Infra Engineer

【独学CCNA】044.パスワード設定③ネットワーク機器のパスワードの暗号化
2021.10.29
Lv1

【独学CCNA】044.パスワード設定③ネットワーク機器のパスワードの暗号化

ゼロからのCCNA独学講座

本連載では、シスコ技術者認定資格であるCCNA合格を目指して、試験範囲の解説や問題演習などを扱っていきます!
今回は、ネットワーク機器へのパスワード設定について学習していきます。
(この記事で出てくる画像はCisco Packet Tracer内での1941ルーターの設定の画像です。)

  • 前回までの記事でのパスワード
  • service-password encriptionコマンド
  • secretコマンド
  • まとめ
  • 確認問題

前回までの記事でのパスワード

前回までの記事ではログインパスワードとenableパスワードの設定を行ってきました。
それらのパスワードは確かに有効ではあるのですが、ルーター内のファイルにパスワードがそのままの状態で書かれてしまっています。この、パスワードがそのままの文字列の状態のことを平文と呼びます。このままだと何かの拍子にパスワードファイルを見られた場合にパスワードが漏れてしまいます。

それを防ぐための方法が2種類あるのでこの記事内で紹介していこうと思います。
「service password-encriptionコマンド」と「secret」コマンドです。

service password-encriptionコマンド

service password-encriptionコマンドは現在running-configに平文で書き込まれているパスワードを暗号化する働きと、今後「password」コマンドで設定されたパスワードは暗号化して保存するようにする、という2つの働きを持ちます。
コマンドを実行した後もずっと有効になるタイプのコマンドです。

・前回の記事にて、パスワードが暗号化されずに保存されていることが確認できました。

(running-configの内容)

・「service password-encription」コマンドを実行して同じ個所を見てみます。パスワードが暗号化されていることが確認できます。7という数字は暗号化の方法の種類を表しています。

secretコマンド

ここまではenableパスワードを「password」コマンドと「service password-encription」コマンドの併用によって暗号化を実現してきましたが、現在推奨されているパスワードの設定コマンドは「enable secret」になります。
「enable secret」コマンドは「password」コマンドのようにパスワードを設定するためのコマンドです。「password」コマンドと異なる点は「enable secret」コマンド単体でパスワードの設定とその暗号化が実現できるところです。繰り返しになりますが、現在は「enable secret」コマンドを使用してパスワードを設定することが推奨されています。

・「enable secret」コマンドによってパスワードを設定してから、running-configで暗号化を確認してみます。「password」コマンドでのパスワードとは別にパスワードが設定されたことが確認できます。

ちなみに今の設定では
「password」コマンドにてパスワード「banana」を設定、「service password-encription」コマンドにて暗号化。
「enable secret」コマンドにてパスワード「coconut」を暗号化して設定。
となっていますがログインする際には「enable secret」コマンドによるパスワードが優先されるため、入力すべきパスワードは「coconut」になります。

まとめ

  • パスワードは暗号化して保存することが推奨されている
  • 「service password-encription」コマンドで「password」コマンドによるパスワードを暗号化できる
  • 強い強度の暗号化をしようしてパスワードを保存できる「secret」コマンドが推奨されている
  • 「password」コマンドと「enable secret」コマンドで別のパスワードを設定した場合、「secret」コマンドで設定したパスワードが優先される

確認問題

以下の選択肢から正しいものを選んでください。

  1. 「enable password」コマンドと「enable secret」コマンドでは後に設定したほうが優先される
  2. 「service password-encription」コマンドでは以前に「password」コマンドで入力したパスワードも暗号化される
  3. 現在は「password」コマンドと「service password-encription」コマンドの併用でパスワードを暗号化して設定することが推奨されている
  4. 「password」コマンドの後に「secret」コマンドを実行するとrunning-config上でパスワードが上書きされる
解答・解説
答え:2

1) 順序に関係なく「enable secret」コマンドで設定したパスワードが優先されます。
2) 正解です。今後入力するものを暗号化することに加えて、以前入力したパスワードも暗号化します。
3) 現在のパスワード設定の推奨は「enable secret」コマンドによるものです。
4) 「enabl secrete」コマンドのパスワードが優先されますが、running-config内では別のところに記述されています。


今回はルーターのパスワードの暗号化について解説しました。
次回はrunning-configとその保存について学習していきます。

ゼロからのCCNA独学講座 連載目次リンク

ゼロからのCCNA独学講座 連載目次