KB ID 0000572
Problema
Nota: Este procedimiento permite restablecer la contraseña SIN PERDER LA CONFIG
Necesitas acceder a un dispositivo Cisco ASA y no tienes las contraseñas, puede haber muchas razones para ello, falta de buena documentación, compró un firewall de segunda mano, el último administrador del firewall nunca se lo dijo a nadie, etc.
Este método requiere acceso físico al ASA, un cable de consola, y una máquina que ejecute algún software de emulación de terminal.
Nota: Este procedimiento es para los Firewalls Cisco ASA 5500-X y ASA 5500, para Cisco PIX ir aquí, y Cisco Catalyst ir aquí.
Recuperación de contraseñas ASA5505-X
Recuperación de contraseñas ASA 5500
Procedimiento de recuperación/restablecimiento de contraseñas para los firewalls ASA 5500-X/5500
A continuación se explica cómo cambiar las contraseñas del Cisco ASA (ponerlas en blanco y luego cambiarlas por otras). Básicamente, usted arranca el ASA a su sistema operativo de shell muy básico (ROMMON) y luego lo fuerza a reiniciar sin cargar su configuración. En este punto se puede cargar la configuración, sin tener que introducir una contraseña, cambiar manualmente todas las contraseñas, y, finalmente, establecer el ASA para arrancar correctamente de nuevo.
A continuación he utilizado tanto HyperTerminal y Putty para hacer lo mismo, puede utilizar cualquiera, u otra pieza de software de emulación de terminal, el procedimiento es el mismo. Conéctese al ASA mediante un cable de consola (configuración 9600/8/None/1/None).
2. Reinicie el ASA, y mientras arranca pulse Esc para interrumpir la secuencia de arranque normal y arrancar en modo ROMMON.
3. Ejecute el comando «confreg» y tome nota del número que aparece (cópielo en el bloc de notas para estar seguro).
4. Responda a las preguntas de la siguiente manera (Nota: Si pulsa Intro obtendrá la respuesta por defecto). Conteste no a todas las preguntas excepto a las DOS que se indican a continuación:
EN UN ASA 5500-X (ligeramente diferente)
¿Desea cambiar la configuración? sí/no : S <<<ESTA
desactivar la «recuperación de la contraseña»? sí/no : n
desactivar la «indicación de ruptura de pantalla»? s/n : n
habilitar «ignorar la configuración del sistema»? s/n : S <<<Y ESTE
desactivar «imagen de autoarranque en discos»? s/n : n
cambiar la velocidad de baudios de la consola? s/n : n
seleccionar imagen específica en discos para arrancar? s/n : n
EN UN ASA 5500
¿Desea cambiar esta configuración? sí/no : S <<<ESTO
¿Habilitar el arranque en el prompt ROMMON? sí/no :
Habilitar el arranque en red TFTP? sí/no :
Habilitar el arranque en Flash? sí/no :
Seleccionar un índice de imagen Flash específico? sí/no :
Deshabilitar la configuración del sistema? sí/no : S <<<y este
ir al prompt de ROMMON si el netboot falla? sí/no :
habilitar el paso de las especificaciones del archivo NVRAM en modo auto-boot? sí/no :
desactivar la visualización del prompt de BREAK o de la tecla ESC durante el auto-boot? sí/no :
5. Puede notar, que el registro de configuración ha cambiado, en un ASA 5500 a 0x00000040, o en un ASA5505-X a 0x00000041, para arrancar el firewall ejecute el comando «boot».
6. Esta vez cuando el ASA arranca comenzará con una contraseña de habilitación {blank}, puede cargar la configuración normal en la memoria con un comando «copy startup-config running-config».
7. Ahora está en modo enable con la configuración correcta cargada, puede cambiar las contraseñas, y una vez completado, cambiar el ajuste del registro de configuración de nuevo con un comando config-register {pegar el número que guardó antes}, o simplemente un comando no config-register. Guarde los cambios, (escriba mem) y reinicie el firewall.