KB ID 0000572
Problema
Nota: Questa procedura ti permette di resettare la password SENZA PERDERE LA CONFIG
Hai bisogno di accedere ad un dispositivo Cisco ASA e non hai la password, ci possono essere molte ragioni per questo, mancanza di buona documentazione, hai comprato un firewall di seconda mano, l’ultimo amministratore del firewall non l’ha mai detto a nessuno ecc.
Questo metodo richiede l’accesso fisico all’ASA, un cavo di console e una macchina con un software di emulazione di terminale.
Nota: Questa procedura è per i firewall Cisco ASA 5500-X e ASA 5500, per Cisco PIX vai qui, e Cisco Catalyst vai qui.
Recupero password ASA5505-X
Recupero password ASA 5500
Recupero password / Procedura di reset per ASA 5500-X/5500 Firewalls
Di seguito è riportata una procedura per cambiare le password di Cisco ASA (impostandole in bianco e cambiandole in qualcos’altro). Fondamentalmente si avvia l’ASA al suo sistema operativo shell molto semplice (ROMMON) poi lo si forza a riavviarsi senza caricare la sua configurazione. A questo punto si può caricare la configurazione, senza dover inserire una password, cambiare manualmente tutte le password, e infine impostare l’ASA per avviare di nuovo correttamente.
Di seguito ho usato sia HyperTerminal che Putty per fare la stessa cosa, è possibile utilizzare entrambi, o un altro software di emulazione di terminale, la procedura è la stessa.
1. Connettiti all’ASA tramite un cavo di console (impostazioni 9600/8/Nessuno/1/Nessuno).
2. Riavvia l’ASA, e mentre si avvia premi Esc per interrompere la normale sequenza di avvio e avviare in modalità ROMMON.
3. Eseguite il comando “confreg” e prendete nota del numero che è elencato (copiatelo su un blocco note per essere sicuri).
4. Rispondete alle domande come segue (Nota: premendo semplicemente Invio verrà fornita la risposta predefinita). Rispondi no a tutte tranne alle DUE elencate sotto:
Su un ASA 5500-X (leggermente diverso)
desideri cambiare la configurazione? y/n : Y <<< QUESTO
disabilita “recupero password”? y/n : n
disabilita “display break prompt”? y/n : n
abilita “ignora la configurazione del sistema”? y/n : Y <<< E QUESTO
disabilita “auto-boot immagine nei dischi”? y/n : n
cambia il baud rate della console? y/n : n
seleziona un’immagine specifica nei dischi da avviare? y/n : n
SU UN ASA 5500
Vuoi cambiare questa configurazione? y/n : Y <<< QUESTO
abilita il boot al prompt ROMMON? y/n :
abilita il netboot TFTP? y/n :
abilita il boot Flash? y/n :
seleziona l’indice dell’immagine Flash specifica? y/n :
disabilita la configurazione del sistema? y/n : Y <<< E QUESTO
andare al prompt ROMMON se il netboot fallisce? y/n :
abilitare il passaggio delle specifiche dei file NVRAM in modalità auto-boot? y/n :
disabilitare la visualizzazione del prompt del tasto BREAK o ESC durante l’auto-boot? y/n :
5. Potresti notare che il registro di configurazione è cambiato, su un ASA 5500 a 0x00000040, o su un ASA5505-X a 0x00000041, per avviare il firewall esegui il comando “boot”.
6. Questa volta quando l’ASA si avvia inizierà con una password {blank} enable, puoi caricare la configurazione normale in memoria con un comando “copy startup-config running-config”.
7. Ora sei in modalità enable con la configurazione corretta caricata, puoi cambiare le password, e una volta completato, cambia di nuovo l’impostazione del registro di configurazione con un comando config-register {incolla il numero che hai salvato prima}, o semplicemente un comando no config-register. Salvate le modifiche, (write mem) e riavviate il firewall.