Забыл пароль от Cisco ASA 5505
on
7/10/2012 03:03:00 PM
in
Типа IT
Валялся за ненадобностью монстрик цисковский, ASA 5505. Ранее используемый как гейт для офиса, с IPSec туннелем в нагрузку, стал он нынче забытым с переходом на OpenVPN, что потянул за собой некоторые изменения топологии и как следствие списавший циску в хлам, забавно, с людьми тоже такое бывает)). И все бы хорошо если не неугомонные деятели в корпусе управленцев. Решили переехать на циски, во главе с HQ и филиалами, и соответственно заюзать везде IPSec. Я влюблен в циску, безусловно, но я в люблен и в OpenVPN, со своим вездесущим udp туннелированием, ибо AH заголовок IPSec нередко попадает в мясорубки особо злоебучих фаеров или роутеров. Может это чисто субъективная нелюбовь к шлангам ипсековским, но все что добавляет заголовки дополнительные(а стало быть увеличивая пэйлоад) гуляющим по инету пакетам меня особо не радует, ну да не суть...
Итак, задача подготовить АСЮ к коронации со всеми сопутствующими плясками. Хвать - а пароль то забылся. Тщетные попытки отковырять его из плесени памяти привело к тому что мне все чаще мерещились яркие картины четвертования на фашистские крестики и анальные дефлерации в особо извращенных формах. От прежнего админа никакой дополнительной инфы не осталось(выручил бы очень енэйбл пассик на консоль, да где ж взять то его). Единственный выход - сбивать на хер пароль!!!
Что мне нравиться в циске - чумовой суппорт и документирование. Загуглив на предмет "снять пояс верности с АСИ 5505" я попал на весьма удобоваримую статейку с доходчивым инструктажем. Дабы не шуршать впредь(но и надеясь что более мне это не понадобится делать) записываю аккуратно в блокнот.
Итак, последовательность такова:
шаг 1 Подключаемся к консоли монстрика. Тут следует самому себе
напомнить о полезном переходнике USB20 на RS232, так удачно
завалявшийся в моих закромах. Правда была небольшая ебля с
определением контроллера на семерке, но впредь буду знать что
нужные дровишки стоит гуглить по ключевым Prolific USb-toSerial-
com-Port, PL2303.
Подключившись, увидел большой болт в виде
запроса пароля в ответ на:
ciscoasa > en
шаг 2 Вырубаем электричество во всем здании, затем подаем питание на устройство))
шаг 3 Во время загрузки жмем на Escape при запросе на ввод ROMMON.
шаг 4 Далее интереснее. Для того чтобы игнорировать startup конфигурацию при
перезагрузке вводим команду:
rommon #1> confreg перезагрузке вводим команду:
После этого АСЯ покажет текущее значение регистра конфигурации:
Current Configuration Register: 0x00000001
Configuration Summary:
boot TFTP image, boot default image from Flash on netboot failure
Do you wish to change this configuration? y/n [n]:
шаг 5 Берем карандаш, вполне подойдет и "Ресничка", и записываем
текущее значение, ибо оно понадобиться нам впоследствии.
шаг 6 Далее жмем Y для внесения изменений в том в чем нас попросят.
шаг 7 Тупо херачим Enter-ом для ввода значений по умолчанию за
исключением "disable system configuration?" где жмем Y.
шаг 8 Перезагружаем железку командой:
rommon #2> boot
Случится при это то что АСЯ загрузит дефолтный конфиг вместо
стартового.
шаг 9 После загрузки смело шагаем в привилегированный режим:
ciscoasa> enable
шаг 10 Обойдемся без чезанах при запросе пароля и жмем Enter ибо
пассик тута пустой.
шаг 11 Грузим startup конфиг командой:
ciscoasa# copy startup-config running-config
шаг 12 Чешем в глобальный конфигурационный режим:
ciscoasa# configure terminal
шаг 13 Самый интересный момент(и почему самое приятное у меня
связанно с 13?...) - меняем наконец-то пароль:
ciscoasa(config)# password password
ciscoasa(config)# enable password password
ciscoasa(config)# username name password password
шаг 14 Меняем конфигурационный регистр за тем чтобы при следующей
перезагрузке грузился startup конфиг:
ciscoasa(config)# config-register value
Где value то самое бережно записанное значение с пролога
эпопеи. Дефолтное значение кстати 0x1.
шаг 15 Сохраняем новый пароль в стартап:
ciscoasa(config)# copy running-config startup-config
Откидываемся на спинку стула и медитируем!