Cisco ASA 防火墻密碼恢復

來源:本站原創 CISCO 超過818 views圍觀 0條評論

Cisco ASA 防火墻密碼恢復

==================

      Cisco ASA的密碼恢復過程很像路由器了,也是通過修改配置寄存器的值來實現。就不要密碼恢復文件了。

1,密碼恢復準備東東

A,PC機

B,cisco Console線

C TFTP軟件,直通和交叉線各一根

我們需要通過配置線把PC機的COM口與ASA的控制接口相連。

2,密碼恢復程序

首先,我們打開PC機的超級終端,然后啟動ASA后迅速按ESC或CTRL+BREAK 鍵進入Rommon狀態。

You can press the Esc (Escape) key after “Use BREAK or ESC to interrupt boot” is shown. This will take you into ROMMON mode, as follows:

rommon #0>

然后我們打入命令confreg,進行配置寄存器值的修改,有兩種方法,一種是通過輸入ConfReg命令一步一步回答菜單如下:

rommon #1> confreg

Current Configuration Register: 0x00000011

Configuration Summary:

boot TFTP image, boot default image from Flash on netboot failure

Do you wish to change this configuration? y/n [n]: y

所有都按照默認回答,在問”disable system configuration?” 的時候,選擇y.

這里將0X11啟動模式轉變到0X41模式.

第二種方法就是直接使用命令ConfReg 0x41修改配置寄存器的值。如下:

rommon #1> confreg 0x41

Update Config Register (0x41) in NVRAM…

修改后,就可以重啟

rommon #2> boot

啟動成功進入ASA以后,enable密碼為空.

ciscoasa> enable

Password:<cr>

ciscoasa# copy startup-config running-config

ciscoasa# configure terminal

設置新的密碼

ciscoasa(config)# password PIXPa55

ciscoasa(config)# enable password PIXp455

ciscoasa(config)# username BluShin password Goodp455

修改會原來的配置寄存器的值

ciscoasa(config)# config-register 0x11

保存配置文件,切記,否則新密碼無效

ciscoasa(config)# copy running-config startup-config

后記

====================

     有時候我們為了加強安全性,打入了no service password-recovery命令。這時候進行密碼恢復時,就不能通過修改配置寄存器的值來實現了,而只能刪除所有文件來實現,當然刪除的文件會包括配置文件和OS文件。

ciscoasa(config)# no service password-recovery

WARNING: Saving “no service password-recovery” in the startup-config will disable password recovery via the PIX Password Lockout Utility. The only means of recovering from lost or forgotten passwords will be for the PIX Password Lockout Utility to erase all file systems including configuration files and images.You should make a backup of your configuration and have a mechanism to restore images from the Monitor Mode command line.

提示兩點:

1、恢復的時候會清除所有配置

2、需要保存配置文件,并有一種方式從Monitor Mode command line得到恢復的IMAGES

密碼恢復過程:建立物理CONSOLE連接和帶外管理接口連接(Management口),RELOAD設備

press the Esc (Escape) key after “Use BREAK or ESC to interrupt boot” is shown

提示:

a new image must be downloaded via ROMMON.

Erase all file systems? y/n [n]: yes

Disk1: is not present.

Enabling password recovery…

rommon #0>

rommon #0> ADDRESS=192.168.10.1

rommon #1> SERVER=192.168.10.250

rommon #3>GATEWAY=192.168.10.250

rommon #4> PORT=Management0/0

MAC Address: 000f.f775.4b54

rommon #5> file asa702.bin

rommon #6> tftpdnld

tftp !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Note

The security appliance downloads the system image file in memory and boots up the device. However, the downloaded system image is not stored in flash.

這里提示只在MEMORY而不保存到FLASH中。

此時可以進入:

ciscoasa> enable

ciscoasa# copy tftp: running-config

Address or name of remote host []? 192.168.10.250

Source filename []? CiscoASA.conf

需要將以前保存的配置文件載入到設備中然后重設密碼,并保存即可

這里有兩個安全提高:

1、IMEGE保存在TFTP、備份文件也保存在另外的位置

2、擦除了使用的配置文件

注意:如果TFTP不在同一網段,則:

rommon #2> GATEWAY 192.168.10.100

注意:TFTP的參數是需要預先配置好的,為密碼恢復做準備,示例如下:是在rommon中完成的

Example 4-49. Setting Up TFTP Parameters

rommon #0> ADDRESS 192.168.10.1

rommon #1> SERVER 192.168.10.250

rommon #2> interface GigabitEthernet0/0

GigabitEthernet0/0

MAC Address: 000f.f775.4b54

rommon #3> file ASA702.bin

rommon #4> set 檢查參數

rommon #5> tftpdnld   開始下載

tftp !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

文章出自:CCIE那點事 http://www.qdxgqk.live/ 版權所有。本站文章除注明出處外,皆為作者原創文章,可自由引用,但請注明來源。 禁止全文轉載。
本文鏈接:http://www.qdxgqk.live/?p=319轉載請注明轉自CCIE那點事
如果喜歡:點此訂閱本站
  • 相關文章
  • 為您推薦
  • 各種觀點
?
暫時還木有人評論,坐等沙發!
發表評論

您必須 [ 登錄 ] 才能發表留言!

?
?
萌宠夺宝游戏