Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Системное администрирование и сети

CISCO IOSXE 16.9.2 radius key type 9 шифрование?

На чтение 3 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. Проблематика
  4. Современные подходы к шифрованию
  5. Типы паролей
  6. Решение проблемы
  7. Заключение

Вопрос или проблема

Я получаю предупреждение, когда пытаюсь настроить радиус на CISCO Switch 9300:
Cisco IOSXE [Fuji], CAT9K_IOSXE), Version 16.9.2, RELEASE SOFTWARE (fc4)

Предупреждающее сообщение появляется после добавления ключа Radius:

ПРЕДУПРЕЖДЕНИЕ: Команда была добавлена в конфигурацию с использованием пароля типа 0. Однако пароли типа 0 вскоре будут устаревшими. Перейдите на поддерживаемый тип пароля

Я включил глобально службу шифрования паролей, которая делает только уровень 7, но не могу найти документацию о возможности использования Типа 8 или 9 для настройки ключа радиуса, как я это делаю, например, для аутентификации администратора:

enable algorithm-type scrypt secret password
username admin privilege 15 algorithm-type scrypt secret password

Предупреждение возникает после добавления:

radius server RADIUS-SERVER
address ipv4 IP auth-port 1812 acct-port 1813
timeout 2
retransmit 2
key password

Спасибо.

Кажется, что единственное шифрование для ключа RADIUS – это либо Type0 (обычный текст), либо 7 (зашифрованный).

Я полагаю, что CISCO следует удалить это предупреждающее сообщение, так как оно вызывает путаницу.

Cisco делает это по-другому:
Вы должны заменить
service password-encryption
на
password encryption aes

Это изменит все незашифрованные пароли на тип 6 (AES).
Если вы оставите ваш тип 7 для Radius – он не изменится! Вам нужно снова ввести их в обычный текст!

Я не вижу сравнения “лицом к лицу” между типом 6 и типом 9. Я все же ДУМАЮ, что тип 9 лучше, я сохраню тип 9 для того, что они могут предоставить (например, для имени пользователя и пароля админа)

.

Ответ или решение

Введение в сферу сетевых технологий часто сопряжено с управлением множеством конфигураций и протоколов, и Cisco IOSXE является важной частью этого процесса. В вопросе о RADIUS-ключе типа 9 на Cisco IOSXE 16.9.2, а также о проблемах с его шифрованием, требуется глубокое понимание работы системы.

Проблематика

Вы столкнулись с предупреждением при настройке RADIUS на коммутаторе Cisco 9300 с использованием Cisco IOSXE версии 16.9.2. Попытка добавить ключ RADIUS сопровождается предупреждением о том, что команды добавлены с использованием пароля типа 0, который вскоре будет устаревшим. Это указывает на необходимость миграции на более современный и безопасный тип пароля.

Современные подходы к шифрованию

Типы паролей

В Cisco IOS существует несколько типов шифрования паролей:

  1. Тип 0 — незашифрованный текст.
  2. Тип 7 — реверсивное шифрование с помощью Cisco proprietary алгоритма, который не считается безопасным.
  3. Тип 6 — использование AES для шифрования.
  4. Тип 8/9 — применение алгоритмов PBKDF2 и Scrypt, соответственно, что обеспечивает более высокую степень безопасности.

Для современных задач и конфигураций рекомендуется использовать более надежные алгоритмы, такие как типы 8 и 9, которые предоставляют более безопасные подходы на основе криптографических стандартов.

Решение проблемы

В вашем случае, ключ RADIUS принимается как тип 0 или 7, что относится к менее безопасным методам. Для улучшения безопасности конфигурации рекомендуется:

  1. Замена "service password-encryption":

    • Удалите существующую команду service password-encryption.
    • Примените команду password encryption aes, которая конвертирует незашифрованные пароли в тип 6 (AES), что значительно улучшает уровень защищенности.

  2. Обновление паролей RADIUS:

    • Измените пароли RADIUS, введя их заново в чистом виде после применения новой команды шифрования, что позволит их корретную обработку и шифрование.

  3. Усиление безопасности аутентификации:

    • Используйте алгоритмы scrypt для администратора и для важнейших пользователей, что делает использование типа 9 предпочтительным при доступе к критическим системам.

Заключение

Таким образом, использование более современных методов шифрования паролей на устройствах Cisco не только обеспечит соответствие лучшим практикам безопасности, но также повысит общий уровень защищенности корпоративной сети. Важно идти в ногу с современными стандартами и рекомендованными конфигурациями от Cisco, чтобы предотвратить потенциальные уязвимости в протоколах аутентификации и защиты данных.

cisco
Оцените материал
Добавить комментарий

Капча загружается...

© 2025 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности