Bài viết chuyên đề

Hướng Dẫn Khôi Phục Mật Khẩu Firewall ASA (Chuyên Đề IP Services)

23/04/2021 09:50:21

Trong các bài viết trước, chúng ta đã cùng trao đổi về cách khôi phục mật khẩu cho các thiết bị router và switch của Cisco. Trong bài viết tuần này, chúng ta sẽ cùng trao đổi về phương pháp khôi phục mật khẩu cho một loại thiết bị mạng khác cũng rất phổ biến của Cisco, đó là dòng firewall ASA.

Sơ đồ:

Mô tả:

 

  • Trong bài lab này, chúng ta sẽ cùng xây dựng một tình huống trong đó password cho thiết bị ASA bị khai báo sai và sau đó không thể đăng nhập vào thiết bị được nữa. Để khắc phục, người quản trị phải kết nối console lên thiết bị và thực hiện thao tác khôi phục mật khẩu cho firewall.
  • Thiết bị được sử dụng trong bài lab này là một firewall ASA khá phổ biến – dòng 5520.

Thực hiện:

Trước hết, ta thử đặt một password nào đó mà ta không thể nhớ được và lưu password sai này lại:

ASA(config)# enable password !@#$%^^&*abcDEF

ASA(config)# wr

Building configuration...

Cryptochecksum: 5783007b cba6f878 2a17153e ac71e0c1

 

2462 bytes copied in 3.370 secs (820 bytes/sec)

[OK]

Từ bên ngoài user mode, ta không thể đăng nhập vào ASA được nữa:

ASA> enable

Password: ****

Invalid password

Password: *****

Invalid password

Password: *****

Invalid password

Access denied.

Tương tự như với router, nguyên lý của thao tác recovery password là ta thực hiện thay đổi giá trị của thanh ghi cấu hình để khi khởi động ASA bỏ qua file cấu hình có lưu password lỗi trong đó.

Như thường lệ, đầu tiên ta cần phải khởi động cứng ASA bằng cách tắt nguồn và mở lại.

Khi ASA đang khởi động, chúng ta nhấn phím “Esc” hoặc “Break” khi dòng thông báo tương ứng hiện ra để ngắt tiến trình khởi động, đưa ASA vào mode rommon>”:

Booting system, please wait...

 

 

CISCO SYSTEMS

Embedded BIOS Version 1.0(11)5 08/28/08 15:11:51.82

 

Low Memory: 631 KB

High Memory: 512 MB

PCI Device Table.

Bus Dev Func VendID DevID Class              Irq

 00  00  00   8086   2578  Host Bridge       

 00  01  00   8086   2579  PCI-to-PCI Bridge 

 00  03  00   8086   257B  PCI-to-PCI Bridge 

 00  1C  00   8086   25AE  PCI-to-PCI Bridge 

 00  1D  00   8086   25A9  Serial Bus         11

 00  1D  01   8086   25AA  Serial Bus         10

 00  1D  04   8086   25AB  System            

 00  1D  05   8086   25AC  IRQ Controller    

 00  1D  07   8086   25AD  Serial Bus         9

 00  1E  00   8086   244E  PCI-to-PCI Bridge 

 00  1F  00   8086   25A1  ISA Bridge        

 00  1F  02   8086   25A3  IDE Controller     11

 00  1F  03   8086   25A4  Serial Bus         5

 00  1F  05   8086   25A6  Audio              5

 02  01  00   8086   1075  Ethernet           11

 03  01  00   177D   0003  Encrypt/Decrypt    9

 03  02  00   8086   1079  Ethernet           9

 03  02  01   8086   1079  Ethernet           9

 03  03  00   8086   1079  Ethernet           9

 03  03  01   8086   1079  Ethernet           9

 04  02  00   8086   1209  Ethernet           11

 04  03  00   8086   1209  Ethernet           5

 

Evaluating BIOS Options ...

Launch BIOS Extension to setup ROMMON

 

Cisco Systems ROMMON Version (1.0(11)5) #0: Thu Aug 28 15:23:50 PDT 2008

 

Platform ASA5520

 

Use BREAK or ESC to interrupt boot. <- Gõ Break hoặc Esc tại đây

Use SPACE to begin boot immediately.

Boot interrupted.                              

 

Management0/0

Ethernet auto negotiation timed out.

Interface-4 Link Not Established (check cable).

 

 

Default Interface number-4 Not Up

 

 

Use ? for help.

rommon #0>

Tại đây, để bỏ qua file config của ASA, ta thực hiện lệnh “confreg” và nhập các tham số như mô tả dưới đây:

rommon #0> confreg

 

Current Configuration Register: 0x00000001

Configuration Summary:

  boot default image from Flash

 

Do you wish to change this configuration? y/n [n]: y

enable boot to ROMMON prompt? y/n [n]:

enable TFTP netboot? y/n [n]:

enable Flash boot? y/n [n]: y

select specific Flash image index? y/n [n]:

disable system configuration? y/n [n]: y <- Bỏ qua file cấu hình

go to ROMMON prompt if netboot fails? y/n [n]:

enable passing NVRAM file specs in auto-boot mode? y/n [n]:

disable display of BREAK or ESC key prompt during auto-boot? y/n [n]:

 

Current Configuration Register: 0x00000041

Configuration Summary:

  boot default image from Flash

  ignore system configuration

 

Update Config Register (0x41) in NVRAM...

 

rommon #1>

Hoặc nếu không, chúng ta đơn giản chỉ cần chỉnh lại giá trị thanh ghi cấu hình:

rommon #0> confreg 0x41

Update Config Register (0x41) in NVRAM...

rommon #1>

Ta có một số giá trị của thanh ghi cấu hình của ASA tương ứng với router:

  • 0x40 tương đương với 0x2100 của router: luôn đi vào mode rommon.
  • 0x41 tương đương với 0x2142 của router: bỏ qua file cấu hình và nạp vào cấu hình trắng.
  • 0x1 tương đương với 0x2102 của router: khởi động bình thường.

Sau khi hiệu chỉnh lại thanh ghi cấu hình, ta khởi động lại ASA:

rommon #1> reset

 

ROMMON Platform Reboot

 

 

 

Rebooting....

 

 

Booting system, please wait...

Với thanh ghi cấu hình có giá trị 0x41, ASA nạp vào một cấu hình trằng, bỏ qua cấu hình cũ (ta thấy hostname được trả về mặc định là “ciscoasa”):

ciscoasa>

Tới đây, ta đi vào mode config, copy startup – config vào running – config để sửa lại password và chép đè lên lại cấu hình cũ:

ciscoasa> enable

Password: <- Gõ password mặc định là kí tự Enter

ciscoasa# configure terminal

ciscoasa(config)# copy startup-config running-config

 

Destination filename [running-config]?

 

.

Cryptochecksum (unchanged): 5783007b cba6f878 2a17153e ac71e0c1

 

2462 bytes copied in 0.200 secs

ASA(config)# enable password cisco

ASA(config)# wr

Building configuration...

Cryptochecksum: d9615f56 72e0c552 26837b82 ec87445e

 

2918 bytes copied in 3.480 secs (972 bytes/sec)

[OK]

ASA(config)#

Cuối cùng, ta sửa lại giá trị thanh ghi cấu hình về giá trị mặc định là 0x1:

ASA(config)# config-register 0x1

Tương tự như với router, ta có thể kiểm tra giá trị này bằng lệnh “show version”:

ASA# show version | inc Configuration register

Configuration register is 0x41 (will be 0x1 at next reload)

Giá trị của thanh ghi cấu hình sẽ được đổi lại thành 0x1 ở lần khởi động kế tiếp.

Đến đây, chúng ta đã hoàn tất thao tác recovery password cho firewall ASA của Cisco.

Cảm ơn các bạn!

Hẹn gặp lại các bạn trong các bài viết tiếp theo!