Aquí hay un desglose:
`habilitar contraseña`
* Almacenamiento: Almacenado en el archivo de configuración en Entrextext (o mínimamente oscurecido con un cifrado débil y rompible como el cifrado Tipo 7 de Cisco).
* Seguridad: Muy débil . Cualquier persona con acceso al archivo de configuración (en ejecución de configuración, configuración de inicio o incluso una copia de seguridad) puede leer fácilmente la contraseña. El cifrado tipo 7 es fácilmente reversible utilizando herramientas en línea o scripts simples.
* Uso: Se utiliza principalmente para equipos o situaciones más antiguas donde la seguridad no es una preocupación principal (laboratorios de prueba, redes aisladas). Está muy desanimado para los entornos de producción.
* Ejemplo:
`` `` ``
Habilitar contraseña mypassword
`` `` ``
`Enable Secret`
* Almacenamiento: Almacenado en el archivo de configuración en mucho más fuerte y unidireccional encriptado Formato (generalmente MD5 o SHA256). Esto significa que la contraseña en sí nunca es directamente visible en la configuración. Si bien técnicamente el hash en sí es visible, revertir un hash fuerte es computacionalmente inviable.
* Seguridad: significativamente más seguro que `habilitar contraseña '. Incluso si alguien obtiene el archivo de configuración, no puede determinar fácilmente la contraseña real.
* Uso: El recomendado Método para configurar la contraseña de modo EXEC privilegiado. Siempre debe usarse en entornos de producción.
* Precedencia: Si se configuran `Enable Password` y` Enable Secret`, la contraseña 'Enable Secret` tiene prioridad. El enrutador solicitará la contraseña `Enable en secreto '.
* Ejemplo:
`` `` ``
Habilitar Secret MySecretPassword
`` `` ``
Diferencias clave resumidas:
| Característica | `Enable contraseña` | `habilitar secreto '|
| ---------------- | ---------------------------- | ---------------------------- |
| Cifrado | Débil (o ninguno) | Fuerte (MD5 o SHA256) |
| Seguridad | Bajo | Alto |
| Almacenamiento | Texto sin formato o cifrado débil | Hashed (cifrado unidireccional) |
| Recomendación | Evite en la producción | Recomendado |
| Precedencia | Inferior (si existe `Enable Secret`) | Superior |
Por qué `Enable Secret` es superior:
Hashing proporciona una función unidireccional. Puede hacer una contraseña, pero no puede descartarla fácilmente para obtener la contraseña original. Esto protege la contraseña incluso si el archivo de configuración está comprometido.
Consideraciones importantes:
* Contraseñas seguras: Independientemente del comando que use (aunque siempre debe usar 'Enable en secreto'), elija contraseñas fuertes y complejas.
* Políticas de complejidad de contraseña: Implemente políticas de complejidad de contraseña para hacer cumplir el uso de contraseñas seguras.
* aaa (autenticación, autorización y contabilidad): Para entornos empresariales, considere el uso de AAA con un servidor RADIUS o TACACS+ para la administración y la autenticación centralizadas de los usuarios. Esto es aún más seguro y escalable que las contraseñas locales de 'Enable`.
* Secreto 5: Cisco tiene una "contraseña de servicio" que utiliza un método de cifrado débil (tipo 7) para "cifrar" todas las contraseñas en el archivo de configuración. Es mejor que nada, pero sigue siendo relativamente fácil de romper. `Enable Secret` es una * mejor alternativa.
En conclusión:
Siempre use `Enable Secret` para proteger el modo EXEC privilegiado de su enrutador. Proporciona un nivel de seguridad significativamente más alto que 'habilitar contraseña'. Para obtener la máxima seguridad, use AAA con un servidor de autenticación externo.