KB ID 0000572
Problem
Hinweis: Mit dieser Prozedur können Sie das Passwort zurücksetzen, OHNE DIE KONFIG zu VERLOREN
Sie müssen auf ein Cisco ASA-Gerät zugreifen und haben die Passwörter nicht, das kann viele Gründe haben, keine gute Dokumentation, eine gebrauchte Firewall gekauft, der letzte Firewall-Administrator hat es niemandem gesagt usw.
Diese Methode erfordert physischen Zugriff auf das ASA-Gerät, ein Konsolenkabel und einen Rechner, auf dem eine Terminalemulationssoftware läuft.
Hinweis: Dieses Verfahren gilt für Cisco ASA 5500-X und ASA 5500 Firewalls, für Cisco PIX siehe hier und Cisco Catalyst siehe hier.
Passwort-Wiederherstellung ASA5505-X
Passwort-Wiederherstellung ASA 5500
Passwort-Wiederherstellungs-/Reset-Prozedur für ASA 5500-X/5500 Firewalls
Nachfolgend finden Sie eine Anleitung zum Ändern der Cisco ASA-Passwörter (auf „leer“ setzen und dann auf etwas anderes ändern). Im Grunde bootet man den ASA in sein sehr einfaches Shell-Betriebssystem (ROMMON) und zwingt ihn dann zu einem Neustart, ohne seine Konfiguration zu laden. An diesem Punkt kann man die Konfiguration laden, ohne ein Passwort eingeben zu müssen, alle Passwörter manuell ändern und schließlich den ASA so einstellen, dass er wieder ordnungsgemäß bootet.
Nachfolgend habe ich sowohl HyperTerminal als auch Putty verwendet, um dasselbe zu tun, Sie können beide oder eine andere Terminalemulations-Software verwenden, das Verfahren ist dasselbe.
1. Verbinden Sie sich mit dem ASA über ein Konsolenkabel (Einstellungen 9600/8/None/1/None).
2. Starten Sie den ASA neu und drücken Sie beim Booten Esc, um die normale Bootsequenz zu unterbrechen und in den ROMMON-Modus zu booten.
3. Führen Sie den Befehl „confreg“ aus und notieren Sie sich die Nummer, die aufgelistet wird (kopieren Sie sie sicherheitshalber in einen Notizblock).
4. Beantworten Sie die Fragen wie folgt (Hinweis: Wenn Sie die Eingabetaste drücken, wird die Standardantwort angezeigt). Beantworten Sie alle Fragen mit „Nein“, außer den ZWEI unten aufgeführten:
Bei einem ASA 5500-X (leicht unterschiedlich)
Möchten Sie die Konfiguration ändern? y/n : Y <<< DIESE
Kennwortwiederherstellung deaktivieren? y/n : n
Kennwortwiederherstellung deaktivieren? y/n : n
„Systemkonfiguration ignorieren“ aktivieren? y/n : Y <<< UND DIESES
„Auto-Boot-Image auf Festplatten“ deaktivieren? y/n : n
Konsolen-Baudrate ändern? y/n : n
Bestimmtes Image auf Festplatten zum Booten auswählen? y/n : n
Bei einer ASA 5500
Wollen Sie diese Konfiguration ändern? y/n : Y <<< DIESE
Boot zum ROMMON-Prompt aktivieren? y/n :
TFTP-Netboot aktivieren? y/n :
Flash-Boot aktivieren? y/n :
Bestimmten Flash-Image-Index auswählen? y/n :
Systemkonfiguration deaktivieren? y/n : Y <<< UND DIESES
zu ROMMON-Prompt gehen, wenn Netboot fehlschlägt? y/n :
Übergabe von NVRAM-Dateispezifikationen im Auto-Boot-Modus aktivieren? y/n :
Anzeige von BREAK- oder ESC-Tastenprompt während Auto-Boot deaktivieren? y/n :
5. Sie werden feststellen, dass sich das Konfigurationsregister geändert hat, auf einem ASA 5500 auf 0x00000040, oder auf einem ASA5505-X auf 0x00000041, um die Firewall zu booten, führen Sie den „boot“-Befehl aus.
6. Dieses Mal, wenn der ASA bootet, wird er mit einem {blank} enable Passwort starten, Sie können die normale Konfiguration mit einem „copy startup-config running-config“ Befehl in den Speicher laden.
7. Jetzt sind Sie im Enable-Modus mit der korrekten Konfiguration, Sie können die Passwörter ändern, und wenn Sie fertig sind, ändern Sie die Einstellung des Konfigurationsregisters zurück mit einem config-register {einfügen der Nummer, die Sie vorher gespeichert haben} Befehl, oder einfach einem no config-register Befehl. Speichern Sie die Änderungen (write mem) und starten Sie die Firewall neu.