Password Recovery sur l'appliance de sécurité Cisco ASA

Dans cet article, je vais vous expliquer comment effectuer un mot de passe "reset" de votre appareil de sécurité Cisco ASA. Le terme le plus couramment utilisé pour cette procédure est "password recovery" qui est disponible depuis les jours où vous pouvez réellement voir les mots de passe dans les fichiers de configuration au format texte. Aujourd'hui, ces mots de passe sont cryptés et non effectivement recouvrable. Au lieu de cela, vous aurez accès à l'appareil via le port console et réinitialiser le mot de passe (s) à des valeurs connues.

Cette procédure nécessite un accès physique à l'appareil. Vous aurez cycle d'alimentation de votre appareil en le débranchant à la barre d'alimentation, puis rebranchez-po Vous aurez alors interrompre le processus de démarrage et de modifier la valeur du registre de configuration pour empêcher l'appareil de lecture de sa configuration stockée au démarrage. Puisque le dispositif ne tient pas compte de sa configuration enregistrée au démarrage, vous êtes en mesure d'accéder à ses modes de configuration sans mot de passe. Une fois que vous êtes en mode de configuration, vous allez charger la configuration enregistrée dans la mémoire flash, changez les mots de passe à une valeur connue, changer la valeur du registre de configuration pour raconter l'appareil à charger sa configuration enregistrée au démarrage, et de recharger l'appareil.

Attention: Comme pour toutes les procédures de configuration, ces procédures doivent être testées dans un environnement de laboratoire avant utilisation dans un environnement de production afin d'assurer la pertinence de votre situation.

Les étapes suivantes ont été conçues à l'aide d'un appareil de sécurité Cisco ASA 5505. Ils ne sont pas appropriés pour un appareil Cisco PIX Firewall.

1. Lancement du cycle de votre appliance de sécurité en retirant et réinsérant la fiche d'alimentation à la barrette d'alimentation.

2. Lorsque vous êtes invité, appuyez sur Echap pour interrompre le processus de démarrage et entrez dans le mode moniteur ROM. Vous devez immédiatement voir une invite rommon (rommon # 0>).

3. A l'invite rommon, entrez la commande confreg pour afficher la configuration actuelle de registre: rommon # 0> confreg

4. Le registre de configuration actuelle doit être le défaut de 0x01 (il sera effectivement afficher comme 0x00000001). L'appliance de sécurité vous demandera si vous souhaitez apporter des modifications au registre de configuration. Répondez non lorsque vous êtes invité.

5. Vous devez modifier le registre de configuration 0x41, qui raconte l'appareil à ignorer son sauvegardé (mise en service) de configuration au démarrage: rommon # 1> confreg 0x41

6. Réinitialiser l'appareil avec la commande boot: rommon n ° 2> boot

7. Notez que le dispositif de sécurité ne tient pas compte de sa configuration de démarrage au cours du processus de démarrage. Quand il finit le démarrage, vous devriez voir un générique mode invite User: ciscoasa>

8. Entrez la commande enable pour passer en mode privilégié. Lorsque l'appareil vous demande d'entrer un mot de passe, appuyez simplement sur (à ce stade, le mot de passe est vide): ciscoasa> enable Password: ciscoasa #

9. Copiez le fichier de configuration de démarrage dans la configuration courante avec la commande suivante: # ciscoasa copier startup-config Destination filename running-config [running-config]?

10. La configuration enregistrée précédemment est maintenant la configuration active, mais depuis le dispositif de sécurité est déjà en mode privilégié, accès privilégié n'est pas désactivé. Ensuite, dans le mode de configuration, entrez la commande suivante pour changer le mot de passe du mode privilégié à une valeur connue (dans ce cas, nous allons utiliser le système de mot de passe): asa asa # conf t (config) # enable système de mot de passe

11. Alors qu'il était encore en mode de configuration, réinitialiser le registre de configuration par défaut de 0x01 pour forcer l'appliance de sécurité à lire sa configuration de démarrage au boot: asa (config) # config-register 0x01

12. Utilisez les commandes suivantes pour afficher le paramètre de registre de configuration: asa (config) # exit asa # show version

13. Au bas de la sortie de la commande show version, vous devriez voir la déclaration suivante: registre de configuration est 0x41 (0x1 sera au prochain rechargement)

14. Enregistrer la configuration actuelle avec la copie de fonctionner commande de démarrage pour effectuer les modifications ci-dessus persistants: asa # copy run start nom de fichier [Source running-config]

15. Recharger l'appareil de sécurité: asa # reload système a été modifié config. Enregistrer? [O] ui / [N] o: oui

Cryptochecksum: e87f1433 54896e6b 4e21d072 d71a9cbf

2149 octets copiés dans 1.480 secondes (2149 octets / sec) Proceed with reload? [Confirmer]

Lorsque vos recharges appliance de sécurité, vous devriez être en mesure d'utiliser votre nouveau mot de passe réinitialisé pour passer en mode privilégié.

Copyright (c) 2007 Don R. Crawley...