KB ID 0000572
Probléma
Megjegyzés: Ez az eljárás lehetővé teszi a jelszó visszaállítását anélkül, hogy elveszítené a CONFIG
El kell érnie egy Cisco ASA eszközt és nincsenek meg a jelszavak, ennek sok oka lehet, jó dokumentáció hiánya, használtan vásárolt tűzfal, az előző tűzfal adminja nem mondta el senkinek stb.
Ez a módszer fizikai hozzáférést igényel az ASA-hoz, egy konzolos kábelt és egy terminál emulációs szoftvert futtató gépet.
Megjegyzés: Ez az eljárás a Cisco ASA 5500-X és ASA 5500 tűzfalakra vonatkozik, a Cisco PIX-hez itt, a Cisco Catalysthoz pedig itt.
Password Recovery ASA5505-X
Password Recovery ASA 5500
Password Recovery / Reset Procedure for ASA 5500-X/5500 Firewalls
Az alábbiakban a Cisco ASA jelszavainak megváltoztatását mutatjuk be (üresre állítva, majd másra módosítva). Alapvetően az ASA-t a nagyon egyszerű shell operációs rendszerre (ROMMON) indítja, majd a konfiguráció betöltése nélkül kényszeríti újraindításra. Ekkor betöltheti a konfigurációt anélkül, hogy jelszót kellene megadnia, manuálisan megváltoztathatja az összes jelszót, és végül beállíthatja, hogy az ASA ismét megfelelően bootoljon.
Az alábbiakban a HyperTerminal és a Putty programot is használtam ugyanerre a célra, bármelyiket használhatja, vagy egy másik terminál emulációs szoftvert, az eljárás ugyanaz.
1. Csatlakozzunk az ASA-hoz egy konzolos kábelen keresztül (beállítások 9600/8/None/1/None).
2. Indítsuk újra az ASA-t, és miközben bootol, nyomjuk meg az Esc billentyűt, hogy megszakítsuk a normál boot szekvenciát és ROMMON módba bootoljunk.
3. Indítsuk újra az ASA-t. Végezze el a “confreg” parancsot, és jegyezze fel a megjelenő számot (a biztonság kedvéért másolja be a jegyzettömbbe).
4. Válaszoljon a kérdésekre az alábbiak szerint (Megjegyzés: Az Enter megnyomásával csak az alapértelmezett választ kapja meg). Az alábbiakban felsorolt KETTŐ kivételével mindegyikre válaszoljon nemmel:
Egy ASA 5500-X-en (kissé eltérő)
meg kívánja-e változtatni a konfigurációt? y/n : Y <<<<EZEN
tiltsa le a “jelszó helyreállítását”? y/n : n
tiltsa le a “szüneti prompt megjelenítését”? y/n : n
enable “ignore system configuration”? y/n : Y <<<< AND THIS ONE
disable “auto-boot image in disks”? y/n : n
change console baud rate? y/n : n
select specific image in disks to boot? y/n : n
ON AN ASA 5500
Do you wish to change this configuration? y/n : Y <<<< EZ AZ EGY
indítás engedélyezése a ROMMON prompthoz? y/n :
TFTP netboot engedélyezése? y/n :
Flash boot engedélyezése? y/n :
specifikus Flash image index kiválasztása? y/n :
rendszer konfiguráció letiltása? y/n : Y <<<< ÉS EZ
ROMMON promptra lép, ha a netboot sikertelen? y/n :
az NVRAM fájl specifikációinak átadása engedélyezése automatikus indítási módban? y/n :
a BREAK vagy ESC billentyű prompt megjelenítésének tiltása automatikus indítás során? y/n :
5. Észreveheti, hogy a konfigurációs regiszter megváltozott, ASA 5500 esetén 0x00000040-re, ASA5505-X esetén 0x00000041-re, a tűzfal indításához hajtsa végre a “boot” parancsot.
6. Ezúttal az ASA indításakor az {blank} enable jelszóval indul, a normál konfigurációt a “copy startup-config running-config” paranccsal töltheti be a memóriába.
7. Most már engedélyezési módban van a helyes config betöltve, megváltoztathatja a jelszavakat, és ha kész, a config-register {a korábban elmentett szám beillesztése} paranccsal, vagy egyszerűen a no config-register paranccsal visszaállíthatja a konfigurációs regiszter beállítását. Mentse a változtatásokat (write mem), és indítsa újra a tűzfalat.