はじめに
ネットワーク機器リプレイス案件を対応する際には先方から既存機器のコンフィグを受領しますが、一般的にはコンフィグ上のパスワード表記を暗号化する設定がされているため、一見するとパスワード情報が不明な状況となります。
このような場合に、コンフィグ上の暗号化パスワードをデコード(復号)する方法について記載します。
※デコードのためには Cisco IOS 機器が必要となります
※最後にも記載しますがデコード可能なパスワードは type 7 パスワードのみです
作業環境
- Cisco C891FJ-K9
- バージョン:15.3(3)M5
暗号化パスワードのデコード方法
以下の設定がされていたとします。
Router(config)#username hogehoge password piyopiyo—
この場合コンフィグ上では以下の様に表記されます。
username hogehoge password 7 03145212091F285541—
上記暗号化パスワードのデコードのためには、任意の Cisco 機器でまず以下の設定を行います。
Router(config)#key chain DECODE
Router(config-keychain)#key 1
Router(config-keychain-key)#key-string 7 03145212091F285541key chain "<キーチェーン名>"
key "<数値>"
key-string 7 "<暗号化パスワード>"—
設定ができたら以下の show コマンドを実行します。
show key chain
Router#show key chain
Key-chain DECODE:
key 1 -- text "piyopiyo"
accept lifetime (always valid) - (always valid) [valid now]
send lifetime (always valid) - (always valid) [valid now]—
コマンド出力の中の以下の行でデコードされたパスワードを確認できます。
key 1 -- text "piyopiyo"—
以上です。
注意点
デコード可能なパスワードは以下の様に 7 XXXX の形式で表示されている Cisco type 7 パスワードのみです。
password 7 xxxxxxx
例えば、username xxx password xxx コマンドや enable password コマンドなどでパスワードを設定し、かつ service password-encryption コマンドで暗号化した場合、type 7 パスワードとなります。
一方で、enable secret コマンドでパスワードを設定した場合は以下の様に type 5 のパスワードとなり、こちらはデコードすることはできません。
enable secret 5 $1$9AH9$EDhEy0t.c8dfvAfw0ISZS.―――――――――――――
