Recuperando a Pre-Shared-Key da VPN no PIX/ASA

As VPNs IPSec no PIX/ASA são criadas com base em grupos, e antes do usuário se autenticar o grupo deve ser autenticado. Para isso é configurado no servidor VPN (PIX/ASA) e no client (instalado no computador) o nome e a senha do grupo (Pre-Shared-Key).

Por segurança, após a Pre-Shared-Key do grupo VPN ser configurada ela é criptografada e não é exibida no show running-config. Então o que fazer se você precisa configurar o client para um novo usuário e não sabe a senha do grupo?

Observe que o show-running não exibe a Pre-Shared-Key configurada para o grupo VPNBRAIN:

BrainFW01# show running-config
: Saved
:
ASA Version 8.2(1)
!
hostname BrainFW01
domain-name brainwork.com.br
enable password 1fNd8BA3gg2DMlZx encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names

!——- Parte da configuração foi omitida

interface Ethernet0/0
nameif outside
security-level 0
ip address 200.20.20.2 255.255.255.192 standby 200.20.20.3
!
interface Ethernet0/1
nameif inside
security-level 100
ip address 172.16.0.1 255.255.0.0 standby 172.16.0.2
!
interface Ethernet0/2
nameif DMZ
security-level 50
ip address 10.10.0.1 255.255.255.0 standby 10.10.0.2

!——- Parte da configuração foi omitida

group-policy VPNBRAIN internal
group-policy VPNBRAIN attributes
dns-server value 172.16.0.10 172.16.0.11
vpn-tunnel-protocol IPSec
split-tunnel-policy tunnelspecified
split-tunnel-network-list value VPNBRAIN_splitTunnelAcl
default-domain value brainwork.com.br
username admin password VXSiyjWZ8nmp7vEk encrypted privilege 15
tunnel-group VPNBRAIN type remote-access
tunnel-group VPNBRAIN general-attributes
address-pool vpnpool
default-group-policy VPNBRAIN
tunnel-group VPNBRAIN ipsec-attributes
pre-shared-key *
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns migrated_dns_map_1
parameters
message-length maximum 1024
policy-map global_policy
class inspection_default
inspect dns migrated_dns_map_1
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:759f1e06b7f44fed061aeec19349a730
: end
BrainFW01#

A solução para esta necessidade é simples, a partir da versão 7 do PIX/ASA OS.

Basta logar no equipamento onde a VPN está configurada, e no modo privilegiado digite more system:running-config. Este comando apresentará a running-config com as Pre-Shared-Keys exibidas em “clear text”.

Exemplo do comando more system:running-config, com a Pre-Shared-Key sendo exibida.

BrainFW01# more system:show running-config
: Saved
:
ASA Version 8.2(1)
!
hostname BrainFW01
domain-name brainwork.com.br
enable password 1fNd8BA3gg2DMlZx encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names

!——- Parte da configuração foi omitida

interface Ethernet0/0
nameif outside
security-level 0
ip address 200.20.20.2 255.255.255.192 standby 200.20.20.3
!
interface Ethernet0/1
nameif inside
security-level 100
ip address 172.16.0.1 255.255.0.0 standby 172.16.0.2
!
interface Ethernet0/2
nameif DMZ
security-level 50
ip address 10.10.0.1 255.255.255.0 standby 10.10.0.2

!——- Parte da configuração foi omitida

group-policy VPNBRAIN internal
group-policy VPNBRAIN attributes
dns-server value 172.16.0.10 172.16.0.11
vpn-tunnel-protocol IPSec
split-tunnel-policy tunnelspecified
split-tunnel-network-list value VPNBRAIN_splitTunnelAcl
default-domain value brainwork.com.br
username admin password VXSiyjWZ8nmp7vEk encrypted privilege 15
tunnel-group VPNBRAIN type remote-access
tunnel-group VPNBRAIN general-attributes
address-pool vpnpool
default-group-policy VPNBRAIN
tunnel-group VPNBRAIN ipsec-attributes
pre-shared-key BR@!N#
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns migrated_dns_map_1
parameters
message-length maximum 1024
policy-map global_policy
class inspection_default
inspect dns migrated_dns_map_1
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:759f1e06b7f44fed061aeec19349a730
: end
BrainFW01#

Outra opção é copiar a running-config para um TFTP Server (copy run ftp://172.16.0.20/running-config). A copia da running-config enviada para o servidor TFTP também apresentará a Pre-Shared-Key em “clear text”.

Mais informações no site da Cisco.

Até a próxima.

About The Author

André Ortega

Formando em Processamento de Dados e Ciência da Computação. Especialista Cisco (CCNP Enterprise e CCNP Security). Vinte anos de experiência com redes e segurança.

See author's posts

Relacionado

victorinoadmin em Componentes AVI Networks Load Balancer (NSX Advanced Load Balancer)24/11/2025
Ótimo material! Seria bem legal se aprofundar mais no tema.
./fernando em Aprenda Python e ganhe pontos para renovar as certificações CCNA, CCNP e CCIE29/10/2024
Excelente conteúdo, André! Obrigado por compartilhar.
André Ortega em Reset Cisco FTD (zerar FTD sem reinstalar)18/10/2024
Quando é feito o reset, sim volta a ter os 90 dias de trial. No procedimento acima, confesso que não…
ALEX LIRA CAMACHO em Reset Cisco FTD (zerar FTD sem reinstalar)15/10/2024
Muito boa a dica, mas ficou a duvida sobre a licença, com reset de fabrica ela volta para os 90…
André Ortega em Atualizando Cisco 9300 (Install Mode)30/08/2024
Olá Dominique. Essas são os arquivos usados para cada modo (install ou bundle). O modo install (que "quebra o arquivo…

André Ortega

Related Stories

Configurando Syslog no Cisco Firewall (FMC)

Senhas vazadas em escala: lições do relatório 2026

Certificados de Usuário para Autenticação 802.1x

You may have missed

Configurando Syslog no Cisco Firewall (FMC)

Como identificar um MAC Address aleatório (Locally Administered)

Senhas vazadas em escala: lições do relatório 2026

Certificados de Usuário para Autenticação 802.1x