Sécurité : Dispositifs de sécurité de la gamme Cisco PIX 500

PIX/ASA 7.x : Récupération d'une clé prépartagée

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document décrit comment récupérer une clé pré-partagée sur le dispositif de sécurité PIX/ASA.

Conditions préalables

Conditions requises

Ce document suppose que vous avez déjà configuré les dispositifs de sécurité avec des configurations du VPN et si clé pré-partagée comme paramètre d'authentification.

Composants utilisés

Les informations dans ce document sont basées sur le Pare-feu de gamme 500 de Cisco PIX avec la version de logiciel 7.x et plus tard.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Produits connexes

Ce document peut également être utilisé avec l'appliance de sécurité adaptable de gamme Cisco 5500 (ASA) avec la version de logiciel 7.x et plus tard.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Problème

Une fois qu'une clé pré-partagée est configurée, elle est chiffrée, et vous ne pouvez pas la voir en configuration en cours. Il est affiché comme *******.

Exemple :

pixfirewall#show running-config
Cryptochecksum: 1b6862ce 661c9155 ff13b462 7b11c531
: Saved
: Written by enable_15 at 00:38:35.188 UTC Fri Feb 16 2007
!
PIX Version 7.2(2)
!
hostname pixfirewall
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 nameif inside
 security-level 100
 ip address 172.16.124.1 255.255.255.0

crypto isakmp policy 1
 authentication pre-share
 encryption des
 hash md5
 group 2
 lifetime 86400

!--- Output is suppressed.

tunnel-group mytunnel type ipsec-ra
tunnel-group mytunnel general-attributes
 default-group-policy myGROUP
tunnel-group mytunnel ipsec-attributes
 pre-shared-key *
telnet timeout 5
ssh timeout 5

Solutions

Employez les solutions l'unes des dans cette section pour résoudre le problème.

Solution 1

Afin de récupérer une clé pré-partagée en configuration du VPN, émettez plus de système : commande de running-config. Cette commande montre la clé pré-partagée dans le format de libellé.

Exemple :

pixfirewall#more system:running-config
Cryptochecksum: 1b6862ce 661c9155 ff13b462 7b11c531
: Saved
: Written by enable_15 at 00:38:35.188 UTC Fri Feb 16 2007
!
PIX Version 7.2(2)
!
hostname pixfirewall
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 nameif inside
 security-level 100
 ip address 172.16.124.1 255.255.255.0

crypto isakmp policy 1
 authentication pre-share
 encryption des
 hash md5
 group 2
 lifetime 86400

!--- Output is suppressed.

tunnel-group mytunnel type ipsec-ra
tunnel-group mytunnel general-attributes
 default-group-policy myGROUP
tunnel-group mytunnel ipsec-attributes
 pre-shared-key cisco
telnet timeout 5
ssh timeout 5

Solution 2

Copiez votre configuration sur un serveur TFTP. C'est nécessaire parce qu'une fois que la configuration est envoyée au serveur TFTP, la clé pré-partagée apparaît en tant que texte clair (au lieu du ********, comme dans l'exposition exécutez la commande).

Émettez cette commande afin de copier votre configuration sur un serveur TFTP :

ASA#write net [[tftp server_ip]:[filename]]:

OU

ASA#copy running-config tftp:

Une fois le fichier est enregistré sur le serveur TFTP, vous pouvez l'ouvrir avec un éditeur de texte et visualiser les mots de passe en texte clair.

Exemple :

pixfirewall#copy running-config tftp:

Source filename [running-config]?

Address or name of remote host []? 172.16.124.2

Destination filename [running-config]?
Cryptochecksum: 1b6862ce 661c9155 ff13b462 7b11c531
!
3312 bytes copied in 0.420 secs
Vue d'éditeur de texte

preshared-key-recover-1.gif

Référez-vous à la section de net d'inscription de la référence de commandes d'appareils de sécurité Cisco afin de se renseigner plus sur cette commande.

Solution 3

Afin d'obtenir le texte clair de la clé pré-partagée, accédez au PIX/ASA par HTTPS.

Créez un nom d'utilisateur/mot de passe pour obtenir l'accès de la configuration PIX/ASA.

pix(config)#username username password password

Afin d'activer le serveur HTTP de dispositifs de sécurité, utilisez la commande d'enable de serveur de HTTP en mode de configuration globale. Afin de désactiver le serveur HTTP, utilisez le forme no de cette commande.

hostname(config)#http server enable 

Afin de spécifier les hôtes qui peuvent accéder au serveur HTTP interne aux dispositifs de sécurité, utilisez la commande de HTTP en mode de configuration globale. Afin de retirer un ou plusieurs hôtes, utilisez le forme no de cette commande. Afin de retirer l'attribut de la configuration, utilisez le forme no de cette commande sans arguments.

hostname(config)#http 10.10.99.1 255.255.255.255 outside

Employez le nom d'utilisateur/mot de passe pour ouvrir une session au PIX/ASA utilisant le comme indiqué dans cet exemple de navigateur.

https://10.10.99.1/config

Solution 4

La configuration peut également être téléchargée à un ftp server. C'est la commande :

ASA#copy running-config ftp:<url>

Exemple :

ASA#copy run ftp://172.16.124.2/running-config

Source filename [running-config]?

Address or name of remote host [172.16.124.2]?

Destination filename [running-config]?
Cryptochecksum: 1b6862ce 661c9155 ff13b462 7b11c531
!
3312 bytes copied in 1.120 secs (3312 bytes/sec)

Voyez la figure pour la vue d'éditeur de texte.

Remarque: Si votre stratégie de sécurité exige que des mots de passe de texte brut soient sécurisé enregistrés dans le format chiffré, considérez la fonctionnalité introduite principale de phrase de passe dans la version 8.3.1 ASA. Ces commandes ont été introduites pour cette capacité.

  • key config-key password-encryption

  • password encryption aes

Référez-vous à la nouvelle section de caractéristiques de pour en savoir plus de notes en version de version 8.3 ASA.

Voici un lien à un vidéo sur la Communauté de support de Ciscoleavingcisco.com qui explique la procédure pour récupérer la clé pré-partagée sur PIX/ASA :

Reprise principale pré-partagée sur PIX/ASA leavingcisco.com

preshared-key-recover-2.gif

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 82076