O comando encrypt-credentials disponível em switches ArubaOS é utilizado para criptografar credenciais armazenadas na configuração do dispositivo. Isso melhora a segurança, pois evita que senhas e chaves de autenticação sejam expostas em texto plano.
Funcionamento:
O comando encrypt-credentials ativa a criptografia para credenciais armazenadas em arquivos de configuração. Quando esse recurso está habilitado, as credenciais (como senhas de usuários locais, TACACS+ ou RADIUS) são criptografadas usando um algoritmo seguro (como AES-256).
Switch(config)# encrypt-credentials
**** CAUTION ****
This will encrypt all passwords and authentication keys.
The encrypted credentials will not be understood by older software versions. The resulting config file cannot be used by older software versions. It may also break some of your existing user scripts.
Before proceeding, please save a copy of your current config file, and associate the current config file with the older software version saved in flash memory. See “Best Practices for Software Updates” in the Release Notes.
A config file with ‘encrypt-credentials’ may prevent previous software versions from booting. It may be necessary to reset the switch to factory defaults. To prevent this, remove the encrypt-credentials command or use an older config file.
Save config and continue [y/n]? yO comando aceita um argumento opcional para definir uma chave secreta pré- compartilhada usada para criptografia. No entanto, a maioria das implementações usa uma chave interna fixa.
Switch(config)# encrypt-credentials pre-shared-key plaintext ChaveSecreta1
Save config and continue [y/n]? yA funcionalidade aumenta a segurança do switch, pois as credenciais ficam ilegíveis no arquivo de configuração, mesmo se alguém obtiver acesso não autorizado.
Ajuda na conformidade com regulamentações de segurança que exigem a proteção de dados confidenciais.
A habilitação do encrypt-credentials tem seus desafios em processos de troubleshooting pois pode tornar a solução de problemas mais complexa, pois as credenciais ficam ocultas.
Se você esquecer a chave secreta pré-compartilhada (caso a utilize), pode ser necessário redefinir a configuração do switch para recuperar o acesso.
Pontos de atenção
O comando encrypt-credentials criptografa apenas credenciais armazenadas na configuração do switch. Não criptografa dados em trânsito pela rede.
É importante implementar outras medidas de segurança, como senhas fortes e restrições de acesso, para proteger o switch.
Comandos relacionados:
show encrypt-credentials: Exibe o status da criptografia de credenciais (ativado ou desativado).
no encrypt-credentials: Desabilita a criptografia de credenciais (as credenciais voltam a ser exibidas em texto plano).
Referência
Aruba 2930F / 2930M Access Security Guide for ArubaOS-Switch
Até logo!
COMUTADORES 