KB ID 0000572
Problème
Note : Cette procédure vous permet de réinitialiser le mot de passe SANS PERDRE LA CONFIG
Vous avez besoin d’accéder à un dispositif Cisco ASA et vous n’avez pas les mots de passe, il peut y avoir beaucoup de raisons pour cela, le manque de bonne documentation, acheté un pare-feu d’occasion, le dernier administrateur du pare-feu n’a jamais dit à personne, etc.
Cette méthode nécessite un accès physique à l’ASA, un câble de console et une machine exécutant un logiciel d’émulation de terminal.
Note : Cette procédure concerne les pare-feu Cisco ASA 5500-X et ASA 5500, pour Cisco PIX allez ici, et Cisco Catalyst allez ici.
Récupération de mot de passe ASA5505-X
Récupération de mot de passe ASA 5500
Procédure de récupération / réinitialisation de mot de passe pour les pare-feu ASA 5500-X/5500
Vous trouverez ci-dessous un run though sur la modification des mots de passe de l’ASA de Cisco (les mettre à blanc puis les changer pour autre chose). Fondamentalement, vous démarrez l’ASA sur son système d’exploitation shell très basique (ROMMON) puis vous le forcez à redémarrer sans charger sa configuration. À ce stade, vous pouvez charger la configuration, sans avoir à entrer un mot de passe, changer manuellement tous les mots de passe, et enfin régler l’ASA pour qu’il redémarre correctement.
Ci-après, j’ai utilisé à la fois HyperTerminal et Putty pour faire la même chose, vous pouvez utiliser l’un ou l’autre, ou un autre morceau de logiciel d’émulation de terminal, la procédure est la même.
1. Connectez-vous à l’ASA via un câble de console (paramètres 9600/8/None/1/None).
2. Redémarrez l’ASA, et lorsqu’il démarre, appuyez sur Esc pour interrompre la séquence de démarrage normale et démarrer en mode ROMMON.
3. Exécutez la commande « confreg » et prenez note du numéro qui est listé (copiez-le dans le bloc-notes pour être sûr).
4. Répondez aux questions comme suit (Note : Il suffit d’appuyer sur Entrée pour fournir la réponse par défaut). Répondez non à toutes les questions sauf aux DEUX énumérées ci-dessous :
SUR UNE ASA 5500-X (légèrement différente)
souhaitez-vous modifier la configuration ? y/n : Y <<< CETTE QUESTION
désactiver « récupération du mot de passe » ? y/n : n
désactiver « afficher l’invite de rupture » ? y/n : n
enable « ignore system configuration » ? y/n : Y <<< AND THIS ONE
disable « auto-boot image in disks » ? y/n : n
change console baud rate ? y/n : n
select specific image in disks to boot ? y/n : n
ON AN ASA 5500
Do you wish to change this configuration ? y/n : Y <<<CELLE-CI
activer le démarrage à l’invite ROMMON ? y/n :
activer le démarrage net TFTP ? y/n :
activer le démarrage Flash ? y/n :
sélectionner un index d’image Flash spécifique ? y/n :
désactiver la configuration système ? y/n : O <<< ET CECI
aller à l’invite ROMMON si netboot échoue ? y/n :
activer le passage des spécifications du fichier NVRAM en mode auto-boot ? y/n :
désactiver l’affichage de l’invite de la touche BREAK ou ESC pendant l’auto-boot ? y/n :
5. Vous pouvez remarquer, que le registre de configuration a changé, sur un ASA 5500 à 0x00000040, ou sur un ASA5505-X à 0x00000041, pour démarrer le pare-feu exécuter la commande « boot ».
6. Cette fois, lorsque l’ASA démarre, il commencera avec un mot de passe {blank} enable, vous pouvez charger la config normale en mémoire avec une commande « copy startup-config running-config ».
7. Maintenant vous êtes en mode enable avec la configuration correcte chargée, vous pouvez changer les mots de passe, et une fois terminé, changer le paramètre du registre de configuration en arrière avec une commande config-register {coller le numéro que vous avez enregistré plus tôt}, ou simplement une commande no config-register. Enregistrez les modifications, (write mem) et redémarrez le pare-feu.