KB ID 0000572
Problema
Nota: Este procedimento permite-lhe redefinir a palavra-passe SEM PERDER A CONFIGURAÇÃO
Necessita de aceder a um dispositivo Cisco ASA e não tem as palavras-passe, pode haver muitas razões para isso, falta de boa documentação, comprou um firewall em segunda mão, o último administrador do firewall nunca disse a ninguém, etc.
Este método requer acesso físico ao ASA, um cabo de console e uma máquina rodando algum software de emulação de terminal.
Nota: Este procedimento é para Cisco ASA 5500-X e ASA 5500 Firewalls, para Cisco PIX vai aqui, e Cisco Catalyst vai aqui.
>
Password Recovery ASA5505-X
Password Recovery ASA 5500
Password Recovery / Reset Procedure for ASA 5500-X/5500 Firewalls
Below é uma execução ao alterar as senhas do Cisco ASA (definindo-as como em branco e depois alterando-as para outra coisa). Basicamente você inicializa o ASA para seu sistema operacional shell muito básico (ROMMON) e depois força-o a reinicializar sem carregar sua configuração. Neste ponto você pode carregar a configuração, sem ter que inserir uma senha, alterar manualmente todas as senhas, e finalmente definir o ASA para inicializar corretamente novamente.
Below Eu usei ambos HyperTerminal e Putty para fazer a mesma coisa, você pode usar qualquer um, ou outro software de emulação de terminal, o procedimento é o mesmo.
1. Conecte ao ASA através de um cabo de console (configurações 9600/8/None/1/None).
2. Reinicie o ASA, e enquanto ele inicia pressione Esc para interromper a sequência normal de inicialização e inicialize para o modo ROMMON.
3. Execute o comando “confreg” e tome nota do número que está listado (copie-o para o notepad para estar no lado seguro).
4. Responda as perguntas da seguinte forma (Nota: Basta pressionar Enter para fornecer a resposta padrão). Responda não a todos com exceção dos DOIS listados abaixo:
ON AN ASA 5500-X (ligeiramente diferente)
>
deseja alterar a configuração? y/n : Y <<<> ESTE UM
disponível “recuperação de senha”? y/n : n
disponível “prompt de pausa do display”? y/n : n
inabilitar “ignorar configuração do sistema”? y/n : n<<<E ESTE UM
desabilitar “imagem de inicialização automática em discos”? y/n : n
alterar taxa de transmissão do console? y/n : n
selecionar imagem específica em discos para inicialização? y/n : n
>
ON AN ASA 5500
>
Deseja alterar esta configuração? y/n : y <<< ESTE UMA
disponibilizar arranque para o prompt ROMMON? y/n :
disponibilizar arranque da rede TFTP? y/n :
disponibilizar arranque Flash? y/n :
seleccionar índice específico de imagem Flash? y/n :
disponibilizar configuração do sistema? y/n :<546<546>e ESTE UM
disabilitar o prompt ROMMON se o netboot falhar? y/n :
ativar as especificações do arquivo NVRAM em modo de inicialização automática? y/n :
disabilitar a exibição do prompt BREAK ou ESC durante a inicialização automática? y/n :
>
5. Você pode notar, que o registro de configuração mudou, em um ASA 5500 para 0x00000040, ou em um ASA5505-X para 0x00000041, para inicializar o firewall execute o comando “boot”.
6. Desta vez, quando o ASA inicializa, ele começará com uma senha {blank} enable, você pode carregar a configuração normal na memória com um comando “copy startup-config running-config”.
7. Agora você está no modo enable com a configuração correta carregada, você pode alterar as senhas, e uma vez completada, alterar a configuração de registro de configuração de volta com um comando config-register {paste no número que você salvou anteriormente}, ou simplesmente um comando no config-register. Salve as alterações, (write mem) e reinicie o firewall.