KB ID 0000572
Problem
Huom: Tämän toimenpiteen avulla voit palauttaa salasanan menettämättä CONFIG
Tarpeesi on päästä käsiksi Cisco ASA -laitteeseen ja sinulla ei ole salasanoja, tähän voi olla monia syitä, hyvän dokumentaation puute, ostettu käytetty palomuuri, edellinen palomuurin ylläpitäjä ei koskaan kertonut kenellekään jne.
Tämä menetelmä vaatii fyysisen pääsyn ASA:han, konsolikaapelin ja koneen, jossa on jokin terminaali-emulaatio-ohjelmisto.
Huomautus: Tämä menettelytapa koskee Ciscon ASA 5500-X- ja ASA 5500 -palomuureja, Ciscon PIX:n löydät täältä ja Ciscon Catalystin täältä.
Salasanojen palautus ASA5505-X
Salasanojen palautus ASA 5500
Salasanojen palautus / nollausmenettely ASA 5500-X/5500 palomuureille
Alhaalla käydään läpi Ciscon ASA:n salasanojen vaihtaminen (asetetaan ne tyhjiksi ja vaihdetaan sitten joksikin muuksi). Periaatteessa käynnistät ASA:n hyvin yksinkertaiseen shell-käyttöjärjestelmään (ROMMON) ja pakotat sen sitten käynnistymään uudelleen lataamatta konfiguraatiota. Tässä vaiheessa voit ladata konfiguraation ilman salasanan syöttämistä, vaihtaa manuaalisesti kaikki salasanat ja lopuksi asettaa ASA:n käynnistymään taas kunnolla.
Alhaalla olen käyttänyt sekä HyperTerminaalia että Puttya saman asian tekemiseen, voit käyttää kumpaakin tai jotain muuta terminaali-emulointiohjelmaa, menettely on sama.
1. Yhdistä ASA:han konsolikaapelilla (asetukset 9600/8/None/1/None).
2. Käynnistä ASA uudelleen, ja kun se käynnistyy, paina Esc painiketta keskeyttääksesi normaalin käynnistyssekvenssin ja käynnistyäksesi ROMMON tilaan.
3. Käynnistä ASA uudelleen. Suorita komento ”confreg” ja merkitse muistiin listattu numero (kopioi se varmuuden vuoksi muistilappuun).
4. Vastaa kysymyksiin seuraavasti (Huomaa: Pelkkä Enter-näppäimen painaminen antaa oletusvastauksen). Vastaa ei kaikkiin muihin paitsi alla lueteltuihin KAHTEEN:
ON ASA 5500-X (hieman erilainen)
haluatko muuttaa konfiguraatiota? y/n : Y <<<<TÄLLÄ
poistetaanko ”salasanan palautus” käytöstä? y/n : n
poistetaanko ”keskeytyskehotteen näyttäminen” käytöstä? y/n : n
aktivoi ”ignore system configuration”? y/n : Y <<<< AND THIS ONE
disable ”auto-boot image in disks”? y/n : n
change console baud rate? y/n : n
select specific image in disks to boot? y/n : n
ON AN ASA 5500
Tahdotko muuttaa tätä kokoonpanoa? y/n : Y <<<< TÄMÄ
käynnistyksen salliminen ROMMON-kehotteeseen? y/n :
käynnistyksen salliminen TFTP-verkkokäynnistykseen? y/n :
käynnistyksen salliminen Flash-käynnistykseen? y/n :
erityisen Flash-kuvaindeksin valitseminen? y/n :
järjestelmäkonfiguraation estäminen? y/n : Y <<< JA TÄMÄ
siirry ROMMON-kehotteeseen, jos verkkokäynnistys epäonnistuu? y/n :
aktivoi NVRAM-tiedostojen spesifikaatioiden välittämisen automaattisessa käynnistystilassa? y/n :
deaktivoi BREAK- tai ESC-näppäinkehotteen näyttämisen automaattisen käynnistyksen aikana? y/n :
5. Saatat huomata, että konfiguraatiorekisteri on muuttunut, ASA 5500:ssa 0x00000040:ksi tai ASA5505-X:ssä 0x00000041:ksi, käynnistäksesi palomuurin suorita komento ”boot”.
6. Tällä kertaa ASA:n käynnistyessä se käynnistyy {blank} enable salasanalla, voit ladata normaalin konfiguraation mieleen komennolla ”copy startup-config running-config”.
7. Nyt olet enable-tilassa, kun oikea konfig on ladattu, voit vaihtaa salasanat, ja kun se on valmis, vaihda konfiguraatiorekisterin asetus takaisin komennolla config-register {liitä aiemmin tallentamasi numero} tai yksinkertaisesti komennolla no config-register. Tallenna muutokset (write mem) ja käynnistä palomuuri uudelleen.