Powered by Blogger.

IP SERVICES - BÀI SỐ 3: KHÔI PHỤC MẬT KHẨU CHO FIREWALL

Trong các bài viết trước, chúng ta đã cùng trao đổi về cách khôi phục mật khẩu cho các thiết bị router và switch của Cisco. Trong bài viết tuần này, chúng ta sẽ cùng trao đổi về phương pháp khôi phục mật khẩu cho một loại thiết bị mạng khác cũng rất phổ biến của Cisco, đó là dòng firewall ASA.

SƠ ĐỒ


Hình 1 – Sơ đồ bài lab.
MÔ TẢ

· Trong bài lab này, chúng ta sẽ cùng xây dựng một tình huống trong đó password cho thiết bị ASA bị khai báo sai và sau đó không thể đăng nhập vào thiết bị được nữa. Để khắc phục, người quản trị phải kết nối console lên thiết bị và thực hiện thao tác khôi phục mật khẩu cho firewall.

· Thiết bị được sử dụng trong bài lab này là một firewall ASA khá phổ biến – dòng 5520.
THỰC HIỆN

Trước hết, ta thử đặt một password nào đó mà ta không thể nhớ được và lưu password sai này lại:


ASA(config)# enable password !@#$%^^&*abcDEF

ASA(config)# wr

Building configuration...

Cryptochecksum: 5783007b cba6f878 2a17153e ac71e0c1



2462 bytes copied in 3.370 secs (820 bytes/sec)

[OK]

Từ bên ngoài user mode, ta không thể đăng nhập vào ASA được nữa:


ASA> enable

Password: ****

Invalid password

Password: *****

Invalid password

Password: *****

Invalid password

Access denied.

Tương tự như với router, nguyên lý của thao tác recovery password là ta thực hiện thay đổi giá trị của thanh ghi cấu hình để khi khởi động ASA bỏ qua file cấu hình có lưu password lỗi trong đó.

Như thường lệ, đầu tiên ta cần phải khởi động cứng ASA bằng cách tắt nguồn và mở lại.

Khi ASA đang khởi động, chúng ta nhấn phím “Esc” hoặc “Break” khi dòng thông báo tương ứng hiện ra để ngắt tiến trình khởi động, đưa ASA vào mode “rommon>”:


Booting system, please wait...





CISCO SYSTEMS

Embedded BIOS Version 1.0(11)5 08/28/08 15:11:51.82



Low Memory: 631 KB

High Memory: 512 MB

PCI Device Table.

Bus Dev Func VendID DevID Class Irq

00 00 00 8086 2578 Host Bridge 

00 01 00 8086 2579 PCI-to-PCI Bridge 

00 03 00 8086 257B PCI-to-PCI Bridge 

00 1C 00 8086 25AE PCI-to-PCI Bridge 

00 1D 00 8086 25A9 Serial Bus 11

00 1D 01 8086 25AA Serial Bus 10

00 1D 04 8086 25AB System 

00 1D 05 8086 25AC IRQ Controller 

00 1D 07 8086 25AD Serial Bus 9

00 1E 00 8086 244E PCI-to-PCI Bridge 

00 1F 00 8086 25A1 ISA Bridge 

00 1F 02 8086 25A3 IDE Controller 11

00 1F 03 8086 25A4 Serial Bus 5

00 1F 05 8086 25A6 Audio 5

02 01 00 8086 1075 Ethernet 11

03 01 00 177D 0003 Encrypt/Decrypt 9

03 02 00 8086 1079 Ethernet 9

03 02 01 8086 1079 Ethernet 9

03 03 00 8086 1079 Ethernet 9

03 03 01 8086 1079 Ethernet 9

04 02 00 8086 1209 Ethernet 11

04 03 00 8086 1209 Ethernet 5



Evaluating BIOS Options ...

Launch BIOS Extension to setup ROMMON



Cisco Systems ROMMON Version (1.0(11)5) #0: Thu Aug 28 15:23:50 PDT 2008



Platform ASA5520



Use BREAK or ESC to interrupt boot. <- Gõ Break hoặc Esc tại đây

Use SPACE to begin boot immediately.

Boot interrupted. 



Management0/0

Ethernet auto negotiation timed out.

Interface-4 Link Not Established (check cable).





Default Interface number-4 Not Up





Use ? for help.

rommon #0> 

Tại đây, để bỏ qua file config của ASA, ta thực hiện lệnh “confreg” và nhập các tham số như mô tả dưới đây:


rommon #0> confreg



Current Configuration Register: 0x00000001

Configuration Summary:

boot default image from Flash



Do you wish to change this configuration? y/n [n]: y

enable boot to ROMMON prompt? y/n [n]:

enable TFTP netboot? y/n [n]:

enable Flash boot? y/n [n]: y

select specific Flash image index? y/n [n]:

disable system configuration? y/n [n]: y <- Bỏ qua file cấu hình

go to ROMMON prompt if netboot fails? y/n [n]:

enable passing NVRAM file specs in auto-boot mode? y/n [n]:

disable display of BREAK or ESC key prompt during auto-boot? y/n [n]:



Current Configuration Register: 0x00000041

Configuration Summary:

boot default image from Flash

ignore system configuration



Update Config Register (0x41) in NVRAM...



rommon #1>

Hoặc nếu không, chúng ta đơn giản chỉ cần chỉnh lại giá trị thanh ghi cấu hình:


rommon #0> confreg 0x41

Update Config Register (0x41) in NVRAM...

rommon #1>

Ta có một số giá trị của thanh ghi cấu hình của ASA tương ứng với router:

· 0x40 tương đương với 0x2100 của router: luôn đi vào mode rommon.

· 0x41 tương đương với 0x2142 của router: bỏ qua file cấu hình và nạp vào cấu hình trắng.

· 0x1 tương đương với 0x2102 của router: khởi động bình thường.

Sau khi hiệu chỉnh lại thanh ghi cấu hình, ta khởi động lại ASA:


rommon #1> reset



ROMMON Platform Reboot







Rebooting....





Booting system, please wait...

Với thanh ghi cấu hình có giá trị 0x41, ASA nạp vào một cấu hình trằng, bỏ qua cấu hình cũ (ta thấy hostname được trả về mặc định là “ciscoasa”):


ciscoasa>

Tới đây, ta đi vào mode config, copy startup – config vào running – config để sửa lại password và chép đè lên lại cấu hình cũ:


ciscoasa> enable

Password: <- Gõ password mặc định là kí tự Enter

ciscoasa# configure terminal

ciscoasa(config)# copy startup-config running-config



Destination filename [running-config]?



.

Cryptochecksum (unchanged): 5783007b cba6f878 2a17153e ac71e0c1



2462 bytes copied in 0.200 secs

ASA(config)# enable password cisco

ASA(config)# wr

Building configuration...

Cryptochecksum: d9615f56 72e0c552 26837b82 ec87445e



2918 bytes copied in 3.480 secs (972 bytes/sec)

[OK]

ASA(config)#

Cuối cùng, ta sửa lại giá trị thanh ghi cấu hình về giá trị mặc định là 0x1:


ASA(config)# config-register 0x1

Tương tự như với router, ta có thể kiểm tra giá trị này bằng lệnh “show version”:


ASA# show version | inc Configuration register

Configuration register is 0x41 (will be 0x1 at next reload)

Giá trị của thanh ghi cấu hình sẽ được đổi lại thành 0x1 ở lần khởi động kế tiếp.

Đến đây, chúng ta đã hoàn tất thao tác recovery password cho firewall ASA của Cisco.

Cảm ơn các bạn!

Hẹn gặp lại các bạn trong các bài viết tiếp theo!

Nguồn : NTPS
    Blogger Comment
    Facebook Comment