Password Recovery Procedure
Aby odzyskać hasła dla ASA, wykonaj następujące kroki:
Krok 1 Podłącz się do portu konsoli ASA zgodnie z instrukcjami w sekcji „Accessing the Command-Line Interface”.
Krok 2 Wyłącz zasilanie ASA, a następnie włącz je.
Krok 3 Po uruchomieniu naciśnij klawisz Escape, gdy zostaniesz poproszony o wejście w tryb ROMMON.
Krok 4 Aby zaktualizować wartość rejestru konfiguracyjnego, wprowadź następujące polecenie:
rommon #1> confreg 0x41
Update Config Register (0x41) in NVRAM…
Krok 5 Aby ustawić ASA tak, aby ignorowała konfigurację startową, wprowadź następujące polecenie:
rommon #1> confreg
AsA wyświetla wartość bieżącego rejestru konfiguracyjnego i pyta, czy chcesz ją zmienić:
Current Configuration Register: 0x00000041
Podsumowanie konfiguracji:
boot default image from Flash
ignore system configuration
Czy chcesz zmienić tę konfigurację? y/n : y
Krok 6 Zapisz bieżącą wartość rejestru konfiguracyjnego, aby móc ją później przywrócić.
Krok 7 Przy znaku zachęty wpisz Y, aby zmienić wartość.
ASA prosi o podanie nowych wartości.
Krok 8 Zaakceptuj wartości domyślne dla wszystkich ustawień. W odpowiedzi na monit wpisz Y.
Krok 9 Przeładuj ASA, wpisując następujące polecenie:
rommon #2> boot
Uruchamianie BootLoader…
Plik konfiguracyjny bootowania zawiera 1 wpis.
Wczytywanie disk0:/asa800-226-k8.bin…. Booting…Loading…
Asa ładuje konfigurację domyślną zamiast konfiguracji startowej.
Krok 10 Uzyskaj dostęp do uprzywilejowanego trybu EXEC, wpisując następujące polecenie:
hostname> enable
Krok 11 Gdy pojawi się monit o podanie hasła, naciśnij Enter.
Hasło jest puste.
Krok 12 Załaduj konfigurację startową, wpisując następujące polecenie:
hostname# copy startup-config running-config
Krok 13 Uzyskaj dostęp do trybu konfiguracji globalnej, wpisując następujące polecenie:
hostname# configure terminal
Krok 14 Zmień hasła, zgodnie z wymaganiami, w konfiguracji domyślnej, wpisując następujące polecenia:
hostname(config)# password password
hostname(config)# enable password password
hostname(config)# username name password password
Krok 15 Załaduj domyślną konfigurację, wpisując następujące polecenia:
hostname(config)# no config-register
Domyślna wartość rejestru konfiguracji to 0x1.
Krok 16 Zapisz nowe hasła w konfiguracji startowej, wpisując następujące polecenie:
hostname(config)# copy running-config startup-config
Wyłączenie odzyskiwania hasła
Możesz chcieć wyłączyć odzyskiwanie hasła, aby zapewnić, że nieautoryzowani użytkownicy nie mogą użyć mechanizmu odzyskiwania hasła do kompromitacji ASA.
Na ASA, polecenie no service password-recovery zapobiega wejściu użytkownika w tryb ROMMON z nienaruszoną konfiguracją. Gdy użytkownik wejdzie w tryb ROMMON, ASA monituje użytkownika o wymazanie wszystkich systemów plików Flash. Użytkownik nie może wejść w tryb ROMMON bez uprzedniego wykonania tego wymazania. Jeśli użytkownik zdecyduje się nie wymazywać systemu plików Flash, ASA przeładowuje się. Ponieważ odzyskiwanie hasła zależy od użycia trybu ROMMON i zachowania istniejącej konfiguracji, to wymazanie uniemożliwia odzyskanie hasła. Jednak wyłączenie odzyskiwania hasła uniemożliwia nieupoważnionym użytkownikom przeglądanie konfiguracji lub wprowadzanie różnych haseł. W takim przypadku, aby przywrócić system do stanu operacyjnego, należy załadować nowy obraz i zapasowy plik konfiguracyjny, jeśli jest dostępny.