Segurança : Dispositivos de segurança Cisco PIX 500 Series

PIX/ASA 7.x: Recuperação da Chave Pré-Compartilhada

17 Julho 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (24 Julho 2007) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Produtos Relacionados
      Convenções
Problema
Soluções
      Solução 1
      Solução 2
      Solução 3
      Solução 4
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento descreve como recuperar uma chave pré-compartilhada no PIX/ASA Security Appliance.

Pré-requisitos

Requisitos

Este documento supõe que você já tenha configurado o Security Appliance com as opções de VPN e fornecido a chave pré-compartilhada como o parâmetro de autenticação.

Componentes Utilizados

As informações neste documento baseiam-se no Cisco PIX 500 Series Firewall com a versão 7.x do software.

As informações no documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Produtos Relacionados

Este documento também pode ser usado com o Cisco 5500 Series Adaptive Security Appliance (ASA) com a versão 7.x do software.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Problema

Quando uma chave pré-compartilhada é configurada, ela é criptografada e não pode ser exibida na configuração em execução. Ela é exibida como *******.

Exemplo:

pixfirewall#show running-config
Cryptochecksum: 1b6862ce 661c9155 ff13b462 7b11c531
: Saved
: Written by enable_15 at 00:38:35.188 UTC Fri Feb 16 2007
!
PIX Version 7.2(2)
!
hostname pixfirewall
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 nameif inside
 security-level 100
 ip address 172.16.124.1 255.255.255.0

crypto isakmp policy 1
 authentication pre-share
 encryption des
 hash md5
 group 2
 lifetime 86400

!--- Saída suprimida.

tunnel-group mytunnel type ipsec-ra
tunnel-group mytunnel general-attributes
 default-group-policy myGROUP
tunnel-group mytunnel ipsec-attributes
 pre-shared-key *
telnet timeout 5
ssh timeout 5

Soluções

Use qualquer uma das soluções descritas nesta seção para solucionar o problema.

Solução 1

Para recuperar uma chave pré-compartilhada na configuração de VPN, execute o comando more system:running-config. Este comando mostra a chave pré-compartilhada no formato de texto plano.

Exemplo:

pixfirewall#more system:running-config
Cryptochecksum: 1b6862ce 661c9155 ff13b462 7b11c531
: Saved
: Written by enable_15 at 00:38:35.188 UTC Fri Feb 16 2007
!
PIX Version 7.2(2)
!
hostname pixfirewall
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 nameif inside
 security-level 100
 ip address 172.16.124.1 255.255.255.0

crypto isakmp policy 1
 authentication pre-share
 encryption des
 hash md5
 group 2
 lifetime 86400

!--- Saída suprimida.

tunnel-group mytunnel type ipsec-ra
tunnel-group mytunnel general-attributes
 default-group-policy myGROUP
tunnel-group mytunnel ipsec-attributes
 pre-shared-key cisco
telnet timeout 5
ssh timeout 5

Solução 2

Copie a sua configuração para um servidor de TFTP. Isso é necessário porque, quando a configuração é enviada para o servidor de TFTP, a chave pré-compartilhada é mostrada como texto plano (em vez de ******** como no comando show run).

Execute este comando para copiar a sua configuração para um servidor de TFTP:

ASA#write net [[tftp server_ip]:[filename]]:

OU

ASA#copy running-config tftp:

Quando arquivo for salvo no servidor de TFTP, você poderá abri-lo com um editor de texto e exibir as senhas em texto plano.

Exemplo:

pixfirewall#copy running-config tftp:

Source filename [running-config]?

Address or name of remote host []? 172.16.124.2

Destination filename [running-config]?
Cryptochecksum: 1b6862ce 661c9155 ff13b462 7b11c531
!
3312 bytes copied in 0.420 secs
Exibição no editor de texto

preshared-key-recover-1.gif

Consulte a seção write net da Referência de Comandos do Cisco Security Appliance para obter mais informações sobre este comando.

Solução 3

Para obter o texto plano da chave pré-compartilhada, acesse o PIX/ASA via HTTPS.

Crie um nome de usuário/senha para obter acesso à configuração do PIX/ASA.

pix(config)#username username password password

Para habilitar o servidor de HTTP do Security Appliance HTTP, use o comando http server enable no modo de configuração global. Para desabilitar o servidor de HTTP, use a forma no deste comando.

hostname(config)#http server enable

Para especificar os hosts que podem acessar o servidor HTTP interno ao Security Appliance, use o comando http no modo de configuração global. Para remover um ou mais hosts, use a forma no desse comando. Para remover o atributo da configuração, use a forma no desse comando sem nenhum argumento.

hostname(config)#http 10.10.99.1 255.255.255.255 outside

Use o nome de usuário/senha para fazer login no PIX/ASA usando o navegador, conforme mostrado neste exemplo.

https://10.10.99.1/config

Solução 4

A configuração também pode ser enviada para um servidor de FTP. Use este comando:

ASA#copy running-config ftp:<url>

Exemplo:

ASA#copy run ftp://172.16.124.2/running-config

Source filename [running-config]?

Address or name of remote host [172.16.124.2]?

Destination filename [running-config]?
Cryptochecksum: 1b6862ce 661c9155 ff13b462 7b11c531
!
3312 bytes copied in 1.120 secs (3312 bytes/sec)

Consulte a figura para ver a exibição no editor de texto.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 82076