Security

Arista EOS 和 Cisco IOS 如何加密 tacacs+ 加密密鑰?

  • September 20, 2013

我們在我們的網路設備上使用 tacacs 進行 AAA,我對我們的設備如何加密設備端的密碼感興趣/好奇。

按照Arista EOS 手冊,第 139 頁,我正在執行:

switch(config)#tacacs-server key 0 cv90jr1

該指南告訴我相應的加密字元串是020512025B0C1D70.

switch(config)#show running-config | grep tacacs
tacacs-server key 7 1306014B5B06167B

看到與他們提到的不同的加密字元串讓我很好奇。所以我又添加了十次相同的密鑰,並查看了加密版本:

tacacs-server key 7 0110105D0B01145E
tacacs-server key 7 070C37151E030B54
tacacs-server key 7 020512025B0C1D70
tacacs-server key 7 1306014B5B06167B
tacacs-server key 7 020512025B0C1D70
tacacs-server key 7 020512025B0C1D70
tacacs-server key 7 0110105D0B01145E
tacacs-server key 7 110A0F5C4718195D
tacacs-server key 7 0007055F54511957
tacacs-server key 7 03074D525605331D

我找不到有關此的任何資訊。我特別感興趣的是我撞了手冊的鑰匙三次並在那裡發生了另一次單獨的碰撞。無論他們做什麼加鹽似乎都沒有特別大的輸入域。

那麼這是如何加密的呢?如果對手要獲取設備的配置資訊(例如 .. 的輸出show running-config),計算真正的 tacacs+ 密鑰有多容易/難?

Cisco IOS 的工作方式是否相同?我沒有實驗室 Cisco 設備來對此進行試驗,但我的印像是 Arista 認為不需要不同的功能在 Arista 和 Cisco 之間是相同的。

那是 Cisco 7 型編碼。我不敢稱它為加密,因為它是一種非常弱的算法。為了展示,將任何加密字元串放入此工具,它會立即為您提供密鑰。

加密輸出的可變性確實來自某種鹽 - 具體來說,tfd;kfoA,.iyewrkldJKD. 該字元串是恆定的,不同的是起點 - 加密字元串的前兩個字元表示鹽開始解密的位置。

有關算法實現細節的更多資訊,請參見此處

引用自:https://serverfault.com/questions/538155