Devi fare delle modifiche al tuo Firewall Cisco ed hai perso la password di management, questo è sicuro, se sei giunto fin qui. Quell’odiosa scritta Access Dained, ti sta facendo impazzire il cervello, e resettare l’apparato, dopo tutta la fatica che hai fatto per configurarlo non mi sembra il caso.
Beh lo sapevi che gli ASA hanno una procedura molto nascosta per resettare la password? Se non lo sapevi allora è il caso che tu mi segua, così da non sprecare tutta quella fatica che ho impiegato io per effettuare questa operazione.
Questa è stata una delle esperienze lavorative più strane che mi siano capitate sino ad oggi. Sono stato contattato da un cliente che da poco gestisco, con l’urgente bisogno di lavorare da un altro ufficio, con i file del suo attuale ufficio.
Sapevo che il cliente aveva un firewall per creare una VPN, ma non sapevo quale fosse la password di management.
Preso un po’ alla sprovvista da questa situazione, inizio ad indagare alla ricerca della password fra mille pezzi di carta, ma senza alcun risultato.
Ero quasi giunto all’idea di resettarlo, ma quando ho letto una cosa sul manuale di Cisco, la mia giornata è cambiata in meglio.
Sono riuscito a scovare un piccolo trucchetto, che nessuno ti insegnerà mai, perché esso è molto pericoloso, sia per la sicurezza del firewall stesso, che per la possibile perdita della configurazione dello stesso.
Il firewall in questione è un ASA 5505 prodotto come ho detto in precedenza da Cisco, una nota azienda americana che lavora principalmente nell’ambito del networking.
Dopo aver letto questo articolo, le vie che potrai percorrere saranno due, starà a te utilizzare quella che riterrai migliore:
- Resettare il firewall e riconfigurare il tutto(Cosa molto sconsigliata)
- Resettare la password del firewall ed effettuare il Password Recovery(scelta consigliata)
Prima di resettare l’intero firewall, un tentativo (che andrà sicuramente a buon fine) di effettuare il reset della password, bisogna sempre farlo. Ecco il perché ti propongo questa guida semplificata, tratta direttamente dal manuale scritto da Cisco.
Innanzitutto ti descriverò alcune cose che ci serviranno per effettuare la procedura:
- Un cavo seriale, l’ideale sarebbe quello di utilizzare, quello compreso nel kit fornito da Cisco, al momento dell’acquisto del firewall.
- Un computer, dal quale connetterti in seriale all’ ASA.
- Putty.exe, un magnifico programmino gratuito, che ti permetterà di connettere il tuo computer, in seriale al tuo firewall.
- Un adattatore USB to Serial, nel caso il tuo computer non disponesse di una porta seriale.
Contenuti dell'articolo
Reset Password Cisco ASA 5505 (Password Recovery)
Note: la procedura che ti sto per spiegare può essere eseguita su ogni tipo di firewall Cisco ASA
Parte 1
Una volta che hai a disposizione tutto il materiale che ti ho descritto in precedenza Segui questi step, per prepararti ad effettuare la procedura per il password Recovery del tuo Cisco ASA 5505:
- Collega il cavo seriale, dal tuo computer al tuo firewall Cisco, tramite l’apposita porta Console. La noterai perché di colore azzurro.
- Apri Putty.exe e connettiti in seriale, al firewall, mediante la checkbox corretta e la porta COM a cui hai collegato il cavo
- Spegni il firewall e riaccendilo.
- Subito dopo averlo acceso, premi il tasto Escape (il tasto Esc in alto a sinistra sulla tastiera). l’ ASA si avvierà in una strana modalità, invece del nome del tuo Cisco, sulla riga di comando troverai scritto ROMMON, è una particolare modalità di avvio dell’apparato, una sorta di modalità provvisoria di Windows.
- Ora sei pronto ad effettuare reset della password, o se preferisci Password Recovery.
Benissimo! Ora che sei riuscito ad accendere al tuo firewall nella modalità ROMMON, nulla ti potrà fermare! Ci siamo quasi, ora non ti resta altro che completare gli step successivi e finalmente resettare la password dell’apparato di rete. Per i prossimi step ti chiedo di stare molto attento a ciò che fai, non è difficile, ma sbagliare potrebbe compromettere la configurazione del tuo Cisco ASA 5505
Parte 2
Perfetto ci siamo! Ora non ti resta altro che eseguire attentamente i comandi che ti suggerisco, al fine di resettare la password del tuo Cisco ASA 5505. Seguimi attentamente 😉
- Per aggiornare il valore nella configurazione del registro scrivi:
rommon #1> confreg 0x41 Update Config Register (0x41) in NVRAM...
- Ora, per far si che l’ASA ignori la configurazione durante l’avvio, scrivi questo comando:
rommon #1> confreg
- A questo punto il firewall, ti mostrerà a video la configurazione e ti chiederà se vuoi cambiarla. Dovrai rispondere si a tutte le domande utilizzando, come suggerito dalla Console il tasto Y.
Current Configuration Register: 0x00000041
Configuration Summary:
boot default image from Flash
ignore system configuration
Do you wish to change this configuration? y/n [n]: y
- Come ti ho detto in precedenza, l’ASA ti proporrà di accettare i nuovi valori, rispondi con un si con la lettera Y
- Ricarica il firewall, mediante il comando:
rommon #2> boot
Launching BootLoader...
Boot configuration file contains 1 entry.
Loading disk0:/asa800-226-k8.bin... Booting...Loading...
A questo punto, verrà caricata la configurazione di default
- Ora che il firewall è avviato con la configurazione di default, devi accedere con permessi privilegiati nella modalità EXEC
CiscoASA> enable
- Ora dovrai inserire la password, che questa volta sarà vuota in modo da permetterti di accedere.
- A questo punto carica la configurazione di avvio, con questo comando:
CiscoASA# copy startup-config running-config
- Accedi alla configurazione globale:
CiscoASA# configure terminal
- E’ giunto il momento che tanto aspettavi, ovvero quello di cambiare la password al nostro Cisco ASA 5505, per effettuare il reset una volta per tutte(il mio consiglio è quello di non mettere uno username, ma di lasciarlo vuoto, quindi di non eseguire il terzo comando. Sta a te decidere cosa è più consono alle tue abitudini da informatico 😉 ).
CiscoASA(config)# password password
CiscoASA(config)# enable password password
CiscoASA(config)# username name password password
- Ora carica la configurazione di default, cioè quella che normalmente viene caricata quando accendi il tuo firewall:
CiscoASA(config)# no config-register
- l’ultima cosa che ti rimane da fare, è quella di salvare la password che hai appena scelto, in modo che dal prossimo riavvio tu possa accedere con essa, non più con quella sconosciuta di prima. Ecco l’ultimo comando che devi utilizzare:
CiscoASA(config)# copy running-config startup-config
- Riavvia il Cisco ASA, per testare se la password è stata resettata.
Se hai riavviato il tuo firewall e stai leggendo questa riga, significa che sei riuscito nella fatidica impresa di resettare la password del tuo Cisco ASA 5505.
Spero che ti sia stato d’aiuto e perché no? potresti lasciarmi un feedback infondo alla pagina con un commento, una condivisione oppure se davvero ti sono stato d’aiuto, potresti continuare a seguirmi .
A te non costerebbe nulla, io invece sarò molto soddisfatto di averti aiutato.
Grazie 1000…avevo un Cisco Asa 5505 blindato in produzione nella mia azienda perchè di un fornitore esterno che non aveva più le password.
Buonasera Fabio,
mi fa molto piacere esserti stato d’aiuto! Ci ho perso un sacco di tempo anche io la prima volta 😀