IBM テクノロジー : Cisco PIX 500 シリーズ セキュリティ アプライアンス

PIX/ASA 7.x:事前共有キーの回復

2012 年 12 月 18 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2007 年 7 月 24 日) | フィードバック

PIX/ASA 7.x:事前共有キーの回復

概要

このドキュメントでは、PIX/ASA セキュリティ アプライアンスで事前共有キーを回復する方法を説明します。

前提条件

要件

このドキュメントでは、VPN 設定を含めてセキュリティ アプライアンスをすでに設定してあり、認証パラメータとして事前共有キーを設定してあると想定しています。

使用するコンポーネント

このドキュメントの情報は、ソフトウェア バージョン 7.x 以降を実行する Cisco PIX 500 シリーズ ファイアウォールに基づくものです。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用されるデバイスはすべて、初期設定(デフォルト)の状態から作業を開始しています。ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

関連製品

このドキュメントは、ソフトウェア バージョン 7.x 以降を実行する Cisco 5500 シリーズ適応型セキュリティ アプライアンス(ASA)でも使用できます。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

問題

設定した事前共有キーは暗号化されて、実行中の設定では参照できません。「*******」として表示されます。

例:

pixfirewall#show running-config
Cryptochecksum: 1b6862ce 661c9155 ff13b462 7b11c531
: Saved
: Written by enable_15 at 00:38:35.188 UTC Fri Feb 16 2007
!
PIX Version 7.2(2)
!
hostname pixfirewall
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 nameif inside
 security-level 100
 ip address 172.16.124.1 255.255.255.0

crypto isakmp policy 1
 authentication pre-share
 encryption des
 hash md5
 group 2
 lifetime 86400

!--- 出力を省略。

tunnel-group mytunnel type ipsec-ra
tunnel-group mytunnel general-attributes
 default-group-policy myGROUP
tunnel-group mytunnel ipsec-attributes
 pre-shared-key *
telnet timeout 5
ssh timeout 5

解決策

この問題を解決するには、ここに示す任意の解決策を使用します。

解決策 1

VPN 設定の事前共有キーを回復するには more system:running-config コマンドを発行します。このコマンドは、事前共有キーをクリア テキスト形式で表示します。

例:

pixfirewall#more system:running-config
Cryptochecksum: 1b6862ce 661c9155 ff13b462 7b11c531
: Saved
: Written by enable_15 at 00:38:35.188 UTC Fri Feb 16 2007
!
PIX Version 7.2(2)
!
hostname pixfirewall
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 nameif inside
 security-level 100
 ip address 172.16.124.1 255.255.255.0

crypto isakmp policy 1
 authentication pre-share
 encryption des
 hash md5
 group 2
 lifetime 86400

!--- 出力を省略。

tunnel-group mytunnel type ipsec-ra
tunnel-group mytunnel general-attributes
 default-group-policy myGROUP
tunnel-group mytunnel ipsec-attributes
 pre-shared-key cisco
telnet timeout 5
ssh timeout 5

解決策 2

設定を TFTP サーバにコピーします。TFTP サーバに送信された設定では事前共有キーがクリア テキストで表示されるためこの作業が必要になります(show run コマンドのように ******** で表示されない)。

次のコマンドを発行して、TFTP サーバに設定をコピーします。

ASA#write net [[tftp server_ip]:[filename]]: 

または

ASA#copy running-config tftp: 

ファイルを TFTP サーバに保存すると、テキスト エディタで開いてパスワードをクリア テキストで表示できます。

例:

pixfirewall#copy running-config tftp: 

Source filename [running-config]?

Address or name of remote host []? 172.16.124.2

Destination filename [running-config]?
Cryptochecksum: 1b6862ce 661c9155 ff13b462 7b11c531
!
3312 bytes copied in 0.420 secs
テキスト エディタ表示

preshared-key-recover-1.gif

このコマンドの詳細については、『Cisco セキュリティ アプライアンス コマンド リファレンス』の「write net」セクションを参照してください。

解決策 3

クリア テキストの事前共有キーを取得するには、HTTPS を介して PIX/ASA にアクセスします。

PIX/ASA 設定にアクセスするためのユーザ名およびパスワードを作成します。

pix(config)#username username password password

セキュリティ アプライアンスの HTTP サーバをイネーブルにするには、グローバル コンフィギュレーション モードで http server enable コマンドを使用します。HTTP サーバをディセーブルにするには、このコマンドの no 形式を使用します。

hostname(config)#http server enable 

セキュリティ アプライアンスの内部 HTTP サーバにアクセスできるホストを指定するには、グローバル コンフィギュレーション モードで http コマンドを使用します。1 つ以上のホストを削除するには、このコマンドの no 形式を使用します。設定から属性を削除するには、このコマンドの no 形式を引数なしで使用します。

hostname(config)#http 10.10.99.1 255.255.255.255 outside

この例に示すように、ユーザ名およびパスワードを使用してブラウザから PIX/ASA にログインします。

https://10.10.99.1/config

解決策 4

設定を FTP サーバにアップロードすることもできます。コマンドは次のとおりです。

ASA#copy running-config ftp:<url>

例:

ASA#copy run ftp://172.16.124.2/running-config

Source filename [running-config]?

Address or name of remote host [172.16.124.2]?

Destination filename [running-config]?
Cryptochecksum: 1b6862ce 661c9155 ff13b462 7b11c531
!
3312 bytes copied in 1.120 secs (3312 bytes/sec)

テキスト エディタ表示については、を参照してください。

注:セキュリティ ポリシーで、プレーン テキスト パスワードを安全に保管するために暗号化形式にすることが必要とされている場合は、ASA バージョン 8.3.1 で導入されたマスター パスフレーズ機能を検討してください。この機能のために次のコマンドが導入されました。

  • key config-key password-encryption

  • password encryption aes

詳細については、『ASA バージョン 8.3 リリース ノート』の「新機能」セクションを参照してください。

Cisco サポート コミュニティleavingcisco.comに、PIX/ASA で事前共有キーを回復する手順を説明する動画があります。

Pre-shared key recovery on PIX/ASA leavingcisco.com

preshared-key-recover-2.gif

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 82076