AccueilCCNACCNA coursSécuriser l’accès à l'IOS par la commande enable

Sécuriser l’accès à l’IOS par la commande enable

Comme pour n’im­porte quel équipement infor­ma­tique, il faut sécuris­er l’ac­cès pour éviter d’avoir de mau­vais­es surprises.

Grace à cer­taines fonc­tion­nal­ités de l’IOS, il est pos­si­ble de définir un mot de passe avant que l’administrateur/pirate puisse mod­i­fi­er la con­fig­u­ra­tion de votre équipement (ou même redé­mar­rer ou effac­er toute la con­fig­u­ra­tion ou pire…).

La commande « enable password »

Dans le chapitre sur les dif­férents mode de l’IOS, on a vu que le pas­sage du mode non priv­ilégié au mode priv­ilégié s’ef­fectue avec la com­mande « enable ».

On a vu aus­si qu’une fois dans le mode priv­ilégié, l’ad­min­is­tra­teur peut faire ce qu’il veut :

  • visu­alis­er la con­fig­u­ra­tion de l’équipement
  • bas­culer dans le mode de con­fig­u­ra­tion pour mod­i­fi­er la configuration
  • effac­er la configuration
  • redé­mar­rer l’équipement
Bref l’ad­min­is­tra­teur peut tout faire. Il est donc pri­mor­dial de sécuris­er le pas­sage entre ces 2 modes par la demande d’un mot de passe lorsque l’ad­min­is­tra­teur tape la com­mande « enable ». Si le mot de passe don­né n’est pas le bon, le pas­sage en mode priv­ilégié sera refusé et l’ad­min­is­tra­teur restera en mode non privilégié.

Configuration

  • entr­er dans le mode priv­ilégié (enable)
  • entr­er dans le mode de con­fig­u­ra­tion glob­ale du switch (con­fig­ure ter­mi­nal)
  • définir le mot de passe TOTO (enable pass­word TOTO)
  • sor­tir du mode de con­fig­u­ra­tion glob­al (exit)
  • sor­tir du mode priv­ilégié (dis­able)
  • testez le mot de passe en essayant d’en­tr­er dans le mode priv­ilégié (enable)
Et voila, votre équipement est sécurisé !
Main­tenant, regar­dons un peu com­ment est sauve­g­ardé ce fameux mot de passe en tapant la com­mande « show run­ning-con­fig ». On s’aperçoit que le mot de passe est stocké en clair dans la configuration :
Ce n’est pas for­cé­ment un prob­lème que le mot de passe soit stocké en clair dans le sens où seul un admin­is­tra­teur qui se trou­ve déjà dans le mode priv­ilégié (donc con­nais­sant le mot de passe) peut visu­alis­er la configuration.
La où c’est plus gênant c’est lorsque vous exportez la con­fig­u­ra­tion vers un serveur de sauve­g­arde, le mot de passe restera en clair. Ou lorsque vous installez un nou­v­el équipement à dis­tance, vous devez don­ner le fichi­er de con­fig­u­ra­tion à la per­son­ne qui installera physique­ment l’équipement, il con­naî­tra alors votre mot de passe… bon vous l’avez com­pris, c’est pas excel­lent comme sécurisation 🙁
Alors com­ment faire pour sécuris­er ce mot de passe ?

La fonction « service password-encryption »

Cis­co a réfléchi (si si) pour sécuris­er le mot de passe au sein même de la con­fig­u­ra­tion. Il utilise une fonc­tion de chiffre­ment basé sur l’al­go­rithme de Vigenere qui per­met de ren­dre le mot de passe illis­i­ble. Pour activ­er cette fonc­tion, rien de plus simple :

Configuration

  • entr­er dans le mode priv­ilégié (enable)
  • entr­er dans le mode de con­fig­u­ra­tion glob­ale du switch (con­fig­ure ter­mi­nal)
  • activ­er la fonc­tion de chiffre­ment de mot de passe (ser­vice pass­word-encryp­tion)
  • sor­tir du mode de con­fig­u­ra­tion glob­al (exit)
  • véri­fi­er que le mot de passe est bien illis­i­ble (show run­ning-con­fig)
Pour infor­ma­tion, le chiffre 7 qui se trou­ve devant le mot de passe chiffré indique le type d’al­go­rithme util­isé pour chiffr­er et déchiffr­er le mot de passe. 7 équiv­aut à l’algo­rithme de Vigénère.

Crackage de mot de passe

Vous me direz, c’est bon tout est sécurisé… pas vrai­ment en fait car cet algo­rithme est très ancien et aujour­d’hui on peut facile­ment recou­vrir n’im­porte quel mot de passe chiffré avec la com­mande « ser­vice pass­word-encryp­tion ».
Pour preuve, le mot de passe de mon exem­ple est TOTO, son équiv­a­lent chiffré est : 0815637A26 (que je trou­ve en faisant un show run­ning-con­fig).
Je cherche rapi­de­ment sur Inter­net un site pour cass­er l’algorithme de Vigénère. Par­mi les sites, j’en prend 3 au hasard :
Je met sur cha­cun de ces 3 sites l’équiv­a­lent chiffré soit 0815637A26, et chaque site me retrou­ve le mot de passe TOTO
Alors, com­ment faire pour véri­ta­ble­ment sécuris­er le mot de passe « enable » de mon équipement Cisco ?
On va utilis­er une fonc­tion de hashage qui s’ap­pelle MD5 et cette fonc­tion sera appliquée grâce à la com­mande « enable secret »

La commande « enable secret »

Comme la com­mande « enable pass­word TOTO » stocke le mot de passe en clair et que la fonc­tion « ser­vice pass­word-encryp­tion » chiffre bien ce mot de passe mais avec un algo­rithme obsolète, Cis­co a décidé de chang­er com­plète­ment la sécuri­sa­tion du mot de passe par une nou­velle com­mande « enable secret ».
Cette com­mande per­met de définir un mot de passe mais au lieu de stock­er le mot de passe en clair dans la con­fig­u­ra­tion il va stock­er unique­ment son hash.
Kéza­ko ? Une fonc­tion de hashage génère à par­tir d’une entrée (TOTO) un hash qui sera unique. En revanche, il est qua­si­ment impos­si­ble à par­tir du hash de retrou­ver le mot de passe associé.

Configuration

  • entr­er dans le mode de con­fig­u­ra­tion glob­ale du switch (con­fig­ure ter­mi­nal)
  • enlever la précé­dente com­mande de déf­i­ni­tion du mot de passe (no enable pass­word)
  • définir le mot de passe TOTO avec la com­mande secret (enable secret TOTO)
  • sor­tir du mode de con­fig­u­ra­tion glob­al (exit)
  • véri­fi­er que le mot de passe est bien illis­i­ble (show run­ning-con­fig)
  • si vous souhaitez, tester sur les 3 sites précé­dents de crack­er le mot de passe… sans succès
Ici le chiffre 5 qui se trou­ve devant le mot de passe chiffré indique le type d’al­go­rithme util­isé pour ren­dre illis­i­ble le mot de passe TOTO est la fonc­tion de hashage MD5 (rap­pelez-vous, le chiffre 7 était pour l’al­go­rithme de Vigenere).

A retenir pour le CCNA

Ce qu’il faut retenir pour le CCNA :

  • on peut sécuris­er l’ac­cès à l’IOS avec la com­mande « enable pass­word… » mais le mot de passe est stocké en clair dans la configuration
  • on peut alors chiffr­er ce mot de passe avec la com­mande « ser­vice pass­word-encryp­tion » mais cet algo­rithme n’est plus fiable aujourd’hui
  • Cis­co recom­mande à ce jour de rem­plac­er la com­mande « enable pass­word » par la com­mande « enable secret »

2 Commentaires

  1. Clair et con­cis comme d’habitude 😉

    Juste un petit mot quant au fait qu’il est pos­si­ble d’avoir à la fois un « enable pass­word » et un « enable secret » con­fig­uré simul­tané­ment… auquel cas, l’IOS utilis­era le mot de passe défi­ni par « enable secret ».

    Je me sou­viens avoir eu une ques­tion à ce sujet lorsque j’ai passé l’ICND1… cela date un peu main­tenant, mais sait-on jamais.

    En tout cas bra­vo pour la qual­ité con­stante de tes articles.

    • Salut Steve,
      Tu as tout à fait rai­son sur les 2 points : « enable secret » a une précé­dence sur « enable pass­word » et c’est aus­si une ques­tion du CCNA.
      Avis à ceux qui révisent en ce moment 😉

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Les plus populaires