728x90
반응형
Cisco Router 를 이용한 암호화 된 텍스트 해독하기
Cisco 장비에서 보통 username 과 password 는 보안을 위해 암호화시켜서 악의적인 해커로부터 침입되었을 경우
확인하기 어렵도록 해 놓습니다.
service password-encryption 명령으로 일반 text 를 암호화 시키곤 하는데요.
Cisco6509_A#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Cisco6509_A(config)#username pjh password cisco12! <-- password 를 cisco12! 로 지정하였습니다.
Cisco6509_A(config)#end
Cisco6509_A#sh run | be username
username pjh password 7 14141B180F0B7B7965 <-- password 는 암호화 되어서 확인이 불가능 합니다.
Enter configuration commands, one per line. End with CNTL/Z.
Cisco6509_A(config)#username pjh password cisco12! <-- password 를 cisco12! 로 지정하였습니다.
Cisco6509_A(config)#end
Cisco6509_A#sh run | be username
username pjh password 7 14141B180F0B7B7965 <-- password 는 암호화 되어서 확인이 불가능 합니다.
하지만 간단한 명령으로 이 암호화된 text 를 다시 복호화 시킬 수 있습니다.
아래 내용을 보시면 확인하실 수 있습니다.
Cisco6509_A#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Cisco6509_A(config)#key chain no-password <-- key chain 뒤에는 사용자가 임의로 변수를 지정합니다.
Cisco6509_A(config-keychain)#key 1
Cisco6509_A(config-keychain-key)#key-string 7 14141B180F0B7B7965 <-- 암호화 된 TEXT 를 입력합니다.
Cisco6509_A(config-keychain-key)#do sh key chain no-password <-- 위에서 정의한 key chain 을 확인합니다.
Key-chain no-password:
key 1 -- text "cisco12!" <-- decryption 된 password 를 확인할 수 있습니다.
accept lifetime (always valid) - (always valid) [valid now]
send lifetime (always valid) - (always valid) [valid now]
Cisco6509_A(config-keychain-key)#end
Cisco6509_A#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Cisco6509_A(config)#no key chain no-password <-- 흔적을 지웁니다.
Cisco6509_A(config)#no username pjh
Cisco6509_A(config)#
확인 결과 해당 명령(key chain)은 L3 Switch 이상(라우터 포함)에서 적용이 가능하며,
적용 가능한 IOS 버전은 아직 확인을 못 해 봤지만, 최근에 나온 IOS 에서는 거의 다 가능하리라 생각됩니다.
위 명령을 입력하기 위해서는 enable password 를 알고 있어야 가능하기 때문에
running-config 가 유출되지 않는 이상 악의적인 사용은 불가능 하다고 생각합니다.
백업해 놓은 config 가 있는데, password 가 기억나지 않을 경우
다른 라우터에서 위 방법으로 password 를 확인하는데 유용하게 사용할 수 있습니다.
728x90
반응형
'IT 이야기 > 네트워크(Network)' 카테고리의 다른 글
| cisco dhcp 를 이용한 mac address 고정IP 설정 (0) | 2012.07.18 |
|---|---|
| ip dhcp smart-relay (0) | 2012.01.11 |
| UTP Cable 상태 확인 명령(Cisco cable-diagnostics tdr) (4) | 2011.08.26 |
| Cisco IOS Upgrade(overwrite) (3) | 2011.04.12 |
| 내 PC의 네트워크 대역폭, 숨겨진 20%를 끄집어 내자. (0) | 2011.03.25 |
| Ping 명령 활용하기 (ping output text file) (2) | 2011.03.25 |
| NAT Command (0) | 2011.02.24 |
| Cisco 장비의 S/N 확인명령 (show inventory) (0) | 2011.02.24 |
