KB ID 0000572
Problem
Note: Denne procedure giver dig mulighed for at nulstille adgangskoden UDEN at miste konfigurationen
Du har brug for at få adgang til en Cisco ASA-enhed og har ikke adgangskoderne, der kan være mange grunde til dette, mangel på god dokumentation, købt en brugt firewall, den sidste firewalladministrator har aldrig fortalt det til nogen osv.
Denne metode kræver fysisk adgang til ASA’en, et konsolkabel og en maskine, der kører noget terminalemuleringssoftware.
Note: Denne procedure er for Cisco ASA 5500-X og ASA 5500 Firewalls, for Cisco PIX gå her, og Cisco Catalyst gå her.
Password Recovery ASA5505-X
Password Recovery ASA 5500
Password Recovery / Reset Procedure for ASA 5500-X/5500 Firewalls
Nedenfor er en gennemgang af ændring af Cisco ASA-adgangskoder (indstille dem til blank og derefter ændre dem til noget andet). Grundlæggende starter du ASA’en op til dens meget grundlæggende shell-operativsystem (ROMMON) og tvinger den derefter til at genstarte uden at indlæse dens konfiguration. På dette tidspunkt kan du indlæse konfigurationen uden at skulle indtaste en adgangskode, manuelt ændre alle adgangskoderne og endelig indstille ASA’en til at starte korrekt op igen.
Nedenfor har jeg brugt både HyperTerminal og Putty til at gøre det samme, du kan bruge en af dem eller en anden terminalemuleringssoftware, proceduren er den samme.
1. Forbind til ASA’en via et konsolkabel (indstillinger 9600/8/None/1/None).
2. Genstart ASA’en, og når den starter op, skal du trykke på Esc for at afbryde den normale opstartssekvens og starte op til ROMMON-tilstand.
3. Udfør kommandoen “confreg”, og noter det nummer, der står på listen (kopier det til notesblok for at være på den sikre side).
4. Svar på spørgsmålene som følger (Bemærk: Hvis du blot trykker på Enter, får du standardsvaret). Svar nej til alle undtagen de TO, der er anført nedenfor:
PÅ EN ASA 5500-X (Lidt anderledes)
Ønsker du at ændre konfigurationen? y/n : Y <<<< DETTE EN
deaktiverer du “password recovery”? y/n : n
deaktiverer du “display break prompt”? y/n : n
aktivere “ignore system configuration”? y/n : Y <<<< OG DENNE
deaktivere “auto-boot image in disks”? y/n : n
ændre konsolens baud rate? y/n : n
vælge specifikt image i diske til opstart? y/n : n
På en ASA 5500
Ønsker du at ændre denne konfiguration? y/n : Y <<<< DENNE
aktivere opstart til ROMMON-prompt? y/n :
aktivere TFTP-netboot? y/n :
aktivere Flash-opstart? y/n :
vælge specifikt Flash-image-indeks? y/n :
deaktivere systemkonfiguration? y/n : Y <<< OG DENNE
gå til ROMMON-prompten, hvis netboot mislykkes? y/n :
aktivere videregivelse af NVRAM-filspecifikationer i auto-boottilstand? y/n :
deaktivere visning af BREAK- eller ESC-tasteprompten under auto-boot? y/n :
5. Du vil måske bemærke, at konfigurationsregistret er ændret, på en ASA 5500 til 0x00000040, eller på en ASA5505-X til 0x00000041, for at starte firewallen op skal du udføre kommandoen “boot”.
6. Denne gang når ASA’en starter, vil den starte med et {blank} enable password, du kan indlæse den normale config i hukommelsen med en “copy startup-config running-config”-kommando.
7. Nu er du i enable-tilstand med den korrekte config indlæst, du kan ændre adgangskoderne, og når du er færdig, kan du ændre konfigurationsregisterindstillingen tilbage med en config-register-kommando {indtast det nummer, du gemte tidligere} eller blot en no config-register-kommando. Gem ændringerne, (skriv mem) og genstart firewallen.