Seja o primeiro a comentar

Por André Ortega, 17/08/2009 12:30

As VPNs IPSec no PIX/ASA são criadas com base em grupos, e antes do usuário se autenticar o grupo deve ser autenticado. Para isso é configurado no servidor VPN (PIX/ASA) e no client (instalado no computador) o nome e a senha do grupo (Pre-Shared-Key).

Por segurança, após a Pre-Shared-Key do grupo VPN ser configurada ela é criptografada e não é exibida no show running-config. Então o que fazer se você precisa configurar o client para um novo usuário e não sabe a senha do grupo?

Observe que o show-running não exibe a Pre-Shared-Key configurada para o grupo VPNBRAIN:

BrainFW01# show running-config
: Saved
:
ASA Version 8.2(1)
!
hostname BrainFW01
domain-name brainwork.com.br
enable password 1fNd8BA3gg2DMlZx encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names

!——- Parte da configuração foi omitida

interface Ethernet0/0
nameif outside
security-level 0
ip address 200.20.20.2 255.255.255.192 standby 200.20.20.3
!
interface Ethernet0/1
nameif inside
security-level 100
ip address 172.16.0.1 255.255.0.0 standby 172.16.0.2
!
interface Ethernet0/2
nameif DMZ
security-level 50
ip address 10.10.0.1 255.255.255.0 standby 10.10.0.2

!——- Parte da configuração foi omitida

group-policy VPNBRAIN internal
group-policy VPNBRAIN attributes
dns-server value 172.16.0.10 172.16.0.11
vpn-tunnel-protocol IPSec
split-tunnel-policy tunnelspecified
split-tunnel-network-list value VPNBRAIN_splitTunnelAcl
default-domain value brainwork.com.br
username admin password VXSiyjWZ8nmp7vEk encrypted privilege 15
tunnel-group VPNBRAIN type remote-access
tunnel-group VPNBRAIN general-attributes
address-pool vpnpool
default-group-policy VPNBRAIN
tunnel-group VPNBRAIN ipsec-attributes
pre-shared-key *
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns migrated_dns_map_1
parameters
message-length maximum 1024
policy-map global_policy
class inspection_default
inspect dns migrated_dns_map_1
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:759f1e06b7f44fed061aeec19349a730
: end
BrainFW01#

A solução para esta necessidade é simples, a partir da versão 7 do PIX/ASA OS.

Basta logar no equipamento onde a VPN está configurada, e no modo privilegiado digite more system:running-config. Este comando apresentará a running-config com as Pre-Shared-Keys exibidas em “clear text”.

Exemplo do comando more system:running-config, com a Pre-Shared-Key sendo exibida.

BrainFW01# more system:show running-config
: Saved
:
ASA Version 8.2(1)
!
hostname BrainFW01
domain-name brainwork.com.br
enable password 1fNd8BA3gg2DMlZx encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names

!——- Parte da configuração foi omitida

interface Ethernet0/0
nameif outside
security-level 0
ip address 200.20.20.2 255.255.255.192 standby 200.20.20.3
!
interface Ethernet0/1
nameif inside
security-level 100
ip address 172.16.0.1 255.255.0.0 standby 172.16.0.2
!
interface Ethernet0/2
nameif DMZ
security-level 50
ip address 10.10.0.1 255.255.255.0 standby 10.10.0.2

!——- Parte da configuração foi omitida

group-policy VPNBRAIN internal
group-policy VPNBRAIN attributes
dns-server value 172.16.0.10 172.16.0.11
vpn-tunnel-protocol IPSec
split-tunnel-policy tunnelspecified
split-tunnel-network-list value VPNBRAIN_splitTunnelAcl
default-domain value brainwork.com.br
username admin password VXSiyjWZ8nmp7vEk encrypted privilege 15
tunnel-group VPNBRAIN type remote-access
tunnel-group VPNBRAIN general-attributes
address-pool vpnpool
default-group-policy VPNBRAIN
tunnel-group VPNBRAIN ipsec-attributes
pre-shared-key BR@!N#
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns migrated_dns_map_1
parameters
message-length maximum 1024
policy-map global_policy
class inspection_default
inspect dns migrated_dns_map_1
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:759f1e06b7f44fed061aeec19349a730
: end
BrainFW01#

Outra opção é copiar a running-config para um TFTP Server (copy run ftp://172.16.0.20/running-config). A copia da running-config enviada para o servidor TFTP também apresentará a Pre-Shared-Key em “clear text”.

Mais informações no site da Cisco.

Até a próxima.

Seja o primeiro a comentar

Por André Ortega, 06/08/2009 16:19

O programa de mensagens instantâneas da Microsoft é o software mais popular da categoria no Brasil, e no dia 22 de julho completou 10 anos de vida.

O MSN, ou Windows Live Messenger, como é chamado atualmente, conta com mais de 330 milhões de usuários, tem integração com o Hotmail, permite chamadas de voz e vídeo e ainda jogos online. Todas essas funcionalidades foram adicionadas ao longo dos anos, uma vez que em 1999 o programa era utilizados apenas para troca de mensagens.

Parabéns (atrasado) MSN!!!

Até a próxima.

Seja o primeiro a comentar

Por André Ortega, 04/08/2009 06:22

Acho que todo mundo sabe a importância de fazer backups periódicos das configurações dos equipamentos de rede. Com esta prática podemos voltar as configurações rapidamente, caso um problema ocorra, diminuindo consideravelmente o downtime da rede.

A maneira mais fácil de salvar as configurações é através dos emuladores de terminais, como o Hyper Terminal e Tera Terminal. Com eles podemos fazer o backup sem a necessidade de um TFTP Server.

Segue abaixo o procedimento para fazer o backup, utilizando o Hyper Terminal (apesar de não ser meu software favorito, ele vem com o Windows…).

1°)Abra o Hyper Terminal (Iniciar > Todos os Programas > Acessórios > Comunicações > Hyper Terminal), e de um nome qualquer para a conexão (brainwork, por exemplo).

2°) Na tela “Conectar-se”, especifique como será realizada a conexão. Para o acesso via Telnet, selecione “TCP/IP (Winsock)”, no  campo “Conectar-se usando:”.Também poderíamos fazer o acesso via console ou SSH.

3°) Em seguida, coloque o IP do equipamento, já que vamos acessar via Telnet.

4°) Faça o login no equipamento, usando o seu usuário e senha. No modo de configuração privilegiado (#) digite “terminal length 0″. Isto fará com que o output dos comandos seguintes sejam exibidos sem interrupções.

5°) Em seguida vá ao menu “Transferir” e clique na opção “Capturar texto…”. Escolha um local e digite um nome para o arquivo de  backup que será gerado, e clique em “Salvar”.

6°) Após clique em “Iniciar”.

7°) De volta ao equipamento, digite “show run”, e toda a saída do comando mostrada na tela será gravada.

8°) Vá novamente ao menu “Transferir” e clique na opção “Capturar texto…”, mas desta vez selecione “Parar”.

Basta ir no local que você indicou no item 5 para verificar que o backup foi gerado corretamente.

Outras informações no site da Cisco.

Até a próxima.