Quel est le résultat de l’ajout du cryptage des mots de passe du service de commande global à la configuration d’un routeur ?

Il crypte tous les mots de passe *non cryptés* dans le fichier de configuration du routeur.

Voici une répartition :

* `service password-encryption` (commande de configuration globale) : Cette commande est utilisée pour crypter les mots de passe stockés dans le fichier de configuration. Il s'agit d'une mesure de sécurité destinée à empêcher l'affichage non autorisé des mots de passe en texte clair.

* Ce qu'il chiffre : Il crypte spécifiquement les mots de passe qui sont stockés dans un format *non crypté* lisible par l'homme dans la configuration. Cela inclut généralement les mots de passe utilisés pour :

* `enable secret ` (le mot de passe du mode EXEC privilégié)

* `line vty 0 15 password ` (mots de passe de ligne Telnet/SSH)

* `username password ` (mots de passe de la base de données des utilisateurs locaux)

* `username secret ` (Cette entrée ne sera pas cryptée)

* Autres endroits où `password ` est utilisé dans la configuration.

* Algorithme de cryptage : Cisco IOS utilise à cet effet un algorithme de chiffrement propriétaire relativement faible (cryptage de type 7). C'est mieux que le texte brut, mais il n'est pas considéré comme hautement sécurisé par les normes modernes. Par conséquent, il est recommandé de les chiffrer en utilisant un mot de passe plus fort comme « enable secret » ou « username secret ».

* Il ne crypte pas tout :

* Il ne crypte pas le trafic transitant par le routeur.

* Il ne crypte pas les mots de passe déjà cryptés avec un algorithme plus puissant (comme MD5 ou SHA). Les mots de passe configurés avec le mot-clé « secret » sont généralement stockés avec un hachage unidirectionnel, ce qui les rend beaucoup plus difficiles à déchiffrer.

* Il ne crypte pas les mots de passe stockés en externe, tels que ceux utilisés pour l'authentification RADIUS ou TACACS+.

* Il crypte uniquement les mots de passe qui se trouvent dans la *configuration en cours*.

* Comment postuler : Vous entrez en mode de configuration globale (« configurer le terminal »), puis tapez « service password-encryption » et appuyez sur Entrée.

Exemple :

Avant:

```

activer le mot de passe Cisco

ligne vty 0 4

mot de passe cisco

se connecter

```

Après (après avoir exécuté `service password-encryption`) :

```

activer le mot de passe 050D1A11031B1B03

ligne vty 0 4

mot de passe 050D1A11031B1B03

se connecter

```

Le mot de passe « cisco » est désormais crypté.

Considérations importantes :

* Faiblesse de sécurité : Comme mentionné, le cryptage de type 7 est relativement faible. Des outils sont facilement disponibles en ligne pour déchiffrer ces mots de passe. Considérez-le comme une couche de sécurité de base, et non comme une couche robuste.

* Bonnes pratiques :

* Utilisez `activer le secret ` : Cette commande utilise un algorithme de cryptage plus fort (MD5 ou SHA) pour le mot de passe EXEC privilégié. Utilisez-le toujours plutôt que « activer le mot de passe ».

* Utilisez `username secret ` : Cette commande utilise un algorithme de cryptage plus puissant (MD5 ou SHA) pour les mots de passe des noms d'utilisateur.

* Utilisez SSH, pas Telnet : SSH chiffre toute la session, y compris les mots de passe, au fur et à mesure de leur saisie. Telnet envoie les mots de passe en texte brut.

* Mettre en œuvre AAA (authentification, autorisation et comptabilité) : Utilisez des serveurs d'authentification externes (RADIUS ou TACACS+) pour l'authentification des utilisateurs. Cela centralise la gestion des mots de passe et fournit souvent des mesures de sécurité plus strictes.

* Modifications régulières du mot de passe : Appliquez une politique de changement de mot de passe pour minimiser le risque de mots de passe compromis.

En résumé, le « service password-encryption » fournit un niveau de base de protection par mot de passe en chiffrant les mots de passe en clair dans le fichier de configuration du routeur. Toutefois, cela ne remplace pas des politiques de mot de passe strictes, des méthodes d'authentification sécurisées et l'utilisation de techniques de cryptage plus robustes lorsqu'elles sont disponibles.