Het configureren van de voorgedeelde toetsen van versleuteling in Cisco IOS-router

Inleiding

Cisco IOS®-softwarerelease 12.3(2)T-code introduceert de functionaliteit waarmee de router de ISAKMP vooraf gedeelde sleutel in veilig type 6-formaat kan versleutelen in niet-vluchtige RAM (NVRAM). De te versleutelen vooraf gedeelde sleutel kan als standaard, onder een ISAKMP-sleutelring, in agressieve modus of als groepswachtwoord worden ingesteld onder een EzVPN-server of client. Deze voorbeeldconfiguratie specificeert hoe u codering van zowel bestaande als nieuwe pre-Shared keys kunt instellen.

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

De informatie in dit document is gebaseerd op deze softwareversie:

• Cisco IOS-softwarerelease 12.3(2)T

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg de Cisco Technical Tips Convention voor meer informatie over documentconventies.

Configureren

In dit gedeelte wordt de informatie gegeven die u kunt gebruiken om de functies te configureren die in dit document worden beschreven.

Opmerking: Gebruik het Opname Gereedschap (alleen geregistreerde klanten) om meer informatie te verkrijgen over de opdrachten die in deze sectie worden gebruikt.

Deze twee nieuwe opdrachten worden toegevoegd om een pre-gedeeld sleutelencryptie mogelijk te maken:

• key bestand-key password-encryptie [master key]

• wachtwoordencryptie

De[master] is het wachtwoord/de toets die wordt gebruikt om alle andere toetsen in de routerconfiguratie te versleutelen met een AES-symmetrisch algoritme (Advance Encryption Standard). De master key is niet opgeslagen in de routerconfiguratie en kan op geen enkele manier worden gezien of verkregen tijdens verbinding met de router.

Zodra geconfigureerd wordt de hoofdtoets gebruikt om bestaande of nieuwe toetsen in de routerconfiguratie te versleutelen. Als de opdrachtregel niet op de opdrachtregel staat, dan vraagt de router de gebruiker om de toets in te voeren en hem opnieuw ter verificatie in te voeren. Als er al een toets bestaat, wordt de gebruiker gevraagd eerst de oude toets in te voeren. Toetsen worden niet versleuteld totdat u de opdracht Wachtwoordencryptie geeft.

De loper-toets kan worden gewijzigd (hoewel dit niet nodig zou moeten zijn, tenzij de toets op een of andere manier is gecompromitteerd) door de key te geven. commando opnieuw met de nieuwe [master-key]. Alle bestaande versleutelde toetsen in de routerconfiguratie worden opnieuw versleuteld met de nieuwe toets.

U kunt de hoofdtoets verwijderen wanneer u de geen sleutel..... Niettemin, geeft dit alle momenteel gevormde toetsen in de routerconfiguratie nutteloos toe (een waarschuwingsbericht toont dat dit gedetailleerd is en de hoofdsleutel wisst). Aangezien de hoofdtoets niet meer bestaat, kunnen de wachtwoorden van het type 6 niet worden versleuteld en door de router worden gebruikt.

Opmerking: Om veiligheidsredenen heeft noch de verwijdering van de hoofdtoets, noch de verwijdering van de opdracht voor wachtwoordencryptie de wachtwoorden in de routerconfiguratie verwijderd. Zodra de wachtwoorden zijn versleuteld, worden ze niet versleuteld. Bestaande versleutelde toetsen in de configuratie kunnen nog niet worden versleuteld, mits de hoofdtoets niet wordt verwijderd.

Daarnaast gebruikt u de opdracht wachtwoordvastlegging in de configuratie van de configuratie om meldingen van wachtwoordencryptie te zien.

Configuraties

Dit document gebruikt deze configuraties op de router:

• De bestaande voorgedeelde sleutel versleutelen

• Voeg interactief een nieuwe Master Key toe

• De bestaande hoofdtoets interactief wijzigen

• Verwijdert de hoofdtoets

Router#show running-config 
Building configuration...
.
.crypto isakmp policy 10
 authentication pre-share
crypto isakmp key cisco123 address 10.1.1.1
.
.
endRouter#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#key config-key password-encrypt testkey123
Router(config)#password encryption aes
Router(config)#^Z
Router#
Router#show running-config 
Building configuration...
.
.
password encryption aes
.
.
crypto isakmp policy 10
 authentication pre-share
crypto isakmp key 6 FLgBaJHXdYY_AcHZZMgQ_RhTDJXHUBAAB address 10.1.1.1
.
.
end

Router(config)#key config-key password-encrypt 
New key: 
         
         
Confirm key: 
         
         
Router(config)#

Router(config)#key config-key password-encrypt
 Old key: 
         
         
New key: 
         
         
Confirm key: 
         
         
Router(config)#
*Jan  7 01:42:12.299: TYPE6_PASS: Master key change heralded, 
re-encrypting the keys with the new master key

Router(config)#no key config-key password-encrypt 
WARNING: All type 6 encrypted keys will become unusable
Continue with master key deletion ? [yes/no]: yes
Router(config)#

Verifiëren

Er is momenteel geen verificatieprocedure beschikbaar voor deze configuratie.

Problemen oplossen

Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie.

Gerelateerde informatie

• Versleutelde gedeelde sleutel
• Ondersteuning van IPsec
• Technische ondersteuning en documentatie – Cisco Systems

Revision History