Inleiding
Dit document beschrijft hoe u codering van zowel huidige als nieuwe vooraf gedeelde sleutels in een router kunt instellen.
Voorwaarden
Vereisten
Er zijn geen specifieke vereisten van toepassing op dit document.
Gebruikte componenten
De informatie in dit document is gebaseerd op deze softwareversie:
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Conventies
Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.
Achtergrondinformatie
Cisco IOS-softwarerelease 12.3(2)T-code introduceert de functionaliteit waarmee de router de vooraf gedeelde sleutel van Internet Security Association en Key Management Protocol (ISAKMP) in een veilig type 6-formaat kan versleutelen in niet-vluchtig RAM, niet-vluchtig RAM (NVRAM). De te versleutelen vooraf gedeelde sleutel kan worden geconfigureerd als standaard, onder een ISAKMP-sleutelring, in agressieve modus, of als groepswachtwoord onder een eenvoudige VPN-server (EzVPN) of clientinstelling.
Configureren
In deze sectie vindt u de informatie die u kunt gebruiken om de functies te configureren die in dit document worden beschreven.
Opmerking: Gebruik de Command Lookup Tool om meer informatie te verkrijgen over de opdrachten die in deze sectie worden gebruikt.
Opmerking: Alleen geregistreerde Cisco-gebruikers kunnen toegang krijgen tot interne Cisco-tools en -informatie.
Deze twee opdrachten zijn geïntroduceerd om vooraf gedeelde sleutelcodering mogelijk te maken:
De [primaire sleutel] is het wachtwoord/de sleutel die wordt gebruikt om alle andere sleutels in de routerconfiguratie te versleutelen met het gebruik van een symmetrisch algoritme van de Advanced Encryption Standard (AES). De primaire sleutel wordt niet opgeslagen in de routerconfiguratie en kan niet op enige wijze worden gezien of verkregen terwijl verbonden met de router.
Na configuratie wordt de primaire sleutel gebruikt om huidige of nieuwe sleutels in de routerconfiguratie te versleutelen. Als de [primaire sleutel] niet op de opdrachtregel is gespecificeerd, vraagt de router de gebruiker om de sleutel in te voeren en deze opnieuw in te voeren voor verificatie. Als er al een toets bestaat wordt de gebruiker gevraagd eerst de oude toets in te voeren. Toetsen worden niet versleuteld tot u de opdracht wachtwoordversleuteling uitgeeft.
De primaire sleutel kan worden veranderd (hoewel dit niet noodzakelijk is tenzij de sleutel op een bepaalde manier is gecompromitteerd) met de sleutel... opnieuw opdracht geven met de nieuwe [primaire toets]. Alle huidige versleutelde sleutels in de routerconfiguratie worden opnieuw versleuteld met de nieuwe sleutel.
U kunt de primaire sleutel verwijderen wanneer u de no key config-key.... Dit maakt echter alle momenteel geconfigureerde toetsen in de routerconfiguratie nutteloos (een waarschuwingsbericht geeft weer dat dit gedetailleerd weergeeft en de primaire sleutelverwijdering bevestigt). Aangezien de primaire sleutel niet meer bestaat, kunnen de type 6 wachtwoorden niet worden gedecrypteerd en door de router worden gebruikt.
Opmerking: Om veiligheidsredenen worden de wachtwoorden in de routerconfiguratie niet gedecodeerd door de opdracht de primaire sleutel te verwijderen of door de wachtwoordcodering te verwijderen. Zodra wachtwoorden worden versleuteld, worden ze niet gedecodeerd. Huidige versleutelde sleutels in de configuratie kunnen nog steeds worden gedecrypteerd op voorwaarde dat de primaire sleutel niet wordt verwijderd.
Bovendien om debug-type berichten van de functies van de wachtwoordencryptie te zien, gebruik het bevel van het wachtwoordregistreren in de configuratiewijze.
Configuraties
Dit document gebruikt deze configuraties op de router:
De huidige voorgedeelde sleutel versleutelen |
Router#show running-config
Building configuration...
.
.crypto isakmp policy 10
authentication pre-share
crypto isakmp key cisco123 address 10.1.1.1
.
.
endRouter#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#key config-key password-encrypt testkey123
Router(config)#password encryption aes
Router(config)#^Z
Router#
Router#show running-config
Building configuration...
.
.
password encryption aes
.
.
crypto isakmp policy 10
authentication pre-share
crypto isakmp key 6 FLgBaJHXdYY_AcHZZMgQ_RhTDJXHUBAAB address 10.1.1.1
.
.
end |
Interactief een nieuwe primaire sleutel toevoegen |
Router(config)#key config-key password-encrypt
New key:
Confirm key:
Router(config)# |
Interactief de huidige primaire sleutel wijzigen |
Router(config)#key config-key password-encrypt
Old key:
New key:
Confirm key:
Router(config)#
*Jan 7 01:42:12.299: TYPE6_PASS: Master key change heralded,
re-encrypting the keys with the new primary key |
De primaire sleutel verwijderen |
Router(config)#no key config-key password-encrypt
WARNING: All type 6 encrypted keys will become unusable
Continue with primary key deletion ? [yes/no]: yes
Router(config)# |
Verifiëren
Er is momenteel geen verificatieprocedure beschikbaar voor deze configuratie.
Problemen oplossen
Er is momenteel geen specifieke informatie over probleemoplossing beschikbaar voor deze configuratie.
Gerelateerde informatie