KB ID 0000572
Problem
Uwaga: Ta procedura pozwala na zresetowanie hasła BEZ UTRATY KONFIGURACJI
Musisz uzyskać dostęp do urządzenia Cisco ASA i nie masz haseł, może być wiele powodów, brak dobrej dokumentacji, kupiłeś firewall z drugiej ręki, ostatni administrator firewalla nigdy nikomu nie powiedział itp.
Ta metoda wymaga fizycznego dostępu do ASA, kabla konsolowego i maszyny z oprogramowaniem emulującym terminal.
Uwaga: Ta procedura jest dla Cisco ASA 5500-X i ASA 5500 Firewall, dla Cisco PIX idź tutaj, a Cisco Catalyst idź tutaj.
Password Recovery ASA5505-X
Password Recovery ASA 5500
Password Recovery / Reset Procedure for ASA 5500-X/5500 Firewalls
Poniżej przedstawiono procedurę zmiany haseł Cisco ASA (ustawienie ich na puste, a następnie zmiana na inne). Zasadniczo uruchamiamy ASA do jej bardzo podstawowego systemu operacyjnego (ROMMON), a następnie zmuszamy ją do restartu bez ładowania konfiguracji. W tym momencie możesz załadować konfigurację, bez konieczności wpisywania hasła, ręcznie zmienić wszystkie hasła, a na koniec ustawić ASA, aby ponownie uruchomiła się prawidłowo.
Poniżej użyłem zarówno HyperTerminala jak i Putty, aby zrobić to samo, możesz użyć jednego z nich lub innego oprogramowania do emulacji terminala, procedura jest taka sama.
1. Połącz się z ASA za pomocą kabla konsolowego (ustawienia 9600/8/None/1/None).
2. Uruchom ponownie ASA, a gdy się uruchomi naciśnij Esc, aby przerwać normalną sekwencję bootowania i uruchomić tryb ROMMON.
3. Wykonaj polecenie „confreg” i zanotuj numer, który znajduje się na liście (dla pewności skopiuj go do notatnika).
4. Odpowiedz na pytania w następujący sposób (Uwaga: naciśnięcie klawisza Enter spowoduje podanie domyślnej odpowiedzi). Odpowiedz „nie” na wszystkie poza DWOMA wymienionymi poniżej:
ON AN ASA 5500-X (Slightly Different)
do you wish to change the configuration? y/n : Y <<< THIS ONE
disable „password recovery”? y/n : n
disable „display break prompt”? y/n : n
wyłączyć „ignoruj konfigurację systemu”? y/n : Y <<<I TEGO
wyłączyć „auto-uruchamianie obrazu na dyskach”? y/n : n
zmienić szybkość transmisji konsoli? y/n : n
wybrać określony obraz na dyskach do uruchomienia? y/n : n
Na ASA 5500
Czy chcesz zmienić tę konfigurację? y/n : Y <<<TEGO
włączyć bootowanie do zachęty ROMMON? y/n :
włączyć netboot TFTP? y/n :
włączyć bootowanie Flash? y/n :
wybrać określony indeks obrazu Flash? y/n :
wyłączyć konfigurację systemu? y/n : Y <<<I TEN
go to ROMMON prompt if netboot fails? y/n :
enable passing NVRAM file specs in auto-boot mode? y/n :
disable display of BREAK or ESC key prompt during auto-boot? y/n :
5. Możesz zauważyć, że rejestr konfiguracyjny uległ zmianie, w ASA 5500 na 0x000040, lub w ASA5505-X na 0x000041, aby uruchomić firewall wykonaj polecenie „boot”.
6. Tym razem, gdy ASA uruchomi się zacznie od hasła {blank} enable, możesz załadować normalny config do pamięci poleceniem „copy startup-config running-config”.
7. Teraz jesteś w trybie enable z załadowanym prawidłowym configiem, możesz zmienić hasła, a po zakończeniu zmienić ustawienia rejestru konfiguracyjnego z powrotem poleceniem config-register {wklej numer, który zapisałeś wcześniej}, lub po prostu poleceniem no config-register. Zapisz zmiany, (write mem) i zrestartuj firewall.