PasswordRecovery docx
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (164.04 KB, 4 trang )
KHÔI PHỤC PASSWORD CHO ASA
(ADAPTIVE SECURITY APPLIANCE)
5500 SERIES
Phần này mô tả cách thức khôi phục lại password mà bạn quên hoặc khôi phục lại password từ
một tình huống bị khóa (lockout) do những cài đặt AAA trước đó. Phần này sẽ gồm 2 mục nhỏ:
• Thực hiện khôi phục password cho ASA 5500 series.
• Cấm (disable) khôi phục password.
1. Thực hiện khôi phục password cho ASA 5500 series.
Để khôi phục lại password đã bị mất, chúng ta thực hiện những bước sau:
Bước 1: Kết nối với ASA thông qua port console.
Bước 2: Tắt nguồn (power off) ASA, và sao đó mở nguồn (power on) lại.
Bước 3: Trong quá trình khởi động, nhấn phím Escape để đi vào mode ROMMON.
Bước 4: Để cấu hình ASA bỏ qua startup configuration khi khởi động lại, ta phải thay đổi thanh
ghi của ASA bằng câu lệnh sau:
rommon #1> confreg
ASA sẽ hiển thị giá trị cấu hình thanh ghi hiện tại, và hỏi xem bạn có muốn thay đổi giá trị này
không:
Current Configuration Register: 0x00000011
Configuration Summary:
boot TFTP image, boot default image from Flash on netboot
failure
Do you wish to change this configuration? y/n [n]:
Bước 5: Ghi lại thị giá trị cấu hình thanh ghi hiện tại để sau này bạn có thể khôi phục lại.
Bước 6: Tại dấu nhắc (prompt), nhấn Y để thay đổi giá trị thanh ghi.
ASA sẽ hỏi bạn về giá trị thanh ghi mới.
Bước 7: Chấp nhận các giá trị mặc định (default) cho tất cả các cài đặt, ngoại trừ trường hợp
“disable system configuration?”, tại dấu nhắc này chọn Y.
Bước 8: Khời động lại ASA bằng câu lệnh sau:
rommon #2> boot
ASA sẽ load cấu hình mặc định (default) thay vì load startup configuration.
Bước 9: Vào mode privileged EXEC bằng câu lệnh sau:
hostname> enable
Bước 10: Khi bị hỏi password, nhấn Enter dể vào mode privileged EXEC.
Theo cấu hình mặc định ban đầu của ASA thì password để vào mode privileged EXEC là
password trắng (blank).
Bước 11: Load lại startup configuration bằng câu lệnh sau:
hostname# copy startup-config running-config
Bước 12: Vào mode global configuration bằng câu lệnh sau:
hostname# configure terminal
Bước 13: Thay đổi password trong cấu hình bằng các câu lệnh sau, nếu cần thiết:
hostname(config)# password password
hostname(config)# enable password password
hostname(config)# username name password password
Bước 14: Thay đổi cấu hình thanh ghi để load startup configuration trong lần reload tới bằng câu
lệnh sau:
hostname(config)# config-register value
Với value là giá trị mà bạn đã ghi lại ở bước 5. 0x1 là giá trị cấu hình thanh ghi mặc định. Đây là
bảng giá trị có thể cấu hình được của thanh ghi.
Configuration Register Values
Prefix Hexadecimal Character Numbers 4, 3, 2, 1, and 0
0x 0 0 0
1
0
2
02
1
Disables the 10
second
ROMMON
countdown
during startup.
Normally, you
can press
Escape during
the countdown
to enter
ROMMON.
2
If you set the
security
appliance to
boot from a
TFTP server,
and the boot
fails, then this
value boots
directly into
ROMMON.
1
Boots from the TFTP
server image as specified
in the ROMMON Boot
Parameters (which is the
same as the boot system
tftp command, if present).
This value takes
precedence over a value
set for character 1.
1
Boots the image specified by the first
boot system local_flash command. If
that image does not load, the security
appliance tries to boot each image
specified by subsequent boot system
commands until it boots successfully.
3, 5, 7, 9
Boots the image specified by a
particular boot system local_flash
command. Value 3 boots the image
specified in the first boot system
command, value 5 boots the second
image, and so on.
If the image does not boot
successfully, the security appliance
does not attempt to fall back to other
boot system command images (this is
the difference between using value 1
and value 3). However, the security
appliance has a failsafe feature that in
the event of a boot failure attempts to
boot from any image found in the root
directory of internal Flash memory. If
you do not want the failsafe feature to
take effect, store your images in a
different directory than root.
4
3
Ignores the startup
configuration and loads
the default configuration.
2, 4, 6, 8
From ROMMON, if you enter the boot
command without any arguments,
then the security appliance boots the
image specified by a particular
boot system local_flash command.
Value 3 boots the image specified in
the first boot system command, value
5 boots the second image, and so on.
This value does not automatically boot
an image.
5
Performs both actions
above.
1
Reserved for future use.
2
If character numbers 0 and 1 are not set to automatically boot an image, then the security appliance boots
directly into ROMMON.
3
If you disable password recovery using the service password-recovery command, then you cannot set the
configuration register to ignore the startup configuration.
Bước 15: Lưu lại password mới vào startup configuration bằng câu lệnh sau:
hostname(config)# copy running-config startup-config
2. Cấm khôi phục password
Bạn cũng có thể muốn cấm (không cho phép) khôi phục password để bảo đảm rằng những user
không có thẩm quyền không thể sử dụng cơ chế khôi phục password để gây hại cho ASA. Để
cấm khôi phục password, chúng ta sử dụng câu lệnh sau:
hostname(config)# no service password-recovery
Trên ASA 5500 series, câu lệnh no service password-recovery sẽ ngăn không cho user vào
mode ROMMON để thay đổi cấu hình. Khi user vào mode ROMMON, ASA sẽ yêu cầu user xóa
tất cả các file hệ thống trong Flash. User sẽ không thể vào mode ROMMON nếu không thực hiện
việc xóa file này. Nếu user chọn không xóa file hệ thống trong Flash, ASA sẽ reload lại. Bởi vì
khôi phục password dựa trên việc sử dụng ROMMON và vẫn duy trì cấu hình hiện tại, nên việc
xóa này sẽ ngăn cản bạn khôi phục password. Tuy nhiên, không cho phép khôi phục pasaword
cũng ngăn cản những user không có thẩm quyền xem cấu hình hay chèn vào một password khác.
Nếu trong trường hợp unauthorized user xóa tất cá các file hệ thống trong Flash thì để khôi phục
lại hệ thống chúng ta phải load một IOS image mới và sử dụng file cấu hình backup (nếu có).
