Hướng Dẫn Khôi Phục Mật Khẩu Firewall ASA

Hướng Dẫn Khôi Phục Mật Khẩu Firewall ASA

Trong bài lab này, chúng ta sẽ cùng xây dựng một tình huống trong đó password cho thiết bị ASA bị khai báo sai và sau đó không thể đăng nhập vào thiết bị được nữa. Để khắc phục, người quản trị phải kết nối console lên thiết bị và thực hiện thao tác khôi phục mật khẩu cho firewall. Thiết bị được sử dụng trong bài lab này là một firewall ASA khá phổ biến – dòng 5520

  Trước hết, ta thử đặt một password nào đó mà ta không thể nhớ được và lưu password sai này lại:

ASA(config)# enable password !@#$%^^&*abcDEF

ASA(config)# wr

Building configuration...

Cryptochecksum: 5783007b cba6f878 2a17153e ac71e0c1

 

2462 bytes copied in 3.370 secs (820 bytes/sec)

[OK]

Từ bên ngoài user mode, ta không thể đăng nhập vào ASA được nữa:

ASA> enable

Password: ****

Invalid password

Password: *****

Invalid password

Password: *****

Invalid password

Access denied.

Tương tự như với router, nguyên lý của thao tác recovery password là ta thực hiện thay đổi giá trị của thanh ghi cấu hình để khi khởi động ASA bỏ qua file cấu hình có lưu password lỗi trong đó.

Như thường lệ, đầu tiên ta cần phải khởi động cứng ASA bằng cách tắt nguồn và mở lại.

Khi ASA đang khởi động, chúng ta nhấn phím “Esc” hoặc “Break” khi dòng thông báo tương ứng hiện ra để ngắt tiến trình khởi động, đưa ASA vào mode “rommon>”:

Booting system, please wait...

 

 

CISCO SYSTEMS

Embedded BIOS Version 1.0(11)5 08/28/08 15:11:51.82

 

Low Memory: 631 KB

High Memory: 512 MB

PCI Device Table.

Bus   Dev  Func   VendID  DevID      Class                 Irq

00      00     00    8086     2578    Host Bridge

00      01     00    8086     2579    PCI-to-PCI Bridge

00      03     00    8086     257B    PCI-to-PCI Bridge

00      1C     00    8086     25AE    PCI-to-PCI Bridge

00      1D     00    8086     25A9     Serial Bus             11

00      1D     01    8086     25AA    Serial Bus              10

00      1D     04    8086     25AB      System

00      1D     05    8086     25AC     IRQ Controller

00      1D     07    8086     25AD     Serial Bus              9

00      1E     00    8086      244E   PCI-to-PCI Bridge

00      1F     00     8086     25A1     ISA Bridge

00      1F     02     8086     25A3    IDE Controller         11

00      1F     03      8086     25A4   Serial Bus                5

00      1F     05      8086     25A6     Audio                    5

02      01      00     8086     1075   Ethernet                 11

03      01     00       177D    0003    Encrypt/Decrypt     9

03     02      00      8086      1079   Ethernet                9

03     02       01      8086     1079     Ethernet              9

03      03      00      8086      1079     Ethernet 9         

03      03      01      8086      1079    Ethernet 9

04      02      00      8086      1209   Ethernet                11

04      03     00       8086      1209    Ethernet               5

 

Evaluating BIOS Options ...

Launch BIOS Extension to setup ROMMON

 

Cisco Systems ROMMON Version (1.0(11)5) #0: Thu Aug 28 15:23:50 PDT 2008

 

Platform ASA5520

 

Use BREAK or ESC to interrupt boot.                                       */<- Gõ Break hoặc Esc tại đây/*

Use SPACE to begin boot immediately.

Boot interrupted.

 

Management0/0

Ethernet auto negotiation timed out.

Interface-4 Link Not Established (check cable).

 

 

Default Interface number-4 Not Up

 

 

Use ? for help.

rommon #0>

Tại đây, để bỏ qua file config của ASA, ta thực hiện lệnh “confreg” và
nhập các tham số như mô tả dưới đây:

*rommon #0> confreg*

 

Current Configuration Register: 0x00000001

Configuration Summary:

boot default image from Flash

 

Do you wish to change this configuration? y/n [n]: y

enable boot to ROMMON prompt? y/n [n]:

enable TFTP netboot? y/n [n]:

enable Flash boot? y/n [n]: y

select specific Flash image index? y/n [n]:

disable system configuration? y/n [n]: y                           *<- Bỏ qua file cấu hình*

go to ROMMON prompt if netboot fails? y/n [n]:

enable passing NVRAM file specs in auto-boot mode? y/n [n]:

disable display of BREAK or ESC key prompt during auto-boot? y/n [n]:

 

Current Configuration Register: 0x00000041

Configuration Summary:

boot default image from Flash

ignore system configuration

 

Update Config Register (0x41) in NVRAM...

 

rommon #1>

Hoặc nếu không, chúng ta đơn giản chỉ cần chỉnh lại giá trị thanh ghi cấu hình:

rommon #0> confreg 0x41

Update Config Register (0x41) in NVRAM...

rommon #1>

Ta có một số giá trị của thanh ghi cấu hình của ASA tương ứng với router:

* 0x40 tương đương với 0x2100 của router: luôn đi vào mode rommon.
* 0x41 tương đương với 0x2142 của router: bỏ qua file cấu hình và nạp
vào cấu hình trắng.
* 0x1 tương đương với 0x2102 của router: khởi động bình thường.

Sau khi hiệu chỉnh lại thanh ghi cấu hình, ta khởi động lại ASA:

rommon #1> reset

 

ROMMON Platform Reboot

 

 

 

Rebooting....

 

 

Booting system, please wait...

Với thanh ghi cấu hình có giá trị 0x41, ASA nạp vào một cấu hình trằng, bỏ qua cấu hình cũ (ta thấy hostname được trả về mặc định là “ciscoasa”):

ciscoasa>

Tới đây, ta đi vào mode config, copy startup – config vào running – config để sửa lại password và chép đè lên lại cấu hình cũ:

ciscoasa> enable

Password: *<- Gõ password mặc định là kí tự Enter*

ciscoasa# configure terminal

ciscoasa(config)# copy startup-config running-config

 

Destination filename [running-config]?

 

.

Cryptochecksum (unchanged): 5783007b cba6f878 2a17153e ac71e0c1

 

2462 bytes copied in 0.200 secs

*ASA(config)# enable password cisco*

*ASA(config)# wr*

Building configuration...

Cryptochecksum: d9615f56 72e0c552 26837b82 ec87445e

 

2918 bytes copied in 3.480 secs (972 bytes/sec)

[OK]

ASA(config)#

Cuối cùng, ta sửa lại giá trị thanh ghi cấu hình về giá trị mặc định là 0x1:

ASA(config)# config-register 0x1

Tương tự như với router, ta có thể kiểm tra giá trị này bằng lệnh “show version”:

*ASA# show version | inc Configuration register*

Configuration register is 0x41 (will be 0x1 at next reload)

Giá trị của thanh ghi cấu hình sẽ được đổi lại thành 0x1 ở lần khởi động kế tiếp.

Đến đây, chúng ta đã hoàn tất thao tác recovery password cho firewall ASA của Cisco.

Chúc các bạn thực hiện thành công! Nếu bạn có bất kỳ câu hỏi hoặc gặp khó khăn, đừng ngần ngại liên hệ với chúng tôi theo thông tin dưới đây để được hỗ trợ thêm.

Hẹn gặp lại các bạn trong các bài viết tiếp theo!

CÔNG TY CỔ PHẦN DỊCH VỤ CÔNG NGHỆ DATECH

• Địa chỉ: Số 23E4 KĐT Cầu Diễn, Tổ 7, Phú Diễn, Bắc Từ Liêm, Hà Nội

• Điện thoại: 02432012368

• Hotline: 098 115 6699

 Email: info@datech.vn

• Website: https://datech.vn