====== Les comptes utilisateurs ======
Le but de ce mini TP va etre de découvrir comment on obtient un compte utilisateur sur les switchs et les différentes façons de stocker un mot de passe.
Nous verrons ici uniquement le fonctionnement des comptes utilisateurs en local, sachez que nous utilisons [[wiki:services:radius-switch|Radius-Switch]] qui vous permet d'utiliser directement votre compte LDAP.
Normalement les identifiants par défaut sont : ''Cisco:Cisco'', on va donc changer cela.
Vous pouvez donc créer un compte utilisateur facilement :
(config)# username toto password tata
(config)#
Observez maintenant le résultat :
#show run
Le mot de passe est normalement en clair m( .
En fait on peut chiffrer ces mots de passe grâce à : ''service password-encryption''
Cependant cet algorithme est connu et est facilement réversible (c'est une implémentation de l'algorithme de vigenère), vous pourrez trouver des outils sur le net pour reverse ce genre de mot de passe de type 7 (ce que vous pouvez voir en faisant ''(config)# username toto password ?''
C'est cet algorithme qui est utilisé pour les mots de passe que l'on ne peut pas hasher parce qu'on a besoin de les avoir en clair à un moment donné, par exemple pour les secrets radius.
Donc comme dit plus haut, on peut hasher nos mots de passes ce qui est déjà mieux :
(config)# username toto secret tata
Les mots de passe sont alors hashés avec une [[http://phk.freebsd.dk/sagas/md5crypt.html|variante de MD5]], qui malheureusement est vulnérable. Mais c'est toujours un peu mieux que ''password''
Je vous invite donc à tester les comptes que vous avez créés.
Maintenant pour passer en privilège 15, on peut configurer le mot de passe enable :
(config)# enable secret minet
Expliquer privilege dans la commande username
Sources :
* [[https://cisco.goffinet.org/mots-de-passes-locaux-en-cisco-ios/|Très bon artice en français, assez complet]]
* [[https://learningnetwork.cisco.com/thread/20342?start=15&tstart=0
|Un thread sur le forum Cisco]]
* [[https://www.cisco.com/c/en/us/support/docs/security-vpn/remote-authentication-dial-user-service-radius/107614-64.html|Doc Cisco sur la différence entre password et secret]]
* [[https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_usr_aaa/configuration/15-mt/sec-usr-aaa-15-mt-book/sec-aaa-type6-rev-pw.html|Utilisation du chiffrement des mots de passe avec AES (type 6)]]
* [[https://networklessons.com/uncategorized/ssh-public-key-authentication-cisco-ios/|Comment s'authentifier par clé publique et non par mot de passe]]
* [[https://www.cisco.com/c/en/us/td/docs/ios/12_2/security/command/reference/fsecur_r.pdf|Doc Cisco sur la sécurité]]