enable secret 4ってなんだ?

数年前にCisco機器のConfigを眺めていて、ふと"enable secret 4"という表示を見つけた。
ん?「4」ってなんだ?通常は「5」じゃないのか??
で、調べてみるとType5に変わる新しい暗号化方式ということで
アルゴリズムはMD5ではなく、SHA256を使用しているとのこと。

ふーん、今後はType4が主流になるのかね?と思って数年経過。
Type4はどこいったんだ?最近見ねーな。と思って調べてみると、
なんと脆弱性ありの為見捨てられたっぽい。なんじゃそりゃ!!

公式の発表によると、下記のように記載されていた。
2013年の記事・・・一瞬出てきてすぐに消えたんだろうか。(´・ω・)カワイソス

実装面での問題があるため、Type 4 パスワード アルゴリズムは PBKDF2 およびソルトは使用せず、ユーザが入力したプレーンテキスト パスワードに対して SHA-256 暗号化を 1 回実行します。このため、ブルートフォース アタックに対する Type 4 パスワードの強度は、同等に複雑な Type 5 パスワードよりも低下してしまいます。

※引用元:Cisco Seruciy Response: Cisco IOS and Cisco IOS XE Type 4 Passwords Issue

で、結局Type5を未だに使っているわけなのだが、
微妙なバージョンのIOSとかだと、デフォルトでType4になってしまうのである。

上記公式ページでも記載されているが、デフォルトでType4になってしまう機器で
Type5パスワードを設定するやり方をメモしておく。


デフォルトでType4パスワードになってしまう時の対処法


やり方はいたって簡単で、要はType5パスワードを生成して設定してあげればよい。

ちなみにデフォルトでType4になってしまうというのは、
"enable secret [password]"と通常通り設定すると"enable secret 4 xxxxxxxx"と
Type5ではなくType4になってしまう事を言い、どうしようもない状態のことである。

 Router-A# conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router-A(config)#
Router-A(config)# enable secret Passwdtest
Router-A(config)# exit
Router-A#
Router-A# show run | inc enable secret
enable secret 4 ohKCwRDiX5YiRkTbLspqXvQkxiL91lDUlt.JzPd33RY


ちなみに下記のように設定する場合は、パスワード部分に関しては
暗号化後の文字列を記載する必要があるので注意が必要。

 Router(config)# enable secret 5 [password]



では暗号化後の文字列をどのように生成するかなのだが、
一番手っ取り早いのは他のCisco機器でType5パスワードを生成することである。

 Router-B# conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router-B(config)#
Router-B(config)# enable secret Passwdtest
Router-B(config)# exit
Router-B#
Router-B# show run | inc enable secret
enable secret 5 $1$M/wf$iqBnv/g3GuVUsCpWcDFS20


"enable secret 5"になっていることを確認してこの一行をコピー。

デフォルトでType4になってしまう機器にそのまま貼り付ければOK。

 Router-A# conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router-A(config)#
Router-A(config)# enable secret 5 $1$M/wf$iqBnv/g3GuVUsCpWcDFS20
Router-A(config)# exit
Router-A#
Router-A# show run | inc enable secret
enable secret 5 $1$M/wf$iqBnv/g3GuVUsCpWcDFS20


設定する時に"enable secret 5"とType5を指定しているので、
show runを確認してもちゃんとType5パスワードとして認識してくれている。
これでOKね。

もしConfigを見ていてType4パスワードを見つけたら、
何かの折にType5パスワードへ置換してあげたほうが良さげ。


本日は以上で。



1Passwordパスワード安全管理超入門


人気記事