1 00:00:00,240 --> 00:00:06,210 In questo video discuteremo le password Abilita e segrete sui dispositivi Cisco. 2 00:00:06,210 --> 00:00:13,220 In questo esempio ho un router Cisco e quando premo Invio sono portato in modalità utente e quindi 3 00:00:13,240 --> 00:00:18,820 posso digitare abilita che mi richiede immediatamente per abilitare o privilegiare la modalità. 4 00:00:19,620 --> 00:00:22,020 Non c'è affatto autenticazione. 5 00:00:22,020 --> 00:00:27,290 Sono immediatamente in grado di iniziare a configurare il router da un punto di vista della sicurezza. 6 00:00:27,290 --> 00:00:29,410 Questa è una pessima idea. 7 00:00:29,810 --> 00:00:36,680 Quando qualcuno si connette alla console di un router o switch in genere si desidera avere una password 8 00:00:36,980 --> 00:00:45,080 configurata in modo che quella persona non sia in grado di passare dalla modalità utente alla modalità Abilita o privilegiata senza 9 00:00:45,080 --> 00:00:47,200 un certo tipo di sicurezza. 10 00:00:47,230 --> 00:00:54,170 È molto rischioso configurare un router senza alcun tipo di catione. 11 00:00:54,220 --> 00:01:01,960 Ora in questo esempio di genio tre funziona in modo leggermente diverso, i tre jenius ti portano 12 00:01:01,990 --> 00:01:04,370 immediatamente in modalità privilegio. 13 00:01:04,450 --> 00:01:11,110 Quindi aprirò una console per questo router Cisco in esecuzione su Janissary e mi viene detto 14 00:01:11,260 --> 00:01:17,470 che posso premere Invio per iniziare e che sono immediatamente in modalità privilegiata. 15 00:01:17,600 --> 00:01:27,050 Quindi, se digito exit e premi invio, sono subito in modalità privilegiata su un vero router Cisco. 16 00:01:27,130 --> 00:01:36,020 Quindi un router fisico che puoi vedere in questo esempio che sto usando un 12:32 quando digito exit e poi invio Invio Sono portato 17 00:01:36,050 --> 00:01:43,180 in modalità utente non in modalità privilegio e quindi devo digitare essere in grado di andare in modalità privilegio 18 00:01:44,130 --> 00:01:44,610 adesso. 19 00:01:44,700 --> 00:01:52,320 A parte questo, puoi testare l'intero laboratorio su Jena's 3 perché puoi digitare disable e quindi digitare enable e questo 20 00:01:52,440 --> 00:01:56,260 ti porta nuovamente dalla modalità utente alla modalità privilegiata. 21 00:01:56,730 --> 00:02:05,700 Quindi il problema qui è che quando ti colleghi ai router reali tramite la console puoi accedere 22 00:02:05,700 --> 00:02:09,010 a Rodda senza inserire una password. 23 00:02:09,030 --> 00:02:13,830 Quindi vogliamo cambiare questo e aggiungere qualche tipo di sicurezza. 24 00:02:13,880 --> 00:02:21,560 Quindi, ancora una volta quando sono in modalità utente e scrivo l'opzione Abilita l'accesso al router per impostazione predefinita utilizzando 25 00:02:21,620 --> 00:02:27,790 il livello di privilegio 15 che significa che ho tutti i diritti sul router senza password. 26 00:02:27,860 --> 00:02:31,530 Quindi cambiamo il terminale Confiteor così configurato. 27 00:02:31,610 --> 00:02:38,820 Esistono due modi per configurare le password per la modalità Abilita o la modalità privilegio quando si digita abilita. 28 00:02:38,840 --> 00:02:45,340 Vedrai che puoi configurare una password per la modalità Abilita o una password segreta per la modalità Abilita. 29 00:02:45,770 --> 00:02:50,060 Quindi entrambi assegnano un tipo di password di livello privilegiato. 30 00:02:50,060 --> 00:02:57,950 Ora la password di abilitazione è ancora in Cisco CCMA, il che è sorprendente perché è un modo molto 31 00:02:58,190 --> 00:03:00,440 debole di configurare le password. 32 00:03:00,440 --> 00:03:04,340 Il motivo per cui la password non è crittografata come mostrato qui. 33 00:03:04,790 --> 00:03:09,090 Quando si digita la password, si specifica 0, il che significa che la password 34 00:03:09,090 --> 00:03:15,950 che si sta digitando ora è in chiaro o si specifica 7, il che significa che la password viene crittografata quando la si digita. 35 00:03:16,280 --> 00:03:18,830 Per impostazione predefinita non è necessario inserire lo zero. 36 00:03:19,100 --> 00:03:22,780 Il che significa che la password che stai digitando è in chiaro. 37 00:03:22,790 --> 00:03:27,560 Ora fai attenzione a inserire enter a questo punto non vuoi una password di spazio Cisco. 38 00:03:27,650 --> 00:03:31,230 Quindi quando premo backspace e poi premo invio. 39 00:03:31,550 --> 00:03:38,960 Quindi la password configurata è abilitata password Cecka controllo zero controlla mi riporta in modalità 40 00:03:38,960 --> 00:03:39,530 privilegio. 41 00:03:39,890 --> 00:03:43,760 E ora per la corsa in alto spettacolo vedrai il problema. 42 00:03:43,760 --> 00:03:46,180 Si noti che la password è in chiaro. 43 00:03:46,370 --> 00:03:51,470 Quindi, se ti trovassi dietro di me a guardare oltre la mia spalla, saresti in grado di vedere 44 00:03:51,470 --> 00:03:57,890 quale è la configurazione della password come un modo per copiare la configurazione su un pezzo TFT e hai aperto il file 45 00:03:57,890 --> 00:03:59,060 sul pezzo TFT. 46 00:03:59,090 --> 00:04:02,330 Saresti anche in grado di vedere come è configurata la password. 47 00:04:02,490 --> 00:04:08,990 Pertanto, Cisco consiglia di modificare l'impostazione predefinita di nessuna crittografia della password di servizio per la crittografia 48 00:04:09,140 --> 00:04:13,550 della password di servizio per consentire la crittografia della password. 49 00:04:13,550 --> 00:04:14,800 Questa è una trappola. 50 00:04:14,810 --> 00:04:17,770 Non farti ingannare da questa crittografia. 51 00:04:17,840 --> 00:04:23,570 Quindi, in primo luogo quando si digita show run o show in esecuzione, config notice reset set service password 52 00:04:23,960 --> 00:04:28,130 encryption e la password è ora crittografata con una password di tipo sette. 53 00:04:28,130 --> 00:04:35,540 Tuttavia se lo copio e lo incollo in uno strumento di hacking ora rende questo strumento disponibile come parte del 54 00:04:35,540 --> 00:04:36,100 corso. 55 00:04:36,140 --> 00:04:42,680 Quindi dovresti vederlo sotto il video se incollo quella password e fai clic su Mostra password. 56 00:04:42,680 --> 00:04:44,850 Si noti che la password è decifrata. 57 00:04:45,200 --> 00:04:51,770 Quindi questa password è utile solo per fermare qualcuno dietro di me che guarda da dietro le spalle e vedere 58 00:04:51,770 --> 00:04:53,470 qual è la tua password. 59 00:04:53,570 --> 00:04:56,720 Non è qualcosa che dovresti usare oggi. 60 00:04:56,820 --> 00:05:05,360 Ora solo per confermare che quel tipo ha abilitato la password Cisco one e in questo caso userò il comando do show 61 00:05:05,360 --> 00:05:12,560 run che significa che sto eseguendo un comando show dalla modalità configure e ho intenzione di specificare pipe 62 00:05:12,740 --> 00:05:20,270 include enable per mostrare solo le righe nella configurazione in esecuzione con la parola Abilita, la password è diversa 63 00:05:20,270 --> 00:05:23,120 da quella che avevamo in precedenza. 64 00:05:23,390 --> 00:05:27,890 Quindi, tornando alla mia applicazione di hacking, lo incollo. 65 00:05:27,890 --> 00:05:29,950 Nota che c'è la password 66 00:05:30,050 --> 00:05:33,850 Lo rispedirò a Cisco. 67 00:05:34,020 --> 00:05:35,380 Guarda di nuovo. 68 00:05:35,490 --> 00:05:41,990 Si noti che è cambiato, ma quando ho incollato la password viene mostrato attraverso questo strumento di hacking. 69 00:05:42,360 --> 00:05:46,380 Quindi non fatevi ingannare dall'usare la password di abilitazione. 70 00:05:46,380 --> 00:05:49,480 Un'altra cosa che farò notare e poi ti mostrerò un modo migliore di farlo. 71 00:05:49,800 --> 00:05:56,540 Quindi, quando si digita la password abilitata, si noti che il numero sette indica che la password che segue è crittografata. 72 00:05:56,640 --> 00:06:02,240 Quindi se lo inserisco in questo modo significa che ho usato una password di Cisco. 73 00:06:02,250 --> 00:06:03,680 Ora, come mi aiuta? 74 00:06:03,970 --> 00:06:12,360 Bene, quando digito disable e ora invio enable notice, devo inserire la password di Cisco. Quindi il 75 00:06:12,360 --> 00:06:22,010 comando password abilitato viene utilizzato per impedire a qualcuno di passare dalla modalità utente alla modalità di abilitazione senza alcun cation. 76 00:06:22,020 --> 00:06:25,740 Noterai inoltre che la password non viene visualizzata. 77 00:06:25,830 --> 00:06:31,320 Non mostra nemmeno il numero di caratteri che stai digitando, quindi quando digito nella tabella non viene visualizzato 78 00:06:31,320 --> 00:06:33,730 nulla anche se sto digitando la password. 79 00:06:33,990 --> 00:06:38,080 Quindi qualcuno dietro di me non saprebbe quanti caratteri è la mia password. 80 00:06:38,430 --> 00:06:39,550 E tu non lo sapresti. 81 00:06:39,630 --> 00:06:41,250 Guardando questo video. 82 00:06:41,310 --> 00:06:47,930 Quindi questa è la raccomandazione Abilita password non usarla perché è un testo non chiaro per impostazione predefinita. 83 00:06:48,360 --> 00:06:54,660 Quindi, ancora una volta non si prevede la crittografia della password di servizio, quindi digitare do show run. 84 00:06:54,660 --> 00:06:57,310 La password è mostrata come crittografata qui. 85 00:06:57,480 --> 00:07:04,250 Se lo cambio per abilitare la password, Cisco mostra show run passio a mostrato in chiaro. 86 00:07:04,350 --> 00:07:10,530 Pertanto, se si intende utilizzare una password abilitata e si consiglia di non farlo, si consiglia di 87 00:07:10,530 --> 00:07:14,990 utilizzare l'opzione di crittografia della password di servizio per crittografare le password. 88 00:07:15,030 --> 00:07:20,730 Cisco supporta ancora la password abilitata per la compatibilità con le versioni precedenti, ma non è qualcosa 89 00:07:20,730 --> 00:07:22,770 che dovresti usare nel mondo reale. 90 00:07:22,770 --> 00:07:28,170 Ora diamo un'occhiata a un modo migliore di impostare la sicurezza per la modalità Abilita.