Het codeert alle *niet-versleutelde* wachtwoorden in het configuratiebestand van de router.

Hier is een overzicht:

* `servicewachtwoord-encryptie` (algemene configuratieopdracht): Deze opdracht wordt gebruikt om wachtwoorden te coderen die zijn opgeslagen in het configuratiebestand. Het is een beveiligingsmaatregel om ongeautoriseerde weergave van wachtwoorden in leesbare tekst te voorkomen.

* Wat het codeert: Het codeert specifiek wachtwoorden die binnen de configuratie zijn opgeslagen in een voor mensen leesbaar, *niet-gecodeerd* formaat. Dit omvat doorgaans wachtwoorden die worden gebruikt voor:

* `geheim ' inschakelen (het bevoorrechte wachtwoord voor de EXEC-modus)

* `line vty 0 15 wachtwoord ` (Telnet/SSH-lijnwachtwoorden)

* `gebruikersnaam wachtwoord ` (wachtwoorden voor lokale gebruikersdatabase)

* `gebruikersnaam geheim ` (Dit item wordt niet gecodeerd)

* Andere plaatsen waar `wachtwoord ` wordt gebruikt in de configuratie.

* Versleutelingsalgoritme: Cisco IOS gebruikt hiervoor een relatief zwak, eigen versleutelingsalgoritme (type 7-versleuteling). Het is beter dan leesbare tekst, maar wordt volgens moderne normen niet als zeer veilig beschouwd. Daarom wordt aanbevolen om ze te versleutelen met een sterker wachtwoord, zoals `enable secret` of `gebruikersnaam geheim `.

* Het codeert niet alles:

* Het codeert het verkeer dat door de router gaat niet.

* Het codeert geen wachtwoorden die al zijn gecodeerd met een sterker algoritme (zoals MD5 of SHA). Wachtwoorden die zijn geconfigureerd met het trefwoord 'geheim' worden meestal opgeslagen met een eenrichtingshash, waardoor ze veel moeilijker te kraken zijn.

* Het codeert geen wachtwoorden die extern zijn opgeslagen, zoals de wachtwoorden die worden gebruikt voor RADIUS- of TACACS+-authenticatie.

* Het codeert alleen wachtwoorden die zich in de *actieve configuratie* bevinden.

* Hoe solliciteren: U gaat naar de algemene configuratiemodus (`configureer terminal`), typt vervolgens `service wachtwoord-encryptie` en drukt op Enter.

Voorbeeld:

Voor:

```

wachtwoord cisco inschakelen

lijn vty 0 4

wachtwoord cisco

login

```

Na (na het uitvoeren van `service wachtwoord-encryptie`):

```

wachtwoord inschakelen 050D1A11031B1B03

lijn vty 0 4

wachtwoord 050D1A11031B1B03

login

```

Het 'cisco'-wachtwoord is nu gecodeerd.

Belangrijke overwegingen:

* Zwakte in de beveiliging: Zoals gezegd is de Type 7-codering relatief zwak. Er zijn online hulpmiddelen beschikbaar om deze wachtwoorden te kraken. Beschouw het als een basislaag van beveiliging, niet als een robuuste.

* Beste praktijken:

* Gebruik `geheim ` inschakelen: Deze opdracht gebruikt een sterker versleutelingsalgoritme (MD5 of SHA) voor het bevoorrechte EXEC-wachtwoord. Gebruik dit altijd via 'wachtwoord inschakelen'.

* Gebruik `gebruikersnaam geheim `: Deze opdracht gebruikt een sterker versleutelingsalgoritme (MD5 of SHA) voor gebruikersnaamwachtwoorden.

* Gebruik SSH, niet Telnet: SSH codeert de gehele sessie, inclusief wachtwoorden, zoals ze worden getypt. Telnet verzendt wachtwoorden in leesbare tekst.

* AAA implementeren (authenticatie, autorisatie en boekhouding): Gebruik externe authenticatieservers (RADIUS of TACACS+) voor gebruikersauthenticatie. Dit centraliseert het wachtwoordbeheer en biedt vaak sterkere beveiligingsmaatregelen.

* Regelmatige wachtwoordwijzigingen: Dwing een wachtwoordwijzigingsbeleid af om het risico op gecompromitteerde wachtwoorden te minimaliseren.

Samenvattend biedt `service wachtwoord-encryptie` een basisniveau van wachtwoordbeveiliging door wachtwoorden in leesbare tekst te coderen in het configuratiebestand van de router. Het is echter geen vervanging voor een sterk wachtwoordbeleid, veilige authenticatiemethoden en het gebruik van robuustere encryptietechnieken, indien beschikbaar.