路由器 : Cisco PIX 500 系列安全设备

PIX/ASA 7.x:预共享密钥恢复

2016 年 10 月 27 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈


目录


简介

本文档说明如何恢复 PIX/ASA 安全设备上的预共享密钥。

先决条件

要求

本文档假设您已使用 VPN 配置来配置安全设备,并提供了预共享密钥作为身份验证参数。

使用的组件

本文档中的信息基于软件版本为 7.x 或更高版本的 Cisco PIX 500 系列防火墙。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

相关产品

本文可能也与Cisco ASA 5500系列自适应安全设备(ASA)一起使用与软件版本7.x和以后。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

问题

预共享密钥在配置后会进行加密,因此无法在运行配置中看到。它会显示为 *******。

示例:

pixfirewall#show running-config
Cryptochecksum: 1b6862ce 661c9155 ff13b462 7b11c531
: Saved
: Written by enable_15 at 00:38:35.188 UTC Fri Feb 16 2007
!
PIX Version 7.2(2)
!
hostname pixfirewall
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 nameif inside
 security-level 100
 ip address 172.16.124.1 255.255.255.0

crypto isakmp policy 1
 authentication pre-share
 encryption des
 hash md5
 group 2
 lifetime 86400

!--- Output is suppressed.

tunnel-group mytunnel type ipsec-ra
tunnel-group mytunnel general-attributes
 default-group-policy myGROUP
tunnel-group mytunnel ipsec-attributes
 pre-shared-key *
telnet timeout 5
ssh timeout 5

解决方案

使用本部分中的任何解决方案可解决此问题。

解决方案 1

要恢复 VPN 配置中的预共享密钥,请发出 more system: running-config 命令。此命令以明文格式显示预共享密钥。

示例:

pixfirewall#more system:running-config
Cryptochecksum: 1b6862ce 661c9155 ff13b462 7b11c531
: Saved
: Written by enable_15 at 00:38:35.188 UTC Fri Feb 16 2007
!
PIX Version 7.2(2)
!
hostname pixfirewall
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 nameif inside
 security-level 100
 ip address 172.16.124.1 255.255.255.0

crypto isakmp policy 1
 authentication pre-share
 encryption des
 hash md5
 group 2
 lifetime 86400

!--- Output is suppressed.

tunnel-group mytunnel type ipsec-ra
tunnel-group mytunnel general-attributes
 default-group-policy myGROUP
tunnel-group mytunnel ipsec-attributes
 pre-shared-key cisco
telnet timeout 5
ssh timeout 5

解决方案 2

将您的配置复制到 TFTP 服务器。这样做是必要的,因为将配置发送到 TFTP 服务器后,预共享密钥将以明文(而不是 show run 命令中的 ********)形式显示。

发出此命令可将您的配置复制到 TFTP 服务器:

ASA#write net [[tftp server_ip]:[filename]]:

或者

ASA#copy running-config tftp:

一旦将文件保存到 TFTP 服务器上,您就可以用文本编辑器打开它,并查看明文形式的口令。

示例:

pixfirewall#copy running-config tftp:

Source filename [running-config]?

Address or name of remote host []? 172.16.124.2

Destination filename [running-config]?
Cryptochecksum: 1b6862ce 661c9155 ff13b462 7b11c531
!
3312 bytes copied in 0.420 secs
文本编辑器视图

preshared-key-recover-1.gif

要了解有关此命令的详细信息,请参阅 Cisco 安全设备命令参考write net 部分。

解决方案 3

要获取预共享密钥的明文,请通过 HTTPS 访问 PIX/ASA。

创建用户名/口令以访问 PIX/ASA 配置。

pix(config)#username username password password

要启用安全设备 HTTP 服务器,请在全局配置模式下使用 http server enable 命令。要禁用此 HTTP 服务器,请使用此命令的 no 形式。

hostname(config)#http server enable 

要指定可访问安全设备内 HTTP 服务器的主机,请在全局配置模式下使用 http 命令。要删除一个或多个主机,请使用此命令的 no 形式。要从配置中删除属性,请使用此命令的 no 形式(不带参数)。

hostname(config)#http 10.10.99.1 255.255.255.255 outside

使用本示例所示浏览器,通过用户名/口令登录到 PIX/ASA。

https://10.10.99.1/config

解决方案 4

此配置还可以上载到 FTP 服务器。请使用以下命令:

ASA#copy running-config ftp:<url>

示例:

ASA#copy run ftp://172.16.124.2/running-config

Source filename [running-config]?

Address or name of remote host [172.16.124.2]?

Destination filename [running-config]?
Cryptochecksum: 1b6862ce 661c9155 ff13b462 7b11c531
!
3312 bytes copied in 1.120 secs (3312 bytes/sec)

请参阅文本编辑器视图的

注意: 如果您的安全策略要求以加密格式安全存储纯文本口令,请考虑在 ASA 版本 8.3.1 中引入的管理员密码短语功能。以下命令是针对此功能引入的。

  • key config-key password-encryption

  • password encryption aes

有关详细信息,请参阅 ASA 版本 8.3 发行版本注释新功能部分。

这是链路到在解释步骤leavingcisco.com 恢复在PIX/ASA的预先共享密钥的Cisco支持社区的一个视频:

在PIX/ASA的预先共享密钥恢复leavingcisco.com

preshared-key-recover-2.gif


相关信息


Document ID: 82076