Re: [cisco-ttl] Dial-up servisinde secret sifre mumkun mu?

From: Ilker Temir <ilker_at_....>
Date: Thu, 26 Apr 2007 14:11:37 +0200


Burada sorunun kar┼č─▒ tarafta kullan─▒lan cihaz ile ilgisi oldu─čunu sanm─▒yorum. Konu daha ├žok ┼čifreleme (encryption) ve kullan─▒lan protocoller ile ilgili.

Bilindi─či ├╝zere, farkl─▒ ┼čekillerde ├žal─▒┼čan ┼čifreleme algoritmalar─▒ mevcut, bunlardan ba┼čl─▒calar─▒ public-key algoritmalar, simetrik algoritmalar ve tek y├Ânl├╝ (hash) algoritmalar. Her birinin farkl─▒ kullan─▒m ama├žlar─▒ var. Public key bir yana b─▒rak─▒l─▒rsa, simetrik ve hash algoritmalar─▒ndaki temel fark; simetrik ┼čifrelemede, ┼čifrelenen veriden orginalini elde etmek m├╝mk├╝nken, hash algoritmalar─▒n─▒n yaln─▒zca paroladan hash ad─▒ verilen ┼čifrelenmi┼č halin elde edilebiliyor olu┼ču.

Teorik olarak, e─čer kulland─▒─č─▒n─▒z uygulama yaln─▒zca bir ┼čifre kontrol├╝ yap─▒yor ise (diyelim ki telnet), bu durumda en ideali hash t├╝r├╝ bir algoritma (├Ârne─čin MD5 veya SHA-1). Kullan─▒c─▒n─▒n girdi─či paralo, ayn─▒ y├Ântem ile hashlenir ve veritaban─▒nda kay─▒tl─▒ olan ile kar┼č─▒la┼čt─▒r─▒l─▒r. Ayn─▒ ise sisteme ula┼č─▒m sa─član─▒r. Bunun avantaj─▒, hashlenmi┼č halden orjinal parolan─▒n elde edilemiyor olu┼ču.

Ancak bu her protokolde m├╝mk├╝n olmaz. Baz─▒ protokoller, parolan─▒n ┼čifrelenmemi┼č haline de gereksinim duyarlar. Bir hash algoritmas─▒ ile saklanm─▒┼č paroladan orjinalini elde etmek m├╝mk├╝n olmad─▒─č─▒ i├žin bu y├Ântem kullan─▒lamaz. B├Âyle bir durumda simetrik ┼čifreleme (DES, 3DES, AES gibi) kullan─▒l─▒r. B├Âylece hem saklanan parola herkes taraf─▒ndan g├Âr├╝lemez/anla┼č─▒lamaz, hem de gerekti─činde orjinal parola tekrar elde edilebilir. Ancak bunun i├žin simetrik ┼čifrelemede bir anahtar kullan─▒lmas─▒ zorunludur, bu da zay─▒f noktay─▒ olu┼čturur. Daha detal─▒ bilgi i├žin kriptoloji ile ilgili kaynaklara ba┼čvurabilirsiniz.

Cisco routerlar ├╝zerinde ise bunlar─▒n ├že┼čitli uygulamalar─▒ var. ├ľzet olarak "username user1 password 0 cisco" gibi bir ├Ârnekte g├Âz├╝ken "0" tipi, hi├ž bir ┼čekilde ┼čifrelenmemi┼č parolay─▒ g├Âsterir. "5" tipi hashlenmi┼č (MD5) parolay─▒ g├Âsterir, yani bu ┼čekilde saklanan bir paroladan orjinali elde etmem (normal olarak) m├╝mk├╝n de─čildir ve ancak telnet, ssh gibi uygulamalarda kullan─▒labilir. "7" tipi ise simetrik bir ┼čifreleme y├Ântemidir, yani hem parola ┼čifrelenip saklan─▒r, hem de gerekti─činde geri d├Ând├╝r├╝lebilir. Ancak bu algoritman─▒n anahtar─▒ k─▒r─▒lm─▒┼č oldu─ču i├žin g├╝venli oldu─ču d├╝┼č├╝n├╝lmemelidir.

Bu kadar teoriden sonra, pratikte sizin sorunuzun cevab─▒ yukar─▒da veriliyor asl─▒nda. Siz ┼čifreyi hashlenmi┼č ("5" tipi) olarak saklad─▒─č─▒n─▒zda sorun oldu─čunu s├Âyl├╝yorsunuz. San─▒yorum CHAP gibi bir authentication kullan─▒yorsunuz, bu durumda hashlenmi┼č ("5" tipi) ┼čifre kullanamazs─▒n─▒z. 7 veya 0, (ya da nispeten yeni olan "6" ama konumuz d─▒┼č─▒nda [1]) kullanman─▒z gerekiyor. Ancak her ikisi de g├╝venli de─čil. Yani sorunun kar┼č─▒ routerla ilgisi yok, kulland─▒─č─▒n─▒z protokol(ler) ve ┼čifreleme y├Ântemi ile ilgisi var.

─░lker

[1]
http://www.cisco.com/en/US/products/ps6350/products_configuration_guide_chapter09186a0080455ad9.html

Serdar G├╝rcan wrote:
> Cisco 7206 router uzerinde PRI hattim uzerinde limitli sayida kullaniciya
> ppp dial-up servis veriyorum.
> istemci tarafta ISDN router modem Zyxel Prestige Plus
>
> user1 isimli ve cisco ├żifresi olan bir kullanici yaratiyorum.
>
> username user1 password 0 cisco
>
> ISDN Modem ├╝zerinde kullaniciyi tanimlayinca sorunsuz olarak baglaniyor.
>
> Fakat, user2 isimli ve secret ├żifresi cisco olan bir kullanici yaratinca
>
> username user2 secret 5 $1$xJEd$mfqkFXAqzJxXz8tFVy0qY1
> 1
> sifre gizli oldugu icin baglanti kabul edilmiyor.
>
> Sorularim
>
> 1. Baglanan rouuter Cisco olsa idi secret sifrede yine sorun yasar miydim?
> 2. Diger marka routerlar ile secret sifreli kullanici kullanamaz miyim.
>
> Yanitlar icin tesekkurler.
>
>
> [Non-text portions of this message have been removed]
>
>
>
> --
> Cisco Teknik Tartisma Listesi (Cisco-ttl)
>
> Bu listede onerilen degisikliklerin uygulanmasindaki tum sorumluluk
> kullaniciya aittir. Liste yoneticileri, oneride bulunan liste uyeleri ya da
> bu uyelerin calistigi kuruluslar herhangi bir sekilde sorumlu tutulamazlar.
> Yahoo! Groups Links
>
>
>
Received on Thu Apr 26 2007 - 14:40:44 CEST

This archive was generated by hypermail 2.2.0 : Thu Apr 26 2007 - 14:40:44 CEST