我们在我们的networking设备上使用tacac作为AAA,我对我们的设备如何encryption密码设备侧感兴趣/好奇。
遵循Arista EOS手册 (第139页),我正在运行:
switch(config)#tacacs-server key 0 cv90jr1 该指南告诉我相应的encryptionstring是020512025B0C1D70 。
switch(config)#show running-config | grep tacacs tacacs-server key 7 1306014B5B06167B
看到一个不同于他们提到的encryptionstring让我好奇。 所以我又添加了相同的密钥十次,并查看了encryption版本:
tacacs-server key 7 0110105D0B01145E tacacs-server key 7 070C37151E030B54 tacacs-server key 7 020512025B0C1D70 tacacs-server key 7 1306014B5B06167B tacacs-server key 7 020512025B0C1D70 tacacs-server key 7 020512025B0C1D70 tacacs-server key 7 0110105D0B01145E tacacs-server key 7 110A0F5C4718195D tacacs-server key 7 0007055F54511957 tacacs-server key 7 03074D525605331D
我找不到任何有关这方面的信息。 我特别感兴趣的是我三次碰到了手册的钥匙,并在那里发生了另一次单独的碰撞。 无论他们做什么腌制似乎没有一个特别大的input领域。
那么这是如何被encryption的呢? 如果对手想要获得设备的configuration信息(比如说show running-config的输出),计算真正的tacac + key是多么的简单/困难呢?
Cisco IOS是否以相同的方式工作? 我没有一个实验室思科设备来试验这个,但是我觉得Arista和思科之间Arista认为需要不同的特性是一致的。
这是一个思科types7编码..我不愿意把它称为encryption,因为它是一个令人难以置信的弱algorithm。 为了演示,将这些encryption的string放到这个工具中 ,它会立即给你一个密钥。
encryption输出的可变性确实来自各种各样的盐 – 特别是tfd;kfoA,.iyewrkldJKD 。 该string是恒定的,开始点是不同的 – encryptionstring的前两个字符表示盐开始解密的位置。
有关algorithm实现细节的更多信息,请参阅此处 。
Shane提到,这些密钥几乎不encryption,通常被认为只是防止密码和密码的过度查看。 事实上,如果您没有在Cisco上启用服务密码encryption ,密钥将是明文。
通常build议,如果您需要与组织外部的人员共享此configuration,则需要从configuration文件和其他使用types7的密码中删除密钥。