Bài viết chuyên đề
Hướng Dẫn Khôi Phục Mật Khẩu Firewall ASA (Chuyên Đề IP Services)
23/04/2021 09:50:21
Sơ đồ:
Mô tả:
- Trong bài lab này, chúng ta sẽ cùng xây dựng một tình huống trong đó password cho thiết bị ASA bị khai báo sai và sau đó không thể đăng nhập vào thiết bị được nữa. Để khắc phục, người quản trị phải kết nối console lên thiết bị và thực hiện thao tác khôi phục mật khẩu cho firewall.
- Thiết bị được sử dụng trong bài lab này là một firewall ASA khá phổ biến – dòng 5520.
Thực hiện:
Trước hết, ta thử đặt một password nào đó mà ta không thể nhớ được và lưu password sai này lại:
ASA(config)# enable password !@#$%^^&*abcDEF
ASA(config)# wr
Building configuration...
Cryptochecksum: 5783007b cba6f878 2a17153e ac71e0c1
2462 bytes copied in 3.370 secs (820 bytes/sec)
[OK]
Từ bên ngoài user mode, ta không thể đăng nhập vào ASA được nữa:
ASA> enable
Password: ****
Invalid password
Password: *****
Invalid password
Password: *****
Invalid password
Access denied.
Tương tự như với router, nguyên lý của thao tác recovery password là ta thực hiện thay đổi giá trị của thanh ghi cấu hình để khi khởi động ASA bỏ qua file cấu hình có lưu password lỗi trong đó.
Như thường lệ, đầu tiên ta cần phải khởi động cứng ASA bằng cách tắt nguồn và mở lại.
Khi ASA đang khởi động, chúng ta nhấn phím “Esc” hoặc “Break” khi dòng thông báo tương ứng hiện ra để ngắt tiến trình khởi động, đưa ASA vào mode “rommon>”:
Booting system, please wait...
CISCO SYSTEMS
Embedded BIOS Version 1.0(11)5 08/28/08 15:11:51.82
Low Memory: 631 KB
High Memory: 512 MB
PCI Device Table.
Bus Dev Func VendID DevID Class Irq
00 00 00 8086 2578 Host Bridge
00 01 00 8086 2579 PCI-to-PCI Bridge
00 03 00 8086 257B PCI-to-PCI Bridge
00 1C 00 8086 25AE PCI-to-PCI Bridge
00 1D 00 8086 25A9 Serial Bus 11
00 1D 01 8086 25AA Serial Bus 10
00 1D 04 8086 25AB System
00 1D 05 8086 25AC IRQ Controller
00 1D 07 8086 25AD Serial Bus 9
00 1E 00 8086 244E PCI-to-PCI Bridge
00 1F 00 8086 25A1 ISA Bridge
00 1F 02 8086 25A3 IDE Controller 11
00 1F 03 8086 25A4 Serial Bus 5
00 1F 05 8086 25A6 Audio 5
02 01 00 8086 1075 Ethernet 11
03 01 00 177D 0003 Encrypt/Decrypt 9
03 02 00 8086 1079 Ethernet 9
03 02 01 8086 1079 Ethernet 9
03 03 00 8086 1079 Ethernet 9
03 03 01 8086 1079 Ethernet 9
04 02 00 8086 1209 Ethernet 11
04 03 00 8086 1209 Ethernet 5
Evaluating BIOS Options ...
Launch BIOS Extension to setup ROMMON
Cisco Systems ROMMON Version (1.0(11)5) #0: Thu Aug 28 15:23:50 PDT 2008
Platform ASA5520
Use BREAK or ESC to interrupt boot. <- Gõ Break hoặc Esc tại đây
Use SPACE to begin boot immediately.
Boot interrupted.
Management0/0
Ethernet auto negotiation timed out.
Interface-4 Link Not Established (check cable).
Default Interface number-4 Not Up
Use ? for help.
rommon #0>
Tại đây, để bỏ qua file config của ASA, ta thực hiện lệnh “confreg” và nhập các tham số như mô tả dưới đây:
rommon #0> confreg
Current Configuration Register: 0x00000001
Configuration Summary:
boot default image from Flash
Do you wish to change this configuration? y/n [n]: y
enable boot to ROMMON prompt? y/n [n]:
enable TFTP netboot? y/n [n]:
enable Flash boot? y/n [n]: y
select specific Flash image index? y/n [n]:
disable system configuration? y/n [n]: y <- Bỏ qua file cấu hình
go to ROMMON prompt if netboot fails? y/n [n]:
enable passing NVRAM file specs in auto-boot mode? y/n [n]:
disable display of BREAK or ESC key prompt during auto-boot? y/n [n]:
Current Configuration Register: 0x00000041
Configuration Summary:
boot default image from Flash
ignore system configuration
Update Config Register (0x41) in NVRAM...
rommon #1>
Hoặc nếu không, chúng ta đơn giản chỉ cần chỉnh lại giá trị thanh ghi cấu hình:
rommon #0> confreg 0x41
Update Config Register (0x41) in NVRAM...
rommon #1>
Ta có một số giá trị của thanh ghi cấu hình của ASA tương ứng với router:
- 0x40 tương đương với 0x2100 của router: luôn đi vào mode rommon.
- 0x41 tương đương với 0x2142 của router: bỏ qua file cấu hình và nạp vào cấu hình trắng.
- 0x1 tương đương với 0x2102 của router: khởi động bình thường.
Sau khi hiệu chỉnh lại thanh ghi cấu hình, ta khởi động lại ASA:
rommon #1> reset
ROMMON Platform Reboot
Rebooting....
Booting system, please wait...
Với thanh ghi cấu hình có giá trị 0x41, ASA nạp vào một cấu hình trằng, bỏ qua cấu hình cũ (ta thấy hostname được trả về mặc định là “ciscoasa”):
ciscoasa>
Tới đây, ta đi vào mode config, copy startup – config vào running – config để sửa lại password và chép đè lên lại cấu hình cũ:
ciscoasa> enable
Password: <- Gõ password mặc định là kí tự Enter
ciscoasa# configure terminal
ciscoasa(config)# copy startup-config running-config
Destination filename [running-config]?
.
Cryptochecksum (unchanged): 5783007b cba6f878 2a17153e ac71e0c1
2462 bytes copied in 0.200 secs
ASA(config)# enable password cisco
ASA(config)# wr
Building configuration...
Cryptochecksum: d9615f56 72e0c552 26837b82 ec87445e
2918 bytes copied in 3.480 secs (972 bytes/sec)
[OK]
ASA(config)#
Cuối cùng, ta sửa lại giá trị thanh ghi cấu hình về giá trị mặc định là 0x1:
ASA(config)# config-register 0x1
Tương tự như với router, ta có thể kiểm tra giá trị này bằng lệnh “show version”:
ASA# show version | inc Configuration register
Configuration register is 0x41 (will be 0x1 at next reload)
Giá trị của thanh ghi cấu hình sẽ được đổi lại thành 0x1 ở lần khởi động kế tiếp.
Đến đây, chúng ta đã hoàn tất thao tác recovery password cho firewall ASA của Cisco.
Cảm ơn các bạn!
Hẹn gặp lại các bạn trong các bài viết tiếp theo!