| Het verschil tussen 'wachtwoord inschakelen' en 'geheim inschakelen' op een Cisco-router (en vergelijkbare apparaten) is de manier waarop ze worden opgeslagen en het beveiligingsniveau dat ze bieden.
Hier is een overzicht:
`wachtwoord inschakelen`
* Opslag: Opgeslagen in het configuratiebestand in plaintext (of minimaal verborgen met een zwakke, breekbare codering zoals Cisco's Type 7-codering).
* Beveiliging: Zeer zwak . Iedereen met toegang tot het configuratiebestand (lopende configuratie, opstartconfiguratie of zelfs een back-up) kan het wachtwoord eenvoudig lezen. Type 7-codering is eenvoudig omkeerbaar met behulp van online tools of eenvoudige scripts.
* Gebruik: Wordt voornamelijk gebruikt voor oudere apparatuur of situaties waarin beveiliging geen primaire zorg is (testlaboratoria, geïsoleerde netwerken). Het wordt sterk afgeraden voor productieomgevingen.
* Voorbeeld:
```
schakel wachtwoord mijnwachtwoord in
```
`geheim inschakelen`
* Opslag: Opgeslagen in het configuratiebestand in een veel sterkere, in één richting gecodeerde versie formaat (meestal MD5 of SHA256). Dit betekent dat het wachtwoord zelf nooit direct zichtbaar is in de configuratie. Hoewel technisch gezien de hash zelf zichtbaar is, is het omkeren van een sterke hash rekenkundig niet haalbaar.
* Beveiliging: Aanzienlijk veiliger dan 'wachtwoord inschakelen'. Zelfs als iemand het configuratiebestand verkrijgt, kan hij of zij niet gemakkelijk het daadwerkelijke wachtwoord bepalen.
* Gebruik: De aanbevolen methode voor het instellen van het geprivilegieerde EXEC-moduswachtwoord. Het moet altijd worden gebruikt in productieomgevingen.
* Voorrang: Als zowel 'wachtwoord inschakelen' als 'geheim inschakelen' zijn geconfigureerd, heeft het wachtwoord 'geheim inschakelen' voorrang. De router zal vragen om het 'enable secret'-wachtwoord.
* Voorbeeld:
```
schakel geheim mijngeheimwachtwoord in
```
Belangrijkste verschillen samengevat:
| Kenmerk | `wachtwoord inschakelen` | `geheim inschakelen` |
| ---------------- | -------------------------- | -------------------------- |
| Encryptie | Zwak (of geen) | Sterk (MD5 of SHA256) |
| Beveiliging | Laag | Hoog |
| Opslag | Platte tekst of zwakke codering | Gehasht (eenrichtingsversleuteling) |
| Aanbeveling | Vermijd in productie | Aanbevolen |
| Voorrang | Lager (als `geheim inschakelen` bestaat) | Hoger |
Waarom `geheim inschakelen` superieur is:
Hashing biedt een eenrichtingsfunctie. U kunt een wachtwoord hashen, maar u kunt het niet eenvoudig ongedaan maken om het oorspronkelijke wachtwoord te verkrijgen. Dit beschermt het wachtwoord, zelfs als het configuratiebestand is aangetast.
Belangrijke overwegingen:
* Sterke wachtwoorden: Ongeacht welk commando je gebruikt (hoewel je altijd `enable secret` moet gebruiken), kies sterke, complexe wachtwoorden.
* Wachtwoordcomplexiteitsbeleid: Implementeer beleid voor wachtwoordcomplexiteit om het gebruik van sterke wachtwoorden af te dwingen.
* AAA (authenticatie, autorisatie en boekhouding): Voor bedrijfsomgevingen kunt u overwegen AAA te gebruiken met een RADIUS- of TACACS+-server voor gecentraliseerd gebruikersbeheer en authenticatie. Dit is zelfs veiliger en schaalbaarder dan lokale 'enable'-wachtwoorden.
* Geheim 5: Cisco heeft een "servicewachtwoordversleuteling" die een zwakke versleutelingsmethode (Type 7) gebruikt om alle wachtwoorden in het configuratiebestand te "versleutelen". Het is beter dan niets, maar het is nog steeds relatief gemakkelijk te breken. `geheim inschakelen` is een *veel* beter alternatief.
Samenvattend:
Gebruik altijd 'enable secret' om de geprivilegieerde EXEC-modus van uw router te beschermen. Het biedt een aanzienlijk hoger beveiligingsniveau dan 'wachtwoord inschakelen'. Gebruik voor maximale veiligheid AAA met een externe authenticatieserver. |
