Segurança : Dispositivos de segurança Cisco PIX 500 Series

PIX/ASA 7.x: Recuperação de chave pré-compartilhada

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Tradução Manual (17 Julho 2008) | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento descreve como recuperar uma chave pré-compartilhada no mecanismo de segurança PIX/ASA.

Pré-requisitos

Requisitos

Este documento supõe que você tem configurado já a ferramenta de segurança com configurações de VPN e desde que chave pré-compartilhada como o parâmetro de autenticação.

Componentes Utilizados

A informação neste documento é baseada no Series Firewall do Cisco PIX 500 com versão de software 7.x e mais tarde.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Produtos Relacionados

Este documento pode igualmente ser usado com a ferramenta de segurança adaptável do Cisco 5500 Series (ASA) com versão de software 7.x e mais tarde.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Problema

Uma vez que uma chave pré-compartilhada é configurada, está cifrada, e você não pode vê-la na configuração running. É indicada como o *******.

Exemplo:

pixfirewall#show running-config
Cryptochecksum: 1b6862ce 661c9155 ff13b462 7b11c531
: Saved
: Written by enable_15 at 00:38:35.188 UTC Fri Feb 16 2007
!
PIX Version 7.2(2)
!
hostname pixfirewall
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 nameif inside
 security-level 100
 ip address 172.16.124.1 255.255.255.0

crypto isakmp policy 1
 authentication pre-share
 encryption des
 hash md5
 group 2
 lifetime 86400

!--- Output is suppressed.

tunnel-group mytunnel type ipsec-ra
tunnel-group mytunnel general-attributes
 default-group-policy myGROUP
tunnel-group mytunnel ipsec-attributes
 pre-shared-key *
telnet timeout 5
ssh timeout 5

Soluções

Use algumas das soluções nesta seção para resolver o problema.

Solução 1

A fim recuperar uma chave pré-compartilhada na configuração de VPN, emita mais sistema: comando running-config. Este comando mostra a chave pré-compartilhada no formato da minuta.

Exemplo:

pixfirewall#more system:running-config
Cryptochecksum: 1b6862ce 661c9155 ff13b462 7b11c531
: Saved
: Written by enable_15 at 00:38:35.188 UTC Fri Feb 16 2007
!
PIX Version 7.2(2)
!
hostname pixfirewall
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 nameif inside
 security-level 100
 ip address 172.16.124.1 255.255.255.0

crypto isakmp policy 1
 authentication pre-share
 encryption des
 hash md5
 group 2
 lifetime 86400

!--- Output is suppressed.

tunnel-group mytunnel type ipsec-ra
tunnel-group mytunnel general-attributes
 default-group-policy myGROUP
tunnel-group mytunnel ipsec-attributes
 pre-shared-key cisco
telnet timeout 5
ssh timeout 5

Solução 2

Copie sua configuração a um servidor TFTP. Isto é precisado porque uma vez que a configuração é enviada ao servidor TFTP, a chave pré-compartilhada aparece como o texto claro (em vez do ********, como no comando show run).

Emita este comando a fim copiar sua configuração a um servidor TFTP:

ASA#write net [[tftp server_ip]:[filename]]:

OU

ASA#copy running-config tftp:

Uma vez o arquivo salvar no servidor TFTP, você pode abri-lo com um editor de texto e ver as senhas no texto claro.

Exemplo:

pixfirewall#copy running-config tftp:

Source filename [running-config]?

Address or name of remote host []? 172.16.124.2

Destination filename [running-config]?
Cryptochecksum: 1b6862ce 661c9155 ff13b462 7b11c531
!
3312 bytes copied in 0.420 secs
Opinião do editor de texto

preshared-key-recover-1.gif

Refira a seção da rede da escrita da referência de comandos do dispositivo do Cisco Security a fim aprender mais sobre este comando.

Solução 3

A fim obter o texto claro da chave pré-compartilhada, alcance o PIX/ASA com o HTTPS.

Crie um username/senha para obter o acesso da configuração PIX/ASA.

pix(config)#username username password password

A fim permitir o Server do HTTP da ferramenta de segurança, use o comando http server enable no modo de configuração global. A fim desabilitar o Server do HTTP, não use nenhum formulário deste comando.

hostname(config)#http server enable 

A fim especificar os anfitriões que podem alcançar o Server do HTTP interno à ferramenta de segurança, use o comando HTTP no modo de configuração global. A fim remover uns ou vários anfitriões, não use nenhum formulário deste comando. A fim remover o atributo da configuração, não use nenhum formulário deste comando sem argumentos.

hostname(config)#http 10.10.99.1 255.255.255.255 outside

Use o username/senha para entrar ao PIX/ASA usando o navegador como este exemplo mostra.

https://10.10.99.1/config

Solução 4

A configuração pode igualmente ser transferida arquivos pela rede a um servidor FTP. Este é o comando:

ASA#copy running-config ftp:<url>

Exemplo:

ASA#copy run ftp://172.16.124.2/running-config

Source filename [running-config]?

Address or name of remote host [172.16.124.2]?

Destination filename [running-config]?
Cryptochecksum: 1b6862ce 661c9155 ff13b462 7b11c531
!
3312 bytes copied in 1.120 secs (3312 bytes/sec)

Veja a figura para a opinião do editor de texto.

Nota: Se sua política de segurança exige que as senhas do texto simples estejam armazenadas firmemente no formato cifrado, considere a característica mestra da frase de passagem introduzida na versão ASA 8.3.1. Estes comandos foram introduzidos para esta capacidade.

  • criptografia de senha chave da configuração-chave

  • aes da criptografia de senha

Refira a seção dos novos recursos de Release Note da versão ASA 8.3 para mais informação.

Está aqui um link a um vídeo na comunidade do apoio de Ciscoleavingcisco.com que explica o procedimento para recuperar a chave pré-compartilhada no PIX/ASA:

Recuperação de chave pré-compartilhada no PIX/ASA leavingcisco.com

preshared-key-recover-2.gif

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 82076