การกู้คืนรหัสผ่านใน Cisco ASA Security Appliance

บทความนี้อธิบายถึงวิธีการตั้งรหัสผ่านใหม่บนอุปกรณ์รักษาความปลอดภัย Cisco ASA วิธีการที่รู้จักกันทั่วไปคือ "รีเซ็ตรหัสผ่าน" ที่ไม่ได้รับการบันทึกเมื่อวันที่รหัสผ่านในไฟล์กำหนดค่าแสดงในรูปแบบข้อความล้วน วันนี้รหัสผ่านดังกล่าวได้รับการเข้ารหัสและไม่สามารถใช้งานได้จริง แต่คุณสามารถเข้าถึงอุปกรณ์ผ่านทางพอร์ตคอนโซลและเรียกคืนรหัสผ่านไปยังค่าที่รู้จัก

ขั้นตอนนี้ต้องการการเข้าถึงอุปกรณ์โดยกายภาพ ต่อเครื่องเข้ากับเต้าเสียบปลั๊กไฟและเต้ารับ จากนั้นจะขัดจังหวะกระบวนการบูตและเปลี่ยนแปลงค่าของรีจีสทรีคอนฟิกูเรชันเพื่อป้องกันไม่ให้อ่านค่าที่เก็บไว้เมื่อเริ่มต้น เนื่องจากอุปกรณ์ไม่สนใจการกำหนดค่าที่บันทึกไว้ในขณะบูตคุณสามารถเข้าถึงโหมดการกำหนดค่าได้โดยไม่ใช้รหัสผ่านของคุณ ถ้าอยู่ในโหมดการกำหนดค่าจะโหลดการกำหนดค่าที่บันทึกไว้จากหน่วยความจำแฟลชเปลี่ยนรหัสผ่านเป็นค่าที่รู้จักเปลี่ยนค่ารีจิสเตอร์การกำหนดค่าเพื่อบอกให้อุปกรณ์โหลดการกำหนดค่าที่บันทึกไว้เมื่อเริ่มต้นและชาร์จอุปกรณ์ใหม่ [19659002] ข้อควรระวัง: เช่นเดียวกับขั้นตอนการกำหนดค่าทั้งหมดขั้นตอนเหล่านี้ต้องได้รับการทดสอบในห้องปฏิบัติการก่อนที่จะนำมาใช้ในสภาพแวดล้อมการผลิตเพื่อให้เหมาะสมกับสถานการณ์

ขั้นตอนต่อไปนี้ได้รับการออกแบบโดยใช้อุปกรณ์รักษาความปลอดภัย Cisco ASA 5505 ไม่เหมาะสำหรับไฟร์วอลล์ Cisco PIX

แรก ปิดสวิตช์ความปลอดภัยโดยถอดและใส่ปลั๊กไฟที่เต้าเสียบ

เมื่อได้รับพรอมต์ให้กด Esc เพื่อขัดจังหวะกระบวนการบูตและเข้าสู่โหมดการตรวจสอบ ROM คุณต้องเห็น prompt rommon ทันที (rommon # 0>)

3 ที่พรอมต์คำสั่ง rommon ให้พิมพ์ confreg เพื่อดูการตั้งค่าคอนฟิกูเรชันการตั้งค่าปัจจุบัน: rommon # 0> confreg

4. การลงทะเบียนการกำหนดค่าปัจจุบันต้องเป็น 0x01 (ซึ่งเป็นจริง 0x00000001) อุปกรณ์รักษาความปลอดภัยถามว่าคุณต้องการเปลี่ยนทะเบียนการกำหนดค่าหรือไม่ อย่าตอบคำขอ

5 คุณต้องเปลี่ยนการตั้งค่าการลงทะเบียนเป็น 0x41 ซึ่งบอกให้อุปกรณ์ละเว้นการกำหนดค่าเริ่มต้นที่บันทึกไว้เมื่อบูต: rommon # 1> confreg 0x41

6. เรียกคืนอุปกรณ์โดยใช้คำสั่งบูต: rommon # 2> boot

7. โปรดสังเกตว่าอุปกรณ์รักษาความปลอดภัยจะละเว้นการกำหนดค่าบูตระหว่างกระบวนการบูต เมื่อคุณเริ่มต้นการบูตข้อความแจ้งให้ผู้ใช้ทั่วไปปรากฏขึ้น: ciscoasa>

8. ป้อนคำสั่งเปิดเครื่องเพื่อเข้าสู่โหมดที่มีสิทธิพิเศษ เมื่ออุปกรณ์ถามรหัสผ่านเพียงแค่กดปุ่ม (รหัสผ่านว่างเปล่าในตอนนี้): ciscoasa> enable Password: ciscoasa #

9. คัดลอกแฟ้มการกำหนดค่าเริ่มต้นไปยังการกำหนดค่าที่เรียกใช้โดยใช้คำสั่งต่อไปนี้: ciscoasa # copy startup-config run-config ชื่อปลายทาง [running-config]?

ที่ 10 การกำหนดค่าที่บันทึกไว้ก่อนหน้านี้เป็นคอนฟิกูเรชันที่ใช้งานอยู่ แต่เนื่องจากเครื่องมือรักษาความปลอดภัยมีอยู่ในโหมดที่ได้รับสิทธิพิเศษแล้วการเข้าถึงที่มีสิทธิพิเศษไม่ได้รับอนุญาต จากนั้นในโหมดกำหนดค่าให้พิมพ์คำสั่งต่อไปนี้เพื่อแทนที่รหัสผ่านโหมดพิเศษโดยใช้ค่าที่รู้จัก (ในกรณีนี้ระบบรหัสผ่านจะถูกใช้): asa # conf t asa (config) #enable password system

11. โหมดตั้งค่ายังคงอยู่ในโหมดการตั้งค่าเพื่อรีเซ็ตค่ารีจิสเตอร์การตั้งค่าเป็นค่าดีฟอลต์ 0x01 เพื่อให้อุปกรณ์รักษาความปลอดภัยเริ่มต้นการกำหนดค่าเริ่มต้นเมื่อเริ่มต้นระบบ: asa (config) # config-register 0x01

12. ใช้คำสั่งต่อไปนี้เพื่อดูการตั้งค่าการลงทะเบียนคอนฟิกูเรชัน: asa (config) #exit asa # show version

13. ที่ด้านล่างของเวอร์ชันส่งออกของเวอร์ชันการแสดงคุณควรจะเห็นข้อความต่อไปนี้: การลงทะเบียนการกำหนดค่า 0x41 (0x1 ในการโหลดครั้งถัดไป)

14. บันทึกการกำหนดค่าปัจจุบันโดยใช้คำสั่ง run copy เพื่อให้การเปลี่ยนแปลงข้างต้นมีความต่อเนื่อง: asa # copy run start ชื่อไฟล์ต้นทาง [running-config]

15. โหลดเครื่องมือรักษาความปลอดภัยใหม่: asa # reload การกำหนดค่าระบบได้รับการแก้ไขแล้ว บันทึก? [Y] es / [N] o: yes

Cryptochecksum: e87f1433 54896e6b 4e21d072 d71a9cbf

2149 ไบต์ที่คัดลอกมาใน 1.480 วินาที (2149 ไบต์ / วินาที) ดำเนินการต่อเพื่อเติมเงิน? [confirm]

เมื่ออุปกรณ์รักษาความปลอดภัยถูกโหลดใหม่ระบบจะป้อนรหัสผ่านการเตือนภัยในโหมดที่ได้รับการยกเว้น

ลิขสิทธิ์ (c) 2007 Don R. Crawley

Source by Don R. Crawley

Leave a Reply

Your email address will not be published. Required fields are marked *