KB ID 0000572
Problém
Poznámka: Tento postup umožňuje obnovit heslo BEZ ZTRÁTY KONFIGURACE
Potřebujete získat přístup k zařízení Cisco ASA a nemáte hesla, důvodů může být mnoho, chybí dobrá dokumentace, koupili jste firewall z druhé ruky, poslední správce firewallu to nikomu neřekl atd.
Tato metoda vyžaduje fyzický přístup k zařízení ASA, konzolový kabel a počítač s nějakým softwarem pro emulaci terminálu.
Poznámka: Tento postup je určen pro firewally Cisco ASA 5500-X a ASA 5500, pro Cisco PIX přejděte sem a pro Cisco Catalyst sem.
Obnovení hesla ASA5505-X
Obnovení hesla ASA 5500
Postup obnovení / resetování hesla pro firewally ASA 5500-X/5500
Níže je uveden postup pro změnu hesel pro Cisco ASA (nastavení prázdných hesel a jejich následná změna na jiná). V podstatě spustíte ASA do jeho velmi základního operačního systému shell (ROMMON) a pak jej donutíte k restartu bez načtení konfigurace. V tomto okamžiku můžete načíst konfiguraci, aniž byste museli zadávat heslo, ručně změnit všechna hesla a nakonec nastavit ASA tak, aby opět správně naběhl.
Níže jsem ke stejnému úkonu použil HyperTerminál i Putty, můžete použít obojí nebo jiný software pro emulaci terminálu, postup je stejný.
1. Připojte se k ASA pomocí konzolového kabelu (nastavení 9600/8/None/1/None).
2. Restartujte ASA a při spouštění stiskněte Esc, čímž přerušíte normální spouštěcí sekvenci a spustíte režim ROMMON.
3. Stiskněte klávesu Esc. Spusťte příkaz „confreg“ a poznamenejte si číslo, které je v něm uvedeno (pro jistotu si ho zkopírujte do poznámkového bloku).
4. Odpovězte na následující otázky (Poznámka: Pouhé stisknutí klávesy Enter poskytne výchozí odpověď). Odpovězte ne na všechny kromě DVOU níže uvedených:
Na ASA 5500-X (mírně odlišné)
přejete si změnit konfiguraci? y/n : Y <<<Tento
zakázat „password recovery“? y/n : n
zakázat „display break prompt“? y/n : n
zapnout „ignorovat konfiguraci systému“? y/n : Y <<< A TADY
zapnout „automatické spouštění obrazu na discích“? y/n : n
změnit přenosovou rychlost konzoly? y/n : n
vybrat konkrétní obraz na discích pro spuštění? y/n : n
Na ASA 5500
Přejete si změnit tuto konfiguraci? y/n : Y <<<TATO JEDNOTKA
povolit zavádění na výzvu ROMMON? y/n :
povolit zavádění TFTP netboot? y/n :
povolit zavádění Flash? y/n :
zvolit konkrétní index obrazu Flash? y/n :
vypnout konfiguraci systému? y/n : Y <<< A TADY
přejít na výzvu ROMMON, pokud se zavedení sítě nezdaří? y/n :
povolit předávání specifikací souborů NVRAM v režimu automatického spouštění? y/n :
zakázat zobrazení výzvy BREAK nebo klávesy ESC během automatického spouštění? y/n :
5. Možná si všimnete, že se změnil konfigurační registr, u ASA 5500 na 0x00000040 nebo u ASA5505-X na 0x00000041, pro spuštění firewallu proveďte příkaz „boot“.
6. Tentokrát se při spuštění ASA spustí s heslem {blank} enable, normální konfiguraci můžete do paměti načíst příkazem „copy startup-config running-config“.
7. Nyní jste v režimu povolení s načtenou správnou konfigurací, můžete změnit hesla a po dokončení změnit nastavení konfiguračního registru zpět příkazem config-register {vložit číslo, které jste uložili dříve} nebo jednoduše příkazem no config-register. Uložte změny (zápis do paměti) a restartujte firewall.