Chiavi pre-condivise archiviate in modo sicuro in un router

Opzioni per il download

PDF (258.9 KB)
Visualizza con Adobe Reader su diversi dispositivi
ePub (82.2 KB)
Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
Mobi (Kindle) (68.5 KB)
Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi

Aggiornato:8 dicembre 2025

ID documento:46420

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Sommario

Informazioni correlate

Introduzione

In questo documento viene descritto come impostare la crittografia delle chiavi pre-condivise nuove ed esistenti in un router.

Prerequisiti

Requisiti

Nessun requisito specifico previsto per questo documento.

Componenti usati

Le informazioni di questo documento si basano sulla seguente versione del software:

Software Cisco IOS XE® versione 16.9

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Convenzioni

Fare riferimento a Cisco Technical Tips Conventions per ulteriori informazioni sulle convenzioni dei documenti.

Premesse

Il codice Cisco IOS versione 12.3(2)T introduce la funzionalità che consente al router di crittografare la chiave precondivisa ISAKMP (Internet Security Association and Key Management Protocol) in formato sicuro di tipo 6 in una memoria RAM non volatile, NVRAM (Non-Volatile RAM). La chiave precondivisa da crittografare può essere configurata come standard, sotto un anello di chiave ISAKMP, in modalità aggressiva, o come password di gruppo in un'installazione client o server Easy Virtual Private Network (EzVPN).

Configurazione

In questa sezione vengono presentate le informazioni che è possibile utilizzare per configurare le funzionalità descritte nel documento.

Questi due comandi sono stati introdotti per abilitare la crittografia a chiave già condivisa:

key config-key password-encryption [primary key]
crittografia password

La [chiave primaria] è la password/chiave utilizzata per crittografare tutte le altre chiavi nella configurazione del router con l'utilizzo della cifratura simmetrica AES (Advanced Encryption Standard). La chiave primaria non viene archiviata nella configurazione del router e non può essere visualizzata o ottenuta in alcun modo durante la connessione al router.

Dopo la configurazione, la chiave primaria viene utilizzata per crittografare le chiavi nuove o correnti nella configurazione del router. Se la [chiave primaria] non è specificata nella riga di comando, il router chiederà all'utente di immettere la chiave e di immetterla nuovamente per la verifica. Se esiste già una chiave, all'utente viene richiesto di immettere prima la vecchia chiave. Le chiavi non vengono crittografate fino a quando non si esegue il comando password encryption.

La chiave primaria può essere modificata con la chiave di configurazione della chiave (sebbene ciò non sia necessario a meno che la chiave non sia stata in qualche modo compromessa). con il nuovo [primary-key]. Tutte le chiavi crittografate correnti nella configurazione del router vengono crittografate nuovamente con la nuova chiave.

È possibile eliminare la chiave primaria quando si esegue il comando no key config-key.... In questo modo, tuttavia, tutte le chiavi configurate nella configurazione del router vengono rese inutili (viene visualizzato un messaggio di avviso che informa in dettaglio su questa operazione e conferma l'eliminazione della chiave primaria). Poiché la chiave primaria non esiste più, le password di tipo 6 non possono essere decrittografate e utilizzate dal router.

Nota: Per motivi di sicurezza, le password nella configurazione del router non vengono decrittografate né dalla rimozione della chiave primaria né dal comando aes per la crittografia della password. Una volta crittografate, le password non vengono decrittografate. È comunque possibile decrittografare le chiavi crittografate correnti della configurazione, a condizione che la chiave primaria non venga rimossa.

Inoltre, per visualizzare messaggi di tipo debug relativi a funzioni di crittografia della password, usare il comando password logging in modalità di configurazione.

Configurazioni

Questo documento utilizza queste configurazioni sul router:

Crittografa la chiave già condivisa corrente
Router#show running-config Building configuration... ! crypto isakmp policy 10 authentication pre-share crypto isakmp key cisco123 address 10.1.1.1 ! <output omitted> ! end Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#key config-key password-encrypt testkey123 Router(config)#password encryption aes Router(config)#^Z Router# Router#show running-config Building configuration... ! ! password encryption aes ! ! crypto isakmp policy 10 authentication pre-share crypto isakmp key 6 FLgBaJHXdYY_AcHZZMgQ_RhTDJXHUBAAB address 10.1.1.1 ! <output omitted> ! end

Crittografa la chiave già condivisa corrente

Router#show running-config 
Building configuration...
!
crypto isakmp policy 10
 authentication pre-share
crypto isakmp key cisco123 address 10.1.1.1
!
<output omitted>
!
end

Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#key config-key password-encrypt testkey123
Router(config)#password encryption aes
Router(config)#^Z
Router#
Router#show running-config 
Building configuration...
!
!
password encryption aes
!
!
crypto isakmp policy 10
 authentication pre-share
crypto isakmp key 6 FLgBaJHXdYY_AcHZZMgQ_RhTDJXHUBAAB address 10.1.1.1
!
<output omitted>
!
end

Aggiungi nuova chiave primaria in modo interattivo
Router(config)#key config-key password-encrypt New key: Confirm key: Router(config)#

Modifica interattiva della chiave primaria corrente
Router(config)#key config-key password-encrypt Old key: New key: Confirm key: Router(config)# *Jan 7 01:42:12.299: TYPE6_PASS: Master key change heralded, re-encrypting the keys with the new primary key

Modifica interattiva della chiave primaria corrente

Router(config)#key config-key password-encrypt
 Old key: 
New key: 
Confirm key: 
Router(config)#
*Jan  7 01:42:12.299: TYPE6_PASS: Master key change heralded, re-encrypting the keys with the new primary key

Elimina chiave primaria
Router(config)#no key config-key password-encrypt WARNING: All type 6 encrypted keys will become unusable Continue with primary key deletion ? [yes/no]: yes Router(config)#