Cisco ASA – Wachtwoord herstel / Reset

KB ID 0000572

Probleem

Note: Deze procedure maakt het mogelijk om het wachtwoord te resetten ZONDER VERLIES VAN DE CONFIG

U moet toegang krijgen tot een Cisco ASA apparaat en heeft de wachtwoorden niet, hier kunnen veel redenen voor zijn, gebrek aan goede documentatie, een tweede hands firewall gekocht, de laatste firewall admin heeft het nooit iemand verteld etc.

Deze methode vereist wel fysieke toegang tot de ASA, een console kabel, en een machine die een aantal terminal emulatie software draait.

Note: Deze procedure is voor Cisco ASA 5500-X en ASA 5500 Firewalls, voor Cisco PIX ga hier, en Cisco Catalyst ga hier.

Paswoord herstel ASA5505-X

Paswoord herstel ASA 5500

Paswoord herstel / reset procedure voor ASA 5500-X/5500 Firewalls

Hieronder volgt een overzicht van het wijzigen van Cisco ASA wachtwoorden (door ze op leeg te zetten en ze vervolgens in iets anders te veranderen). In principe boot je de ASA naar zijn zeer eenvoudige shell besturingssysteem (ROMMON) en forceer je hem vervolgens om te rebooten zonder de configuratie te laden. Op dit punt kun je de configuratie laden, zonder een wachtwoord in te hoeven voeren, handmatig alle wachtwoorden veranderen, en tenslotte de ASA zo instellen dat hij weer correct opstart.

Hieronder heb ik zowel HyperTerminal als Putty gebruikt om hetzelfde te doen, je kunt een van beide gebruiken, of een ander terminal emulatie stuk software, de procedure is hetzelfde.

1. Maak verbinding met de ASA via een console kabel (instellingen 9600/8/None/1/None).

Hyperterminal cisco settings

2. Herstart de ASA, en druk tijdens het opstarten op Esc om de normale opstartvolgorde te onderbreken en op te starten in ROMMON modus.

ASA ROMMON

3. Voer het commando “confreg” uit en noteer het nummer in de lijst (kopieer het voor de zekerheid naar kladblok).

ASA-configuratieregister - confreg

4. Beantwoord de vragen als volgt (Opmerking: als u gewoon op Enter drukt, krijgt u het standaardantwoord). Beantwoord alle vragen met nee, behalve de volgende TWEE:

Op een ASA 5500-X (enigszins verschillend)

Wilt u de configuratie wijzigen? y/n : Y <<<DIT ÉÉN
“wachtwoordherstel” uitschakelen? y/n : n
“onderbrekingsprompt weergeven” uitschakelen? y/n : n
“negeren systeemconfiguratie” inschakelen? y/n : Y <<< EN DEZE
“auto-boot image in disks” uitschakelen? y/n : n
console baud rate wijzigen? y/n : n
selecteer specifieke image in disks om op te starten? y/n : n

Op EEN ASA 5500

Wilt u deze configuratie wijzigen? y/n : Y <<<DEZE
boot naar ROMMON prompt inschakelen? y/n :
TFTP netboot inschakelen? y/n :
Flash boot inschakelen? y/n :
selecteer specifieke Flash image index? y/n :
systeemconfiguratie uitschakelen? y/n : Y <<< EN DEZE
naar ROMMON-prompt gaan als netboot mislukt? y/n :
inschakelen van het doorgeven van NVRAM-bestandsspecificaties in auto-boot modus? y/n :
uitschakelen van weergave van BREAK of ESC-toets prompt tijdens auto-boot? y/n :

Cisco ASA Change confreg

5. U zult zien dat het configuratieregister is gewijzigd, op een ASA 5500 naar 0x00000040, of op een ASA5505-X naar 0x00000041, om de firewall op te starten voert u het commando “boot” uit.

Boot Cisco ASA

6. Deze keer wanneer de ASA opstart zal deze beginnen met een {blank} enable wachtwoord, u kunt de normale configuratie in het geheugen laden met een “copy startup-config running-config” commando.

Cisco Blank Password

7. Nu ben je in enable mode met de correcte configuratie geladen, je kan de paswoorden veranderen, en eens voltooid, de configuratie register instelling terug veranderen met een config-register {plak het nummer dat je eerder bewaarde} commando, of eenvoudig een no config-register commando. Sla de veranderingen op, (write mem) en herstart de firewall.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.