¿Cuál es el resultado de agregar el cifrado de contraseña del servicio de comando global a la configuración de un enrutador?

Agregar `cifrado de contraseña de servicio de comando global a la configuración de un enrutador tiene el siguiente resultado:

encripta todas las contraseñas * sin cifrar * en el archivo de configuración del enrutador.

Aquí hay un desglose:

* `Service Password-Cryption` (Comando de configuración global): Este comando se utiliza para cifrar contraseñas almacenadas en el archivo de configuración. Es una medida de seguridad para evitar la visualización no autorizada de las contraseñas en texto sin formato.

* Qué encripta: Cifra específicamente las contraseñas que se almacenan en un formato * sin cifrar * legible * sin cifrar * dentro de la configuración. Esto generalmente incluye contraseñas utilizadas para:

* `habilitar secret ` (la contraseña de modo EXEC privilegiado)

* `Línea VTY 0 15 Contraseña ` (contraseñas de línea Telnet/SSH)

* `Nombre de usuario Contraseña ` (contraseñas de bases de datos de usuarios locales)

* `Nombre de usuario Secret ` (esta entrada no se encriptará)

* Otros lugares donde se utiliza `contraseña ` en la configuración.

* Algoritmo de cifrado: Cisco IOS utiliza un algoritmo de cifrado de propiedad relativamente débil (cifrado tipo 7) para este propósito. Es mejor que el texto sin formato, pero no se considera altamente seguro para los estándares modernos. Por lo tanto, se recomienda cifrarlos utilizando una contraseña más sólida como `Enable Secret` o` Username Secret `.

* no cifra todo:

* No cifra el tráfico que pasa por el enrutador.

* No cifra contraseñas que ya están encriptadas con un algoritmo más fuerte (como MD5 o SHA). Las contraseñas configuradas con la palabra clave 'Secret` generalmente se almacenan con un hash unidireccional, lo que las hace mucho más difíciles de descifrar.

* No cifra contraseñas que se almacenan externamente, como las utilizadas para la autenticación RADIUS o TACACS+.

*Solo encripta las contraseñas que están en la configuración *en ejecución *.

* Cómo aplicar: Ingrese el modo de configuración global (`Configurar terminal`) y luego escriba` Service Password-fryption` y presione Enter.

Ejemplo:

Antes:

`` `` ``

Habilitar contraseña Cisco

línea vty 0 4

Contraseña Cisco

acceso

`` `` ``

Después (después de ejecutar `Service Password-encryption`):

`` `` ``

Habilitar contraseña 050D1A11031B1B03

línea vty 0 4

Contraseña 050D1A11031B1B03

acceso

`` `` ``

La contraseña `Cisco` ahora está encriptada.

Consideraciones importantes:

* Debilidad de seguridad: Como se mencionó, el cifrado tipo 7 es relativamente débil. Las herramientas están disponibles en línea para descifrar estas contraseñas. Considérelo una capa básica de seguridad, no robusta.

* Las mejores prácticas:

* use `habilitar Secret `: Este comando utiliza un algoritmo de cifrado más fuerte (MD5 o SHA) para la contraseña EXEC privilegiada. Siempre use esto sobre 'Habilitar contraseña'.

* Use `Username Secret `: Este comando utiliza un algoritmo de cifrado más fuerte (MD5 o SHA) para contraseñas de nombre de usuario.

* usa ssh, no telnet: SSH encripta toda la sesión, incluidas las contraseñas, como se escriben. Telnet envía contraseñas en texto sin formato.

* Implementar AAA (autenticación, autorización y contabilidad): Use servidores de autenticación externos (Radius o TACACS+) para la autenticación del usuario. Esto centraliza la gestión de contraseñas y, a menudo, proporciona medidas de seguridad más fuertes.

* Cambios de contraseña regular: Haga cumplir una política de cambio de contraseña para minimizar el riesgo de contraseñas comprometidas.

En resumen, `Service Password-fryption` proporciona un nivel básico de protección de contraseña al encriptar las contraseñas de texto sin formato en el archivo de configuración del enrutador. Sin embargo, no es un sustituto de las políticas de contraseña segura, los métodos de autenticación seguros y el uso de técnicas de cifrado más robustas cuando estén disponibles.