Cisco IOS: differenze tra le versioni
Contenuto cancellato Contenuto aggiunto
m →Comandi |
|||
Riga 120:
== Sicurezza e vulnerabilità ==
Lo IOS è risultato vulnerabile a sconfinamenti di memoria cuscinetto oltre a falle di altro genere che hanno pregiudicato sia il buon funzionamento del sistema operativo stesso che delle applicazioni. La Cisco risponde in genere molto velocemente, mettendo a disposizione correzioni in tempi brevi, prova ne è la frequenza con cui escono le nuove versioni di aggiornamento. Ciononostante persiste una ben nota falla nella sicurezza sin dal 1995 riferita alla criptazione delle parole chiave nell’interfaccia a riga di comando e che non viene riparata per motivi di compatibilità. Le parole chiave d’accesso sono cifrate secondo un algoritmo cosiddetto di tipo 7 (una versione modificata da tale Williams
Router(config)#username jdoe password 7 0832585B1910010713181F
La parola chiave può essere facilmente decriptata con il programma getpass, disponibile già dal 1995, nell’esempio si ottiene come risultato “stupidpass”. Questa falla è documentata in molti siti in rete ed è addirittura riportata sul sito della Cisco nella sezione Consigli dei lettori (Technical Services News / Reader Tips) ed ivi riferita alla procedura per decriptare una chiave di rete (pre-shared key). Comunque sia il programma getpass decripta solo parole chiave generate nella semplice modalità utente, ma non può nulla se si abilita la modalita di cifratura con il comando “secret”. In realtà non si tratta di una vera e propria falla dovuta alla Cisco perché il tipo di cifratura è noto all’utente (cliente) e non viene pubblicizzato come più sicuro di quello che è. Piuttosto questo caso ha svelato che non è lo IOS ad essere insicuro ma l’uso che gli utenti, ossia i gestori di rete ne fanno, fidandosi erroneamente di una presunta invulnerabilità di tale cifratura.
| |||