ITよろづや

ITから生活の参考になる情報を備忘録代わりに残していきます

ciscoでパスワード暗号化(service password-encryption)を設定しないセキュリティリスク

Cisco製品でコンフィグのパスワードを暗号化させる設定は、「service password-encryption」になります。


これを設定しないと、コンフィグのパスワードが平文で表示されてしまいます。ちなみにメーカーによって当然ながらコマンドが違いますが、例えば、YAMAHAの場合は、「login password encrypted」になり、これを設定することでパスワードが暗号化されるようになります。


このコマンドは「パスワード」や「enable パスワード」で設定したパスワードを暗号化する時に使います。


では、これを設定しないセキュリティリスクは、コンフィグにパスワードが表示されるため、第三者に見られるリスクになりますし、コンフィグ自体をファイルサーバーに保存していた場合、コンフィグを見れる人全員にパスワードを知られることになります。


その為、確実に設定しておいたほうがいい設定になります。


また、ログインのパスワードの暗号化は、「service password-encryption」よりも、「enable secret password」のほうが暗号化レベルが高いので、お勧めです。


ちなみに、どちらも設定が可能で、enable passwordとenable secretの両方が設定された場合、enable secretのパスワードが有効となるそうです。


設定は、グローバルコンフィグレーションモードで設定します。


[パスワードを設定し、暗号化する]

hostname(config)#enable password xxxx hostname(config)#service password-encryption 
hostname(config)#exit

[enable secretを設定する]

hostname(config)#enable secret xxxx
hostname(config)#exit




以下は、セキュリティ コマンド リファレンス、Cisco IOS リリース 15.2(2)E(Catalyst 2960-XR スイッチ)の情報になりますが、パスワードの設定などは参考になります。   パスワードおよび権限レベルによるスイッチ アクセスの制御


「service password-encryption」を設定しておけば、telnet、シリアル接続時のパスワードも暗号化されます。