> 00:01:01,960 Maintenant, dans cet exemple, ingenius trois cela fonctionne un peu différemment jenius trois routeurs vous amène 12 00:01:01,990 --> 00:01:04,370 immédiatement en mode privilège. 13 00:01:04,450 --> 00:01:11,110 Je vais donc ouvrir une console pour ce routeur Cisco fonctionnant sous Janissary. On me dit que je 14 00:01:11,260 --> 00:01:17,470 peux appuyer sur Entrée pour commencer et que je suis immédiatement mis en mode privilège. 15 00:01:17,600 --> 00:01:27,050 Donc, si je tape exit et appuie sur enter, je passe immédiatement en mode privilège sur un vrai routeur Cisco. 16 00:01:27,130 --> 00:01:36,020 Donc, un routeur physique, vous pouvez voir dans cet exemple que j'utilise un 12:32 quand je tape exit, puis appuyez sur Entrée, je suis 17 00:01:36,050 --> 00:01:43,180 pris en mode utilisateur pas en mode privilège et puis je dois taper pouvoir aller en mode privilège à 18 00:01:44,130 --> 00:01:44,610 présent. 19 00:01:44,700 --> 00:01:52,320 En dehors de cela, vous pouvez tester l'ensemble du laboratoire sur Jena's 3, car vous pouvez taper disable puis taper enable, ce 20 00:01:52,440 --> 00:01:56,260 qui vous permet de passer du mode utilisateur au mode privilège. 21 00:01:56,730 --> 00:02:05,700 Le problème est donc que lorsque vous vous connectez à de vrais routeurs via la console, vous pouvez accéder à la 22 00:02:05,700 --> 00:02:09,010 Rodda sans entrer de mot de passe. 23 00:02:09,030 --> 00:02:13,830 Nous voulons donc changer cela et ajouter un type de sécurité. 24 00:02:13,880 --> 00:02:21,560 Donc, encore une fois, quand je suis en mode utilisateur et que je tape le bouton Activer, je peux accéder au routeur par défaut en utilisant le 25 00:02:21,620 --> 00:02:27,790 niveau de privilège 15, ce qui signifie que je dispose de tous les droits sur le routeur sans mot de passe. 26 00:02:27,860 --> 00:02:31,530 Alors changeons ce terminal Confiteor ainsi configuré. 27 00:02:31,610 --> 00:02:38,820 Il existe deux manières de configurer les mots de passe pour le mode Activer ou le mode Privilège lorsque vous tapez Activer. 28 00:02:38,840 --> 00:02:45,340 Vous verrez que vous pouvez configurer un mot de passe pour le mode Activer ou un mot de passe secret pour le mode Activer. 29 00:02:45,770 --> 00:02:50,060 Donc, tous les deux attribuent un type de mot de passe de niveau privilège. 30 00:02:50,060 --> 00:02:57,950 À présent, le mot de passe d'activation est toujours dans Cisco CCMA, ce qui est surprenant car c'est un moyen très faible 31 00:02:58,190 --> 00:03:00,440 de configurer des mots de passe. 32 00:03:00,440 --> 00:03:04,340 La raison pour laquelle le mot de passe est non chiffré, comme indiqué ci-dessus. 33 00:03:04,790 --> 00:03:09,090 Lorsque vous tapez le mot de passe, spécifiez 0, ce qui signifie que le mot 34 00:03:09,090 --> 00:03:15,950 de passe que vous allez saisir est en texte clair, ou 7, ce qui signifie que le mot de passe est crypté lorsque vous le tapez. 35 00:03:16,280 --> 00:03:18,830 Par défaut, vous n'avez pas à mettre le zéro dans. 36 00:03:19,100 --> 00:03:22,780 Ce qui signifie que le mot de passe que vous tapez est en texte clair. 37 00:03:22,790 --> 00:03:27,560 Maintenant, faites attention en entrant, vous ne voulez pas de mot de passe d'espace Cisco. 38 00:03:27,650 --> 00:03:31,230 Alors, quand j'appuie sur la touche Retour arrière, puis sur Entrée. 39 00:03:31,550 --> 00:03:38,960 Le mot de passe configuré est donc activé. Mot de passe Cecka control zéro control me ramène en mode 40 00:03:38,960 --> 00:03:39,530 privilège. 41 00:03:39,890 --> 00:03:43,760 Et maintenant, pour le top show, vous verrez le problème. 42 00:03:43,760 --> 00:03:46,180 Notez que le mot de passe est en texte clair. 43 00:03:46,370 --> 00:03:51,470 Donc, si vous vous teniez derrière moi en regardant par-dessus mon épaule, vous pourriez voir 44 00:03:51,470 --> 00:03:57,890 quel mot de passe est configuré pour copier la configuration sur un élément TFT et vous avez ouvert le fichier 45 00:03:57,890 --> 00:03:59,060 sur l'élément TFT. 46 00:03:59,090 --> 00:04:02,330 Vous pourrez également voir comment le mot de passe est configuré. 47 00:04:02,490 --> 00:04:08,990 Par conséquent, Cisco vous recommande de changer le cryptage sans mot de passe de service par défaut en cryptage de 48 00:04:09,140 --> 00:04:13,550 mot de passe de service pour activer le cryptage du mot de passe. 49 00:04:13,550 --> 00:04:14,800 Maintenant c'est un piège. 50 00:04:14,810 --> 00:04:17,770 Ne vous laissez pas berner par ce cryptage. 51 00:04:17,840 --> 00:04:23,570 Donc, tout d’abord, lorsque vous tapez show run ou show en cours d’exécution, config notice reset, le cryptage du mot de passe de service 52 00:04:23,960 --> 00:04:28,130 et le mot de passe est maintenant crypté avec un mot de passe de type sept. 53 00:04:28,130 --> 00:04:35,540 Cependant, si je le copie et le colle dans un outil de piratage, cet outil est désormais disponible dans le cadre du 54 00:04:35,540 --> 00:04:36,100 cours. 55 00:04:36,140 --> 00:04:42,680 Vous devriez donc le voir sous la vidéo si je colle ce mot de passe et cliquez sur Afficher le mot de passe. 56 00:04:42,680 --> 00:04:44,850 Notez que le mot de passe est déchiffré. 57 00:04:45,200 --> 00:04:51,770 Ce mot de passe n’est donc utile que pour empêcher une personne derrière moi de regarder par-dessus votre épaule et de voir quel 58 00:04:51,770 --> 00:04:53,470 est votre mot de passe. 59 00:04:53,570 --> 00:04:56,720 Ce n'est pas vraiment quelque chose que vous devriez utiliser aujourd'hui. 60 00:04:56,820 --> 00:05:05,360 Maintenant, juste pour confirmer que ce type a activé le mot de passe Cisco one et dans ce cas, je vais utiliser la commande do 61 00:05:05,360 --> 00:05:12,560 show run, ce qui signifie que j’exécute une commande show à partir du mode configuration et que je vais spécifier le 62 00:05:12,740 --> 00:05:20,270 tuyau include pour afficher uniquement les lignes dans la configuration en cours avec le mot Activer, notez que le mot de passe 63 00:05:20,270 --> 00:05:23,120 est différent de ce que nous avions précédemment. 64 00:05:23,390 --> 00:05:27,890 Donc, dans mon application de piratage, je vais coller cela dans. 65 00:05:27,890 --> 00:05:29,950 Remarquez qu'il y a le mot de passe. 66 00:05:30,050 --> 00:05:33,850 Je vais le renvoyer à Cisco. 67 00:05:34,020 --> 00:05:35,380 Regardez à nouveau. 68 00:05:35,490 --> 00:05:41,990 Notez que cela a changé, mais lorsque j'ai collé le mot de passe, il apparaît dans cet outil de piratage. 69 00:05:42,360 --> 00:05:46,380 Donc, ne soyez pas dupe en utilisant le mot de passe Enable. 70 00:05:46,380 --> 00:05:49,480 Une dernière chose que je vais souligner, puis je vais vous montrer une meilleure façon de le faire. 71 00:05:49,800 --> 00:05:56,540 Ainsi, lorsque vous tapez mot de passe activé, remarquez le chiffre sept qui signifie que le mot de passe qui suit est crypté. 72 00:05:56,640 --> 00:06:02,240 Donc, si je le mets comme ça, cela signifie que j'ai utilisé un mot de passe de Cisco. 73 00:06:02,250 --> 00:06:03,680 Maintenant, comment cela m'aide-t-il? 74 00:06:03,970 --> 00:06:12,360 Eh bien, lorsque je saisis désactiver et que je saisis maintenant active avis, j’ai besoin de saisir le mot de 75 00:06:12,360 --> 00:06:22,010 passe de Cisco. Ainsi, la commande enabled password est utilisée pour empêcher une personne de passer du mode utilisateur d’activer le mode sans aucun cation. 76 00:06:22,020 --> 00:06:25,740 Vous remarquerez également que le mot de passe n'est pas affiché. 77 00:06:25,830 --> 00:06:31,320 Il ne vous indique même pas le nombre de caractères que vous saisissez. Ainsi, lorsque je tape dans le tableau, rien ne 78 00:06:31,320 --> 00:06:33,730 s'affiche même si je tape le mot de passe. 79 00:06:33,990 --> 00:06:38,080 Donc, quelqu'un derrière moi ne sait pas combien de caractères mon mot de passe est. 80 00:06:38,430 --> 00:06:39,550 Et tu ne saurais pas. 81 00:06:39,630 --> 00:06:41,250 Regarder cette vidéo. 82 00:06:41,310 --> 00:06:47,930 C’est donc la recommandation Activer le mot de passe, à éviter, car il s’agit d’un texte peu clair par défaut. 83 00:06:48,360 --> 00:06:54,660 Donc, encore une fois, évitez le chiffrement du mot de passe de service, puis tapez do show show. 84 00:06:54,660 --> 00:06:57,310 Le mot de passe est montré ici comme crypté. 85 00:06:57,480 --> 00:07:04,250 Si je modifie cela pour activer le mot de passe, Cisco affiche la procédure d’exécution en clair. 86 00:07:04,350 --> 00:07:10,530 Donc, si vous allez utiliser un mot de passe activé et qu'il est recommandé de ne pas l'utiliser, il est recommandé d'utiliser 87 00:07:10,530 --> 00:07:14,990 l'option de cryptage du mot de passe du service pour crypter vos mots de passe. 88 00:07:15,030 --> 00:07:20,730 Cisco prend toujours en charge le mot de passe activé pour la compatibilité ascendante, mais ce n’est pas quelque chose que 89 00:07:20,730 --> 00:07:22,770 vous devriez utiliser dans le monde réel. 90 00:07:22,770 --> 00:07:28,170 Voyons maintenant un meilleur moyen de définir la sécurité pour le mode Activer.