Cisco IOS 라우터에서 사전 공유 키 암호화 구성

소개

Cisco IOS® Software Release 12.3(2)T 코드에서는 라우터가 비휘발성 RAM(NVRAM)의 보안 유형 6 형식으로 ISAKMP 사전 공유 키를 암호화할 수 있는 기능을 소개합니다. 암호화할 사전 공유 키는 표준, ISAKMP 키 링 아래, 적극적인 모드 또는 EzVPN 서버 또는 클라이언트 설정에서 그룹 비밀번호로 구성할 수 있습니다.이 샘플 컨피그레이션에서는 기존 키와 새 사전 공유 키 모두의 암호화를 설정하는 방법을 자세히 설명합니다.

사전 요구 사항

요구 사항

이 문서에 대한 특정 요건이 없습니다.

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 버전을 기반으로 합니다.

• Cisco IOS Software 릴리스 12.3(2)T

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 규칙을 참조하십시오.

구성

이 섹션에서는 이 문서에서 설명하는 기능을 구성하는 데 사용할 수 있는 정보를 제공합니다.

참고: 명령 조회 도구(등록된 고객만 해당)를 사용하여 이 섹션에 사용된 명령에 대한 자세한 내용을 확인하십시오.

사전 공유 키 암호화를 활성화하기 위해 다음 두 가지 새로운 명령이 도입되었습니다.

• key config-key password-encryption [master key]

• 비밀번호 암호화 aes

[master key]는 AES(Advance Encryption Standard) 대칭 암호를 사용하여 라우터 컨피그레이션의 다른 모든 키를 암호화하는 데 사용되는 암호/키입니다.마스터 키는 라우터 컨피그레이션에 저장되지 않으며 라우터에 연결되어 있는 동안에는 어떤 식으로도 보거나 가져올 수 없습니다.

구성된 마스터 키는 라우터 컨피그레이션에서 기존 또는 새 키를 암호화하는 데 사용됩니다.[master key]가 명령줄에 지정되지 않은 경우 라우터는 사용자에게 키를 입력하고 확인을 위해 키를 다시 입력하라는 메시지를 표시합니다.키가 이미 있는 경우 사용자에게 먼저 이전 키를 입력하라는 메시지가 표시됩니다.키는 password encryption aes 명령을 실행할 때까지 암호화되지 않습니다.

key config-key.. 명령을 새 [master-key]로 다시 실행하여 마스터 키를 변경할 수 있습니다(어떤 식으로든 키가 손상되지 않은 경우에는 이가 필요하지 않음).라우터 컨피그레이션의 기존 암호화 키는 새 키로 다시 암호화됩니다.

no key config-key를 실행할 때 마스터 키를 삭제할 수 있습니다...그러나 이렇게 하면 라우터 컨피그레이션에서 현재 구성된 모든 키가 무용지물이 됩니다(이에 대한 세부 정보를 표시하고 마스터 키 삭제를 확인하는 경고 메시지가 표시됨). 마스터 키가 더 이상 존재하지 않으므로 유형 6 비밀번호는 암호화되지 않고 라우터에서 사용할 수 없습니다.

참고: 보안상의 이유로 마스터 키를 제거하거나 password encryption aes 명령을 제거해도 라우터 컨피그레이션에서 비밀번호가 암호화되지 않습니다.비밀번호가 암호화되면 암호화되지 않습니다.마스터 키를 제거하지 않으면 컨피그레이션의 기존 암호화 키는 여전히 암호화되지 않습니다.

또한 비밀번호 암호화 기능의 디버그 유형 메시지를 보려면 컨피그레이션 모드에서 password logging 명령을 사용합니다.

구성

이 문서에서는 라우터에서 다음 컨피그레이션을 사용합니다.

• 기존 사전 공유 키 암호화

• 대화식으로 새 마스터 키 추가

• 대화식으로 기존 마스터 키 수정

• 마스터 키 삭제

Router#show running-config 
Building configuration...
.
.crypto isakmp policy 10
 authentication pre-share
crypto isakmp key cisco123 address 10.1.1.1
.
.
endRouter#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#key config-key password-encrypt testkey123
Router(config)#password encryption aes
Router(config)#^Z
Router#
Router#show running-config 
Building configuration...
.
.
password encryption aes
.
.
crypto isakmp policy 10
 authentication pre-share
crypto isakmp key 6 FLgBaJHXdYY_AcHZZMgQ_RhTDJXHUBAAB address 10.1.1.1
.
.
end

Router(config)#key config-key password-encrypt 
New key: 
         
         
Confirm key: 
         
         
Router(config)#

Router(config)#key config-key password-encrypt
 Old key: 
         
         
New key: 
         
         
Confirm key: 
         
         
Router(config)#
*Jan  7 01:42:12.299: TYPE6_PASS: Master key change heralded, 
re-encrypting the keys with the new master key

Router(config)#no key config-key password-encrypt 
WARNING: All type 6 encrypted keys will become unusable
Continue with master key deletion ? [yes/no]: yes
Router(config)#

다음을 확인합니다.

현재 이 구성에 대해 사용 가능한 확인 절차가 없습니다.

문제 해결

현재 이 컨피그레이션에 사용할 수 있는 특정 문제 해결 정보가 없습니다.

관련 정보

• 암호화된 사전 공유 키
• IPsec 지원 페이지
• 기술 지원 및 문서 − Cisco Systems

개정 이력