jeudi 10 juillet 2008

Détail sur les hashs de mot de passe IOS

Cet article est complètement inspiré du billet de Jeremy Stretch : A bit more detail on IOS password hashes. Merci à lui.

Les mots de passe "type 7" utilisé dans les vieux IOS sont facilement réversibles. Ainsi l’utilisation de type 5 est préférable car il génère un hash MD5 non réversible. Cependant, l’utilisation du MD5 n’est pas son seul avantage.

L’utilisation d’un mot de passé stocké avec à l’aide de MD5 se fait en utilisant simplement la commande secret à la place de password.

Router(config)# username foo secret MyP4ssw0rd
Router(config)# do sh run | include username         
username foo secret 5 $1$jR5i$.HDBuKq.wIDOn2EYpCPYc0

Dans l’exemple précédent, ce qui suit le 5 est calculé par le routeur et stocké dans la running config. Ceci est plus qu’un simple hash md5, en effet la méthode reprend ce qui est fréquemment utilisé dans les environnements UNIX, à savoir l’utilisation d’un salt. Le résultat est composé de 3 éléments séparés par le signe dollar ($) :

  • 1 – indique un hash utilisant un salt
  • jR5i – salt de 24-bit généré aléatoirement
  • .HDBuKq.wIDOn2EYpCPYc0 – le hash MD5

Le hash et le salt sont des valeurs binaires utilisant le format d’encodage Base64. Quand l’utilisateur foo souhaite s’authentifier, le mot de passe envoyé en clair par l’utilisateur est concaténé avec le salt de 24-bit stocké dans le fichier de configuration. Un hash MD5 est alors calculé avec la chaine entière salt+password; si le hash calculé correspond au 3è élément stocké dans la configuration, le mot de passé fourni est alors considéré comme valide.

L’utilisation de ce salt a 2 gros bénéfices. Tout d’abord, 2 utilisateurs ayant choisi le même mot de passe auront virtuellement 2 hashs différent. Considérons la création de l’utilisateur bar avec le même mot de passé que l’utilisateur foo créé précédemment, voici le résultat:

Router(config)# user bar secret MyP4ssw0rd
Router(config)# do sh run | include username       
username foo secret 5 $1$jR5i$.HDBuKq.wIDOn2EYpCPYc0
username bar secret 5 $1$P9XX$y9d6Aw.t81.CoKvXITCpZ/

Les 2 utilisateurs vont pouvoir s’authentifier avec le même mot de passe : cependant lors de la création des utilisateurs, les 2 salts générés aléatoirement ont permis de supprimer toute similitude entre les hash stocké dans le fichier de config.

Le second avantage, et non le moindre, est que ce salt permet de se prémunir des attaques de type Rainbow Table. En cryptologie, une table arc-en-ciel (aussi appelée Rainbow Table) est une structure de données qui permet de retrouver un mot de passe à partir de son empreinte. Ce sont de grosse tables contenant des hash (MD5 et autres) précalculées. Cela permet de retrouver très rapidement le mot de passe qui a donné un hash précis.

Pour information, les systèmes UNIX-like utilisent la même technique pour stocker les comptes locaux (le salt étant simplement un peu plus long). L’outil OpenSSL permet de simuler l’opération réalisé par l’IOS Cisco. Voici un exemple pour l’utilisateur foo, nous pouvons retrouver le même hash avec OpenSSL :

fred@Sandbox$ openssl passwd -1 -salt jR5i MyP4ssw0rd
$1$jR5i$.HDBuKq.wIDOn2EYpCPYc0

Liens

vendredi 6 juin 2008

Excellentes Fiches Mémoire proposées par Jeremy Stretch

Voila quelque chose que j'aurais adoré faire mais je n'ai hélas pas pris le temps. En tout cas, Jeremy Stretch nous propose d'excellentes fiches mémoire sur différents sujets http://packetlife.net/cheatsheets/  […]

Lire la suite

vendredi 30 mai 2008

Sauvegarde automatique de configurations

Introduction Vous connaissez peut être déjà des outils tel que Rancid qui permettent de sauvegarder des confiruations de vos équipements. Pour Cisco il y a encore plus simple si vous disposez d'IOS récent. La commande archive disponible sur les dernières versions d’IOS permet en effet de sauvegarder  […]

Lire la suite

mercredi 7 mai 2008

Paessler SNMP Tester

Paessler SNMP Tester

Paessler SNMP Tester est un requêteur SNMP fonctionnant sous Windows et qui ne nécessite aucune installation. C'est un outil qui fait peu de chose mais qui le fait bien. Il peut s'avérer très utile pour tester un équipement ou pour récupérer une valeur précise dans une MIB. L'utilisation est très  […]

Lire la suite

lundi 5 mai 2008

Mot de Passe par défaut

En matière de sécurité, il est évident qu'une des première chose à faire lorsque nous installons une nouvelle application ou un nouvel équipement est de changer les mots de passes configurés par défaut; que ce soit d'ailleurs le mot de passe admin ou un quelconque mot de passe invité.  […]

Lire la suite

mercredi 30 avril 2008

Artica - une interface web pour configurer simplement Postfix/Squid

Artica

David TOUZEAU a annoncé fin mars 2008 un nouveau projet sous Linux. Ce projet "Artica Postfix" permet d’offrir l’ensemble des fonctionnalités Postfix, procmail, fetchmail, DnsMasq, LDAP, SQUID, dansguardian sans connaissances techniques et à travers un simple outil d’administration web  […]

Lire la suite

vendredi 18 avril 2008

Port-security

Cet article présente la fonction port-security que l'on peut appliquer à une interface sur un switch Cisco pour restreindre le nombre d'adresse mac utilisable sur ce port.

  • Configuration
  • Vérification
  • Adresse Dynamic ou Configured
  • Exemple de Violation
  • Recovery
  • Sticky
  • Changer son adresse Mac

Lire la suite

jeudi 17 avril 2008

HSRP

Cet article présente comment configurer le HSRP sur un équipement Cisco:

  • Adresse MAC
  • Messages
  • Configuration de la VIP
  • Vérification
  • Configurer la Priorité
  • Configurer le Preempt
  • Timers
  • Debug
  • HSRP Tracking

Lire la suite

mercredi 16 avril 2008

VTP - VLAN Trunking Protocol

Cet article présente le protocole propriétaire Cisco VTP qui permet de gérer de façon centralisé les VLANs de tout un réseau. Un ou plusieurs serveurs VTP sont défini. L'administrateur réseau intervient sur un de ces serveurs pour ajouter, modifier ou supprimer des VLANs. Ce serveur transmet ces modifications automatiquement à tous ses clients.

  • Définir le domaine vtp
  • Définir le mode
  • Activer vtp version 2
  • Activer le vtp pruning
  • Définir un mot de passe

Lire la suite

mardi 15 avril 2008

STP - Spanning Tree Protocol

cet article est une prise de note de quelques remarques et commandes concernant le STP:

  • BPDUs
    • Configuration BPDUs
    • Topology Change Notifications (TCNs)
  • Process of choosing a Root Port
  • STP port state
  • Timers
  • Change the priority of a switch
  • Change the priority of a port
  • Advanced STP Features

Lire la suite

lundi 14 avril 2008

Configurer un Trunk

Cet article présente comment configurer un trunk sur des switchs Cisco

  • Choisir l'encapsulation
  • Choisir un mode static ou dynamic
  • Configurer le native vlan
  • Configurer un filtrage de VLAN
  • Vérifier la configuration du trunk
  • Remarque

Lire la suite

dimanche 6 avril 2008

SPAN : sniffer son réseau pour mieux le comprendre

Le SPAN permet à un switch de rediriger le trafic d'un port source vers un port de destination ceci afin d'analyser ce flux. Il existe plusieurs versions du SPAN, la différence venant de l'emplacement du port source. Le SPAN se configure à l'aide de la commande monitor session et une suite de  […]

Lire la suite

mardi 22 janvier 2008

Wget en https avec un Proxy

wget est un gestionnaire de téléchargement libre en ligne de commande. Celui-ci est très utilse quand nous sommes en ssh sur un serveur linux par exemple, ou lorsque nous souhaitons mettre en place un téléchargement de fichier de façon automatique. J'ai été confronté au cas suivant: télécharger un  […]

Lire la suite

lundi 26 novembre 2007

GNS3 : Graphical Network Simulator

GNS3 - Logo

GNS3 - Logo GNS3 est un simulateur d'équipements Cisco. Cet outil permet donc de charger de véritable IOS Cisco et de les utiliser en simulation complète sur un simple ordinateur. Pour caricutariser, GNS3 permet d'avoir un routeur Cisco virtuel sur son ordinateur. A noter simplement que GNS3 ne fournit pas d'IOS, il faut se les procurer à l'aide d'un compte Cisco CCO par exemple. Ou grâce à Google.

Cet outil est parfait pour se préparer aux certifications Cisco CCNA, CCNP, CCIP ou CCIE.

Pour ma part je l'utilise essentiellement pour tester des fonctionnalités d'IOS. Je l'ai par exemple beaucoup utilisé pour faire des tests autour de OSPF (redistribution, filtrage, authentification, ...).

Afin de permettre des simulations complètes, GNS3 est fortement lié avec:

  • Dynamips, un émulateur d'image IOS qui permet de lancer des images binaires IOS provenant de Cisco Systems.
  • Dynagen, une interface en mode text pour Dynamips.

GNS3 est un logiciel libre qui fonctionne sur de multiples plateformes, incluant Windows, Linux, et MacOS X.

Lire la suite

jeudi 18 octobre 2007

Afficher un fichier sans les lignes de commentaires

Voilà trois façons de procéder. Grep Sed Perl Grep La 1ère à l'aide de "egrep" (ou "grep -E"): egrep -v '^(#|$)' /etc/samba/smb.conf grep -E -v '^(#|$)' /etc/samba/smb.conf Là l'exemple se contente de ne pas afficher toutes lignes commençant par un dièse (#) ou par le caractère  […]

Lire la suite

lundi 3 septembre 2007

Configuring Router - Based DHCP Services

This article presents how to configure a dhcp server on a Cisco router.

  • Configuring IOS-Based DHCP options
  • Importing and Re-using DHCP Options
  • The biggest command of all : ip helper-address

Lire la suite

dimanche 2 septembre 2007

Modifier une ACL

Cet article présente 2 méthodes pour modifier une access-list sur un routeur Cisco sans perturber le traffic:

  • une modification en live sur le routeur : on ajoute une règle entre les règles existantes.
  • une modification de 0 : on supprime l'ACL et on en applique une nouvelle modifiée.

Lire la suite

vendredi 31 août 2007

IPv6

Cet article présente rapidemment IPv6:

  • Rationale for IPv6
  • IPv6 Addressing Format
  • IPv6 headers and Address Types
  • Types of Communication
  • Types of Addresses
  • Assigning IPv6 addresses
  • IPv6 routing protocols
  • Base configuration of OSPFv3
  • IPv4 to IPv6 migration strategies

Lire la suite

jeudi 30 août 2007

Transfert de gros fichiers par tftp

SolarWinds TFTP Server

J'ai toujours utilisé SolarWinds TFTP Server comme serveur TFTP. Celui-ci répondait jusque là à toute mes demandes: sauvegarde de conf, transfert IOS... Malheureusement celui-ci ne supporte pas le transfert de fichier supérieur à 32Mo. Voici l'erreur obtenu. La solution est Tftpd32. Ce serveur,  […]

Lire la suite

mardi 28 août 2007

Multicast

Multicast Mac Address

Cet article présente le multicast:

  • The importance of multicast
  • The facts about multicast
  • Multicast MAC Address
  • Multicast IP Address
  • Internet Group Management Protocol (IGMP)
  • Multicast Routing Protocol
  • Enabling a Cisco router for Multicast

Lire la suite

- page 1 de 5