Зашифруйте Ключи Pre-shared в Примере Конфигурации маршрутизатора Cisco IOS

Зашифруйте Ключи Pre-shared в Примере Конфигурации маршрутизатора Cisco IOS

Содержание

Введение

Предварительные условия

Требования

Используемые компоненты

Условные обозначения

Конфигурация

Конфигурации

Введение

Релиз 12.3 Программного обеспечения CISCO IOS (2) код T вводит функциональные возможности, которые разрешают
маршрутизатору шифровать предварительный ключ ISAKMP в безопасном типе 6 форматов в энергонезависимой памяти (NVRAM).
Предварительный ключ, который будет зашифрован, может быть настроен или как стандарт, под кольцом ключей ISAKMP, в
агрессивном режиме, или как пароль группы под установкой клиента или сервером EzVPN. Этот пример конфигурации детализирует,
как установить шифрование и существующих и новых предварительных ключей.

Предварительные условия
Требования
Для этого документа нет особых требований.
Используемые компоненты
Сведения в этом документе основаны на этой версии программного обеспечения:
ПО Cisco IOS версии 12.3(2)T
Приводимые в документе сведения были получены в специально созданных лабораторных условиях. Все устройства, упоминаемые в
этом документе, запускались с настройками, сброшенными до начальных (заводских). Если ваша сеть работает в реальных условиях,
необходимо четко понимать последствия применения каждой команды.

Конфигурация
В данном разделе приводятся сведения о настройке функций, описанных в этом документе.

Эти две новых команды введены, чтобы включить шифрование предварительного ключа:


key config-key  password-encryption [владелец ключ]

шифрование пароля aES.

[Главный ключ] пароль/ключ, используемый, чтобы зашифровать все другие ключи в конфигурации маршрутизатора с использованием
Стандарта шифрования Прогресса (AES) симметрический шифр. Главный ключ не сохранен в конфигурации маршрутизатора и не
может быть замечен или получен в любом случае в то время как связано с маршрутизатором.
После того, как настроенный, главный ключ используется, чтобы зашифровать любые существующие или новые ключи в
конфигурации маршрутизатора. Если [владелец ключ] не задан на командной строке, подсказки маршрутизатора пользователь, чтобы
ввести ключ и повторно войти в это для проверки. Если ключ уже существует, пользователь побужден ввести старый ключ сначала.
Ключи не зашифрованы, пока Вы не выполняете шифрование пароля команда aes.
Главный ключ может быть изменен (хотя это не должно быть необходимо, если ключ не стал поставившим под угрозу в некотором
роде), выполняя key config-key… дают команду снова с новым [отмычка]. Любые существующие encrypted ключи в конфигурации
маршрутизатора повторно шифруются с новым ключом.
Вы можете удалить главный ключ, когда Вы не выполняете ключ ключ конфигурации…. Однако, это отдает все в настоящее время
настраиваемые ключи в бесполезной конфигурации маршрутизатора (предупреждающее сообщение отображает, который детализирует
это и подтверждает удаление главного ключа). Так как главный ключ больше не существует, тип 6 паролей не могут быть неencrypted и
не использоваться маршрутизатором.
Примечание: Для соображений безопасности ни удаление главного ключа, ни удаление команды password encryption aes не
нешифруют пароли в конфигурации маршрутизатора. Как только пароли зашифрованы, они весьма encrypted. Существующие encrypted
ключи в конфигурации все еще в состоянии быть неencrypted, если главный ключ не удален.
Дополнительно, чтобы видеть отладку – сообщения type функций шифрования пароля, используйте команду password logging в
режиме конфигурации.

Конфигурации
Этот документ использует эти конфигурации на маршрутизаторе:

  • Зашифруйте Существующий Pre-shared Key (Ключ)
  • Добавьте Новый основной Ключ В интерактивном режиме
  • Измените Существующий основной Ключ В интерактивном режиме
  • Удалите Master Key (Ключ)

Зашифруйте Существующий Ключ Pre-shared


Router#show running-config
Building  configuration...
.
.crypto isakmp policy 10
authentication  pre-share
crypto isakmp key cisco123 address 10.1.1.1
..
endRouter#configure  terminal
Enter configuration commands, one per line. End with  CNTL/Z.
Router(config)#key config-key password-encrypt testkey123
Router(config)#password  encryption aes
Router(config)#^Z
Router#
Router#show  running-config
Building configuration...
..
password encryption  aes
..
crypto isakmp policy 10
authentication pre-share
crypto  isakmp key 6 FLgBaJHXdYY_AcHZZMgQ_RhTDJXHUBAAB address 10.1.1.1
..
end

Добавьте Новый основной Ключ В интерактивном режиме


Router(config)#key  config-key password-encrypt
New key:
Confirm key:
Router(config)#

Измените Существующий основной Ключ В интерактивном режиме


Router(config)#key  config-key password-encrypt
Old key:
New key:
Confirm key:
Router(config)#
*Jan  7 01:42:12.299: TYPE6_PASS: Master key change heralded,
re-encrypting  the keys with the new master key

Удалите основной Ключ


Router(config)#no key  config-key password-encrypt
WARNING: All type 6 encrypted keys will  become unusable
Continue with master key deletion ? [yes/no]: yes
Router(config)#

Related posts:

  1. OpenVPN. Ключи и «тонкие» настройки Настройки серверной части для OpenVpn Дистрибутив: OpenVPN-сервер версии 2.x (брать...
  2. НАШИ СКРИПТЫ: DHCP LINUX Скрипт dhcp.pl используется для передачи опции DHCP ‘classless static routes’...
You can leave a response, or trackback from your own site.

Оставить комментарий

*