Posté le: Mar Aoû 21, 2007 9:34 pm Sujet du message: Secret password
bonsoir,
Je bloque sur une notion dont je n'arrive pas à comprendre la signification. Qu'est-ce que le mot de passe secret.
Au niveau des cours CNAP, il est dit la chose suivante:
Les paramètres généraux suivants servent à définir les divers mots de passe du routeur. Vous devez entrer un mot de passe enable. Lorsque vous entrez une chaîne de caractères en réponse à l'invite " Enter enable secret ", les caractères sont traités par le système de cryptage propriétaire de Cisco. Cela augmente la sécurité du mot de passe. Chaque fois qu'un utilisateur affiche le contenu du fichier de configuration du routeur, le mot de passe enable apparaît sous la forme d'une chaîne de caractères sans signification.
Il est recommandé, mais pas obligatoire, que le mot de passe enable soit différent du mot de passe " enable secret ". Celui-ci est un mot de passe cryptographique à sens unique qui est utilisé à la place du mot de passe enable, s'il a été défini. Le mot de passe enable est utilisé s'il n'existe pas de mot de passe " enable secret ". Il est également utilisé avec les anciennes versions d'IOS. Tous les mots de passe tiennent compte des majuscules et peuvent être alphanumériques.
Quelqu'un pourrait-il me l'expliquer?
Merci par avance. _________________ "Switch when you can, route when you must"
Inscrit le: 09 Nov 2005 Messages: 44 Localisation: Reims
Posté le: Mar Aoû 21, 2007 9:54 pm Sujet du message:
Salut,
pour accéder au mode enable (conf terminal), il existe 2 "types" de protection par mot de passe
le enable password et le enable secret
le enable password permet de définir un mot de passe qui sera stocké en clair dans le fichier de configuration, et donc visible par un simple show running-config
le enable secret permet de définir un mot de passe qui sera stocké de façon crypté dans le fichier de conf (un MD5 du mot de passe est effectué avant le stockage). Ainsi, ce mot de passe n'est pas visible.
Si tu définis les 2 mots de passe, c'est celui du secret qui te sera demandé pour entrer dans le mode configuration terminal. _________________ F. Nolot
CCAI CCNA et instructeur CCNP BCMSN
Académie Régionale Reims Champagne-Ardenne
Posté le: Ven Nov 02, 2007 3:49 pm Sujet du message: Re: Secret password
ciscoman a écrit:
bonsoir,
Je bloque sur une notion dont je n'arrive pas à comprendre la signification. Qu'est-ce que le mot de passe secret.
Au niveau des cours CNAP, il est dit la chose suivante:
Les paramètres généraux suivants servent à définir les divers mots de passe du routeur. Vous devez entrer un mot de passe enable. Lorsque vous entrez une chaîne de caractères en réponse à l'invite " Enter enable secret ", les caractères sont traités par le système de cryptage propriétaire de Cisco. Cela augmente la sécurité du mot de passe. Chaque fois qu'un utilisateur affiche le contenu du fichier de configuration du routeur, le mot de passe enable apparaît sous la forme d'une chaîne de caractères sans signification.
Il est recommandé, mais pas obligatoire, que le mot de passe enable soit différent du mot de passe " enable secret ". Celui-ci est un mot de passe cryptographique à sens unique qui est utilisé à la place du mot de passe enable, s'il a été défini. Le mot de passe enable est utilisé s'il n'existe pas de mot de passe " enable secret ". Il est également utilisé avec les anciennes versions d'IOS. Tous les mots de passe tiennent compte des majuscules et peuvent être alphanumériques.
Quelqu'un pourrait-il me l'expliquer?
Merci par avance.
Salut, je viens de voir le message.
Mais j'aimerai aussi t'ajouter une chose.
quand tu définis le mot de passe enable password "password" et le mot de passe enable secret "password".
Le mot de passe enable password sera afficher en clair en utilisant la commande show running-config.
Mais le mot de passe enable secret est haché via l'algorithme de hachage irreversible MD5(Message Digest 5).
Mais si tu souhaite ne pas afficher le mot de passe en clair quand tu fais show running-config, tu peux utiliser un cryptage inclus dans l'IOS, mais qui n'est pas assez puissant.
Parce que tu remarque que ce n'est que le mot de passe enable secret qui est haché.
Mais le mot de passe enable password, le mot de passe de line de console, aux, et pour les lines VTY sont en clair.
Pour les haché aussi, tu peux utiliser la commande de configuration globale: service password-encryption
Cordialement. _________________ Cisco Systems,
We are the Best !!!
Inscrit le: 08 Fév 2006 Messages: 4379 Localisation: France, Ile de France
Posté le: Ven Nov 02, 2007 4:35 pm Sujet du message:
Bon, on reprend tout :
- enable secret 0 motdepasse : permet de définir le mot de passe enable d'une façon plus sécurisée (moins réversible), en utilisant un hash en MD5.
- enable password 0 motdepasse : permet de définir le mot de passe enable d'une façon non-sécurisée, car elle utilise un algorithme de cryptage réversible, le password-7. Il est possible de réverser très facilement un mot de passe password-7.
Maintenant, deux questions se posent :
- quand est-ce que les mots de passes apparaissent en clair dans la conf ?
Le "secret" ne va jamais apparaitre en clair dans la conf. Le "password", lui, peut apparaitre ou non :
---> Si on n'active pas la commande "service password-encryption" sur l'équipement IOS (commande désactivée par défaut), les mots de passe en "password" vont rester en clair, que ce soit l'enable ou les mots de passe dans les lignes vty, tty, etc autres (ou encore dans les informations de connexions sur les interfaces réseaux). Là, le mot de passe est en clair et il n'y a même pas besoin de réverser le mot de passe pour pouvoir le lire.
---> Si la commande "service password-encryption" est activée sur l'équipement IOS, tous les mots de passe en "password" vont se crypter. Ils vont apparaitre sous qui n'a rien de commun avec les hashes en MD5.
Quelque chose composé de lettres en majuscule, et de chiffres.
Cependant, comme dit plus haut, ce cryptage est très facile réversible. Il se pose alors une autre question.
- pourquoi deux systèmes de mots de passe, alors qu'ils ont la même fonction ?
Simplement parce que la technique des hash MD5 est arrivée après la première technique. Et qu'il y a longtemps, les mots de passe en password-7 n'étaient pas réversibles. Donc pour le enable, utiliser le "secret" dès que la version IOS de l'équipement le permet.
Par contre, il n'existe pas encore de mot de passe "secret" pour les applications autre que le mot de passe "enable". C'est à dire que le mot de passe Telnet/SSH/RSH restera en password-7. Cependant, aujourd'hui, on n'utilise un système avec des noms d'utilisateurs et des mots de passe secret qui leur sont attribués. Ainsi, on peut implémenter le hash MD5 pour les applications d'authentification (login sur SSH, Console, etc...) mais aussi pour le mot de passe enable.
Vous ne pouvez pas poster de nouveaux sujets dans ce forum Vous ne pouvez pas répondre aux sujets dans ce forum Vous ne pouvez pas éditer vos messages dans ce forum Vous ne pouvez pas supprimer vos messages dans ce forum Vous ne pouvez pas voter dans les sondages de ce forum
Secret password
