¿Tiene una cuenta?
El código Cisco IOS® Software Release 12.3(2)T introduce funciones que permiten que el router cifre la clave ISAKMP previamente compartida en el formato seguro de tipo 6 en la memoria RAM no volátil (NVRAM). La clave previamente compartida que se cifrará se puede configurar como estándar, bajo un anillo fundamental ISAKMP, en el modo agresivo o como un contraseña de grupo bajo una configuración de cliente o servidor EzVPN. Esta configuración de ejemplo muestra cómo configurar el cifrado de las claves previamente compartidas existentes y nuevas.
No hay requisitos específicos para este documento.
La información de este documento se basa en esta versión del software:
Versión 12.3(2)T del software del IOS de Cisco
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.
Esta sección le presenta la información que puede utilizar para configurar las características que describe este documento.
Nota: Utilice la herramienta Command Lookup (sólo para clientes registrados) para obtener más información sobre los comandos utilizados en esta sección.
Estos dos nuevos comandos se introducen para habilitar el cifrado de clave previamente compartida:
key config-key password-encryption [master key]
password encryption aes
La [clave maestra] es la contraseña/clave utilizada para cifrar todas las demás claves en la configuración del router con el uso de un cifrado simétrico de Estándar de cifrado avanzado (AES). La clave maestra no se almacena en la configuración del router y no se puede ver ni obtener de ninguna manera mientras se conecta al router.
Una vez configurada, la clave maestra se utiliza para cifrar cualquier clave existente o nueva en la configuración del router. Si la [clave maestra] no se especifica en la línea de comandos, el router solicita al usuario que introduzca la clave y que vuelva a introducirla para verificarla. Si ya existe una clave, se solicita al usuario que introduzca primero la antigua. Las claves no se cifran hasta que ejecute el comando password encryption aes.
La clave maestra se puede cambiar (aunque esto no debería ser necesario a menos que la clave se haya visto comprometida de alguna manera) ejecutando la clave config-key... de nuevo con el nuevo [master-key] . Cualquier clave cifrada existente en la configuración del router se vuelve a cifrar con la nueva clave.
Puede eliminar la clave maestra cuando ejecute el comando no key config-key.... Sin embargo, esto hace que todas las claves configuradas actualmente en la configuración del router sean inútiles (se muestra un mensaje de advertencia que detalla esto y confirma la eliminación de la clave maestra). Dado que la clave maestra ya no existe, el router no puede descifrar las contraseñas de tipo 6 y usarlas.
Nota: Por razones de seguridad, ni la eliminación de la clave maestra ni el comando password encryption aes descifra las contraseñas en la configuración del router. Una vez que las contraseñas se cifran, no se descifran. Las claves cifradas existentes en la configuración aún pueden descifrarse siempre que la clave maestra no se elimine.
Además, para ver los mensajes de tipo debug de las funciones de encripción de contraseñas, utilice el comando password logging en el modo de configuración.
Este documento utiliza estas configuraciones en el router:
Cifrar la clave previamente compartida existente |
---|
Router#show running-config Building configuration... . .crypto isakmp policy 10 authentication pre-share crypto isakmp key cisco123 address 10.1.1.1 . . endRouter#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#key config-key password-encrypt testkey123 Router(config)#password encryption aes Router(config)#^Z Router# Router#show running-config Building configuration... . . password encryption aes . . crypto isakmp policy 10 authentication pre-share crypto isakmp key 6 FLgBaJHXdYY_AcHZZMgQ_RhTDJXHUBAAB address 10.1.1.1 . . end |
Agregar una nueva clave maestra de forma interactiva |
---|
Router(config)#key config-key password-encrypt New key: |
Modificar la clave maestra existente de forma interactiva |
---|
Router(config)#key config-key password-encrypt Old key: |
Eliminación de la clave maestra |
---|
Router(config)#no key config-key password-encrypt WARNING: All type 6 encrypted keys will become unusable Continue with master key deletion ? [yes/no]: yes Router(config)# |
Actualmente, no hay un procedimiento de verificación disponible para esta configuración.
Actualmente, no hay información específica de troubleshooting disponible para esta configuración.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
19-Jan-2006 |
Versión inicial |