Solucionado: Re: Username y Secret 5 password

Jcorniel · ‎08-05-2018

Buenas tardes, espero se encuentren muy bien. Una vez mas me dirijo a ustedes para realizarle una de tantas consultas que faltan :)

Al momento de crear un usuario en un Router o Switch, que diferencia o que ventajas me da crear la contraseña secret con un numero del 1 al 5 despues del comando secret. es decir; ejemplo

Switch(config) username Admin Privilege 15 secret 5 contraseña.

Switch(config) username Administrator Privilege 15 secret contraseña1.

Por lo que pudo ver creo que es un nivel de seguridad, pero no se como se ve reflejado.

Lo otro es que bueno al menos en una practica en packet tracer, cree el usuario el switch tal como mostre, y no me deja ingresar por vty, indica contraseña invalida. Mientras que con otro usuario creado que no le coloque un digito despues del comando secret, si me deja ingresar sin problemas.

Consulta:

En que me ayuda el comando secret con el digito seguido?

Como se aplica correctamente el comando.?

Es sumamente necesario aplicarlo con el digito?

Atento a sus valiosos comentarios.

Saludos!

Jose Corniel

Julio E. Moisa · ‎08-06-2018

Hola Jose,

Adicional a lo mencionado previamente, la palabra secret provee un metodo de proteccion adicional a las credenciales haciendo que las contraseñas sean encriptadas. Esto utiliza MD5.

El valor 0: indica que la contraseña en texto plano sera encriptada con MD5. Texto plano es cualquier palabra que una persona utiliza o entiende.

El valor 5: indica que la contraseña ya esta encriptada. Cuando se configura la opción 5, indica que la linea de comando solo aceptara una contraseña ya encriptada.

Por ejemplo: $1$9/d8$LFLuFmLNAm9rpburwJp9k1

Para comprobarlo puedes hacer el siguiente ejercicio:

username cisco pri 15 secret 0 cisco <--- contraseña cisco.

Una vez ingresado ejecuta: show run y busca el usuario, veras que estara encriptado, luego crea un segundo usuario digamos cisco1:

username cisco1 pri 15 secret 5 (aqui coloca la contraseña cisco pero la previamiente encriptada)

Aceptara el comando.

Si lo que buscas es encriptar todas tus contraseñas actuales y futuras te recomendo utilizar el comando:

service password-encryption

Esto automaticamente encriptara todas las contraseñas.

Saludos

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

Ver la solución en mensaje original publicado

andresfr · ‎08-05-2018

Hola José,

Echa un vistazo a lo siguiente:

R1(config)#username Admin privilege 15 secret ?
0 Specifies an UNENCRYPTED secret will follow <----- Si usas 0 entonces la contraseña a continuación es la contraseña sin cifrar
5 Specifies a MD5 HASHED secret will follow <------ Si usas 5 es que previamente generaste un hash MD5 a partir de la contraseña y lo que colocaras a continuación es el hash y no la contraseña en texto plano a partir de la cual se generó el mismo.
LINE The UNENCRYPTED (cleartext) user secret <------ no especificar 0/5 equivale a que se introducirá la contraseña sin cifrar, en texto plano.

Ejemplos:
Hash MD5 generado a partir de la palabra cisco en un router Cisco: $1$YHgI$/72ARbt9aSRtMzva4eBhZ/

R1(config)#username AdminUno privilege 15 secret 0 cisco

R1(config)#username AdminDos privilege 15 secret 5 $1$YHgI$/72ARbt9aSRtMzva4eBhZ/

R1(config)#username AdminDos privilege 15 secret cisco

Si cuando usas los keywords secret 5 colocas seguidamente la palabra cisco, estarías diciendo que esa palabra es el resultado del hash MD5 generado a partir de alguna otra palabra, y el dispositivo podría arrojar un error como el siguiente:

R1(config)#username Admin privilege 15 secret 5 cisco
ERROR: The secret you entered is not a valid encrypted secret.
To enter an UNENCRYPTED secret, do not specify type 5 encryption.
When you properly enter an UNENCRYPTED secret, it will be encrypted.

Entonces:

En que me ayuda el comando secret con el digito seguido?

R: A decir si la palabra o frase a continuación para especificar la contraseña será introducida en texto plano como un hash MD5.

Como se aplica correctamente el comando.?

R: Todas las opciones son correctas siempre que entiendas el funcionamiento de los keywords y lo que debes colocar a continuación.

Es sumamente necesario aplicarlo con el digito?

R: Como se vió arriba, solo es necesario especificar el keyword 5 cuando lo que introducirás a continuación es el hash MD5 generado a partir de la contraseña. Para texto plano puedes omitir especificar el keyword 0.

Referencia:

Cisco IOS Passwords Encryption Facts

https://www.cisco.com/c/en/us/support/docs/security-vpn/remote-authentication-dial-user-service-radius/107614-64.html

Julio E. Moisa · ‎08-06-2018

Hola Jose,

Adicional a lo mencionado previamente, la palabra secret provee un metodo de proteccion adicional a las credenciales haciendo que las contraseñas sean encriptadas. Esto utiliza MD5.

El valor 0: indica que la contraseña en texto plano sera encriptada con MD5. Texto plano es cualquier palabra que una persona utiliza o entiende.

El valor 5: indica que la contraseña ya esta encriptada. Cuando se configura la opción 5, indica que la linea de comando solo aceptara una contraseña ya encriptada.

Por ejemplo: $1$9/d8$LFLuFmLNAm9rpburwJp9k1

Para comprobarlo puedes hacer el siguiente ejercicio:

username cisco pri 15 secret 0 cisco <--- contraseña cisco.

Una vez ingresado ejecuta: show run y busca el usuario, veras que estara encriptado, luego crea un segundo usuario digamos cisco1:

username cisco1 pri 15 secret 5 (aqui coloca la contraseña cisco pero la previamiente encriptada)

Aceptara el comando.

Si lo que buscas es encriptar todas tus contraseñas actuales y futuras te recomendo utilizar el comando:

service password-encryption

Esto automaticamente encriptara todas las contraseñas.

Saludos

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<