KHÔI PHỤC PASSWORD CHO ASA (ADAPTIVE SECURITY APPLIANCE) 5500 SERIES Phần này mô tả cách thức khôi phục lại password mà bạn quên hoặc khôi phục lại password từ một tình huống bị khóa (lockout) do những cài đặt AAA trước đó. Phần này sẽ gồm 2 mục nhỏ: • Thực hiện khôi phục password cho ASA 5500 series. • Cấm (disable) khôi phục password. 1. Thực hiện khôi phục password cho ASA 5500 series. Để khôi phục lại password đã bị mất, chúng ta thực hiện những bước sau: Bước 1: Kết nối với ASA thông qua port console. Bước 2: Tắt nguồn (power off) ASA, và sao đó mở nguồn (power on) lại. Bước 3: Trong quá trình khởi động, nhấn phím Escape để đi vào mode ROMMON. Bước 4: Để cấu hình ASA bỏ qua startup configuration khi khởi động lại, ta phải thay đổi thanh ghi của ASA bằng câu lệnh sau: rommon #1> confreg ASA sẽ hiển thị giá trị cấu hình thanh ghi hiện tại, và hỏi xem bạn có muốn thay đổi giá trị này không: Current Configuration Register: 0x00000011 Configuration Summary: boot TFTP image, boot default image from Flash on netboot failure Do you wish to change this configuration? y/n [n]: Bước 5: Ghi lại thị giá trị cấu hình thanh ghi hiện tại để sau này bạn có thể khôi phục lại. Bước 6: Tại dấu nhắc (prompt), nhấn Y để thay đổi giá trị thanh ghi. ASA sẽ hỏi bạn về giá trị thanh ghi mới. Bước 7: Chấp nhận các giá trị mặc định (default) cho tất cả các cài đặt, ngoại trừ trường hợp “disable system configuration?”, tại dấu nhắc này chọn Y. Bước 8: Khời động lại ASA bằng câu lệnh sau: rommon #2> boot ASA sẽ load cấu hình mặc định (default) thay vì load startup configuration. Bước 9: Vào mode privileged EXEC bằng câu lệnh sau: hostname> enable Bước 10: Khi bị hỏi password, nhấn Enter dể vào mode privileged EXEC. Theo cấu hình mặc định ban đầu của ASA thì password để vào mode privileged EXEC là password trắng (blank). Bước 11: Load lại startup configuration bằng câu lệnh sau: hostname# copy startup-config running-config Bước 12: Vào mode global configuration bằng câu lệnh sau: hostname# configure terminal Bước 13: Thay đổi password trong cấu hình bằng các câu lệnh sau, nếu cần thiết: hostname(config)# password password hostname(config)# enable password password hostname(config)# username name password password Bước 14: Thay đổi cấu hình thanh ghi để load startup configuration trong lần reload tới bằng câu lệnh sau: hostname(config)# config-register value Với value là giá trị mà bạn đã ghi lại ở bước 5. 0x1 là giá trị cấu hình thanh ghi mặc định. Đây là bảng giá trị có thể cấu hình được của thanh ghi. Configuration Register Values Prefix Hexadecimal Character Numbers 4, 3, 2, 1, and 0 0x 0 0 0 1 0 2 02 1 Disables the 10 second ROMMON countdown during startup. Normally, you can press Escape during the countdown to enter ROMMON. 2 If you set the security appliance to boot from a TFTP server, and the boot fails, then this value boots directly into ROMMON. 1 Boots from the TFTP server image as specified in the ROMMON Boot Parameters (which is the same as the boot system tftp command, if present). This value takes precedence over a value set for character 1. 1 Boots the image specified by the first boot system local_flash command. If that image does not load, the security appliance tries to boot each image specified by subsequent boot system commands until it boots successfully. 3, 5, 7, 9 Boots the image specified by a particular boot system local_flash command. Value 3 boots the image specified in the first boot system command, value 5 boots the second image, and so on. If the image does not boot successfully, the security appliance does not attempt to fall back to other boot system command images (this is the difference between using value 1 and value 3). However, the security appliance has a failsafe feature that in the event of a boot failure attempts to boot from any image found in the root directory of internal Flash memory. If you do not want the failsafe feature to take effect, store your images in a different directory than root. 4 3 Ignores the startup configuration and loads the default configuration. 2, 4, 6, 8 From ROMMON, if you enter the boot command without any arguments, then the security appliance boots the image specified by a particular boot system local_flash command. Value 3 boots the image specified in the first boot system command, value 5 boots the second image, and so on. This value does not automatically boot an image. 5 Performs both actions above. 1 Reserved for future use. 2 If character numbers 0 and 1 are not set to automatically boot an image, then the security appliance boots directly into ROMMON. 3 If you disable password recovery using the service password-recovery command, then you cannot set the configuration register to ignore the startup configuration. Bước 15: Lưu lại password mới vào startup configuration bằng câu lệnh sau: hostname(config)# copy running-config startup-config 2. Cấm khôi phục password Bạn cũng có thể muốn cấm (không cho phép) khôi phục password để bảo đảm rằng những user không có thẩm quyền không thể sử dụng cơ chế khôi phục password để gây hại cho ASA. Để cấm khôi phục password, chúng ta sử dụng câu lệnh sau: hostname(config)# no service password-recovery Trên ASA 5500 series, câu lệnh no service password-recovery sẽ ngăn không cho user vào mode ROMMON để thay đổi cấu hình. Khi user vào mode ROMMON, ASA sẽ yêu cầu user xóa tất cả các file hệ thống trong Flash. User sẽ không thể vào mode ROMMON nếu không thực hiện việc xóa file này. Nếu user chọn không xóa file hệ thống trong Flash, ASA sẽ reload lại. Bởi vì khôi phục password dựa trên việc sử dụng ROMMON và vẫn duy trì cấu hình hiện tại, nên việc xóa này sẽ ngăn cản bạn khôi phục password. Tuy nhiên, không cho phép khôi phục pasaword cũng ngăn cản những user không có thẩm quyền xem cấu hình hay chèn vào một password khác. Nếu trong trường hợp unauthorized user xóa tất cá các file hệ thống trong Flash thì để khôi phục lại hệ thống chúng ta phải load một IOS image mới và sử dụng file cấu hình backup (nếu có).