HOME > コンテンツリスト > ラボ・シナリオ for CCNA > [ < 前へ 次へ > ]

デフォルトで暗号化されないパスワードを暗号化する

※ 前の「シナリオ」の続きとして記載しています。
ネットワーク構成図

  1. running-config を確認しなさい。
  2. RT-A# show run
    Building configuration...
    
    Current configuration : 891 bytes
    !
    !
    no service password-encryption   ← パスワードの暗号化は無効
    !
    !
    enable secret 4 8Yn3YXhZzp7CvwylTqs7xosa/yPYiGsjoYJpDDVNa7A   ← 暗号化された特権パスワード
    enable password cisco                                         ← 暗号化されていない特権パスワード
    !
    !
    line con 0
     exec-timeout 0 0
     password conspass    ← コンソールパスワード
     logging synchronous
     login
    line aux 0
     password auxpass     ← aux パスワード
     login
    line vty 0 4
     password vtypass     ← vty (Telnet) パスワード
     login
     transport input all
    !
    !
    
  3. デフォルトでは暗号化されないパスワードを暗号化しなさい。
  4. RT-A# conf t
    Enter configuration commands, one per line.  End with CNTL/Z.
    RT-A(config)# service password-encryption
    RT-A(config)# ^Z
    RT-A# 
    
    service password-encryptionコマンドは、デフォルトで暗号化されないパスワードを暗号化することができます。
    現在設定されているパスワードも、今後設定するパスワードも暗号化されます。
  5. 設定したコンフィグを確認しなさい。
  6. RT-A# show run
    !
    !
    service password-encryption      ← パスワードの暗号化が有効になっている
    !
    !
    enable secret 4 8Yn3YXhZzp7CvwylTqs7xosa/yPYiGsjoYJpDDVNa7A   ← 元々暗号化されているため変化なし
    enable password 7 110A1016141D                                ← 暗号化されている
    !
    !
    line con 0
     exec-timeout 0 0
     password 7 1306181C181C053938   ← 暗号化されている
     logging synchronous
     login
    line aux 0
     password 7 59DD08B2CBC821D0     ← 暗号化されている
     login
    line vty 0 4
     password 7 0010160A145A1815     ← 暗号化されている
     login
     transport input all
    !
    !
    
    デフォルトでは enable secret のみが暗号化され、それ以外のパスワードは暗号化されず show run を実行した時に設定したパスワードがそのまま表示されます。そのため、show run で設定情報の確認をしている時に、後ろから他の人にパスワードを盗み見られる可能性があります (これをショルダーハッキングと言う) 。

    セキュリティを重視する場合は、
    service password-encryption コマンドで enable secret 以外のパスワードも暗号化するようにしましょう。
  7. デフォルトでは暗号化されないパスワードの暗号化を無効にしなさい。
  8. RT-A# conf t
    Enter configuration commands, one per line.  End with CNTL/Z.
    RT-A(config)# no service password-encryption
    RT-A(config)# ^Z
    RT-A# 
    
    no service password-encryption コマンドで暗号化されないパスワードの暗号化を解除します。
    このコマンド入力以降に設定したパスワードは暗号化されません。
    ただし、既に暗号化されているパスワードは暗号化されたままです。
  9. 設定したコンフィグを確認しなさい。
  10. RT-A# show run
    !
    !
    no service password-encryption   ← パスワードの暗号化が無効になっている
    !
    !
    enable secret 4 8Yn3YXhZzp7CvwylTqs7xosa/yPYiGsjoYJpDDVNa7A    ← これは関係なし
    enable password 7 110A1016141D                                 ← 暗号化されたまま
    !
    !
    line con 0
     exec-timeout 0 0
     password 7 1306181C181C053938   ← 暗号化されたまま
     logging synchronous
     login
    line aux 0
     password 7 59DD08B2CBC821D0     ← 暗号化されたまま
     login
    line vty 0 4
     password 7 0010160A145A1815     ← 暗号化されたまま
     login
     transport input all
    !
    !
    
  11. 次のパスワードを設定しなさい。
  12. 暗号化されない特権パスワードcisco
    RT-A# conf t
    Enter configuration commands, one per line.  End with CNTL/Z.
    RT-A(config)# enable password cisco    ← 暗号化されない特権パスワードの設定
    RT-A(config)# ^Z
    RT-A# 
    
  13. 設定したコンフィグを確認しなさい。
  14. RT-A# show run
    !
    !
    no service password-encryption   ← パスワードの暗号化が無効になっている
    !
    !
    enable secret 4 8Yn3YXhZzp7CvwylTqs7xosa/yPYiGsjoYJpDDVNa7A   ← これは関係なし
    enable password cisco            ← 暗号化されていない
    !
    !
    line con 0
     exec-timeout 0 0
     password 7 1306181C181C053938   ← 暗号化されたまま
     logging synchronous
     login
    line aux 0
     password 7 59DD08B2CBC821D0     ← 暗号化されたまま
     login
    line vty 0 4
     password 7 0010160A145A1815     ← 暗号化されたまま
     login
     transport input all
    !
    !
    
    no service password-encryption コマンドが入力された以降に enable password cisco を実行したため、このパスワードは暗号化されていません。