1. No category

PDF

PIX/ASA 7.x:事前共有キーの回復
PIX/ASA 7.x:事前共有キーの回復
目次
概要
前提条件
要件
使用するコンポーネント
関連製品
表記法
問題
解決策
解決策 1
解決策 2
解決策 3
解決策 4
関連情報
概要
このドキュメントでは、PIX/ASA セキュリティ アプライアンスで事前共有キーを回復する方法を説明します。
前提条件
要件
このドキュメントでは、VPN 設定を含めてセキュリティ アプライアンスをすでに設定してあり、認証パラメータとして事前共有
キーを設定してあると想定しています。
使用するコンポーネント
このドキュメントの情報は、ソフトウェア バージョン 7.x 以降を実行する Cisco PIX 500 シリーズ ファイアウォールに基づく
ものです。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用されるデバ
イスはすべて、初期設定(デフォルト)の状態から作業を開始しています。ネットワークが稼働中の場合は、コマンドが及ぼす潜
在的な影響を十分に理解しておく必要があります。
関連製品
このドキュメントは、ソフトウェア バージョン 7.x 以降を実行する Cisco 5500 シリーズ適応型セキュリティ アプライアンス
(ASA)でも使用できます。
表記法
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
問題
設定した事前共有キーは暗号化されて、実行中の設定では参照できません。「*******」として表示されます。
例:
pixfirewall#show running-config
Cryptochecksum: 1b6862ce 661c9155 ff13b462 7b11c531
: Saved
: Written by enable_15 at 00:38:35.188 UTC Fri Feb 16 2007
!
PIX Version 7.2(2)
!
hostname pixfirewall
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
nameif inside
security-level 100
ip address 172.16.124.1 255.255.255.0
crypto isakmp policy 1
authentication pre-share
encryption des
hash md5
group 2
lifetime 86400
!--- 出力を省略。
tunnel-group mytunnel type ipsec-ra
tunnel-group mytunnel general-attributes
default-group-policy myGROUP
tunnel-group mytunnel ipsec-attributes
pre-shared-key *
telnet timeout 5
ssh timeout 5
解決策
この問題を解決するには、ここに示す任意の解決策を使用します。
解決策 1
VPN 設定の事前共有キーを回復するには more system:running-config コマンドを発行します。このコマンドは、事前共有キーを
クリア テキスト形式で表示します。
例:
pixfirewall#more system:running-config
Cryptochecksum: 1b6862ce 661c9155 ff13b462 7b11c531
: Saved
: Written by enable_15 at 00:38:35.188 UTC Fri Feb 16 2007
!
PIX Version 7.2(2)
!
hostname pixfirewall
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
nameif inside
security-level 100
ip address 172.16.124.1 255.255.255.0
crypto isakmp policy 1
authentication pre-share
encryption des
hash md5
group 2
lifetime 86400
!--- 出力を省略。
tunnel-group mytunnel type ipsec-ra
tunnel-group mytunnel general-attributes
default-group-policy myGROUP
tunnel-group mytunnel ipsec-attributes
pre-shared-key cisco
telnet timeout 5
ssh timeout 5
解決策 2
設定を TFTP サーバにコピーします。TFTP サーバに送信された設定では事前共有キーがクリア テキストで表示されるためこの作
業が必要になります(show run コマンドのように ******** で表示されない)。
次のコマンドを発行して、TFTP サーバに設定をコピーします。
ASA#write net [[tftp server_ip]:[filename]]:
または
ASA#copy running-config tftp:
ファイルを TFTP サーバに保存すると、テキスト エディタで開いてパスワードをクリア テキストで表示できます。
例:
pixfirewall#copy running-config tftp:
Source filename [running-config]?
Address or name of remote host []? 172.16.124.2
Destination filename [running-config]?
Cryptochecksum: 1b6862ce 661c9155 ff13b462 7b11c531
!
3312 bytes copied in 0.420 secs
テキスト エディタ表示
このコマンドの詳細については、『Cisco セキュリティ アプライアンス コマンド リファレンス』の「write net」セクションを
参照してください。
解決策 3
クリア テキストの事前共有キーを取得するには、HTTPS を介して PIX/ASA にアクセスします。
PIX/ASA 設定にアクセスするためのユーザ名およびパスワードを作成します。
pix(config)#username username password password
セキュリティ アプライアンスの HTTP サーバをイネーブルにするには、グローバル コンフィギュレーション モードで http
server enable コマンドを使用します。HTTP サーバをディセーブルにするには、このコマンドの no 形式を使用します。
hostname(config)#http server enable
セキュリティ アプライアンスの内部 HTTP サーバにアクセスできるホストを指定するには、グローバル コンフィギュレーション
モードで http コマンドを使用します。1 つ以上のホストを削除するには、このコマンドの no 形式を使用します。設定から属性
を削除するには、このコマンドの no 形式を引数なしで使用します。
hostname(config)#http 10.10.99.1 255.255.255.255 outside
この例に示すように、ユーザ名およびパスワードを使用してブラウザから PIX/ASA にログインします。
https://10.10.99.1/config
解決策 4
設定を FTP サーバにアップロードすることもできます。コマンドは次のとおりです。
ASA#copy running-config ftp:<url>
例:
ASA#copy run ftp://172.16.124.2/running-config
Source filename [running-config]?
Address or name of remote host [172.16.124.2]?
Destination filename [running-config]?
Cryptochecksum: 1b6862ce 661c9155 ff13b462 7b11c531
!
3312 bytes copied in 1.120 secs (3312 bytes/sec)
テキスト エディタ表示については、図を参照してください。
注:セキュリティ ポリシーで、プレーン テキスト パスワードを安全に保管するために暗号化形式にすることが必要とされてい
る場合は、ASA バージョン 8.3.1 で導入されたマスター パスフレーズ機能を検討してください。この機能のために次のコマンド
が導入されました。
key config-key password-encryption
password encryption aes
詳細については、『ASA バージョン 8.3 リリース ノート』の「新機能」セクションを参照してください。
Cisco サポート コミュニティに、PIX/ASA で事前共有キーを回復する手順を説明する動画があります。
Pre-shared key recovery on PIX/ASA
関連情報
Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンスに関するサポート ページ(英語)
テクニカルサポートとドキュメント:シスコ
1992 - 2014 Cisco Systems, Inc. All rights reserved.
Updated: 2012 年 12 月 18 日
http://www.cisco.com/cisco/web/support/JP/111/1116/1116806_preshared-key-recover-j.html
Document ID: 82076

 Download  Report

Paperzz.com

Your Paperzz

© Copyright 2026 Paperzz