Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Khôi Phục Password Cho Asa (adaptive Security Appliance) 5500 Series

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Khôi Phục Password Cho Asa (adaptive Security Appliance) 5500 Series

    Phần này mô tả cách thức khôi phục lại password mà bạn quên hoặc khôi phục lại password từ một tình huống bị khóa (lockout) do những cài đặt AAA trước đó. Phần này sẽ gồm 2 mục nhỏ:

    ·Thực hiện khôi phục password cho ASA 5500 series.

    ·Cấm (disable) khôi phục password.

    1. Thực hiện khôi phục password cho ASA 5500 series.


    Để khôi phục lại password đã bị mất, chúng ta thực hiện những bước sau:

    Bước 1: Kết nối với ASA thông qua port console.

    Bước 2: Tắt nguồn (power off) ASA, và sao đó mở nguồn (power on) lại.

    Bước 3: Trong quá trình khởi động, nhấn phím Escape để đi vào mode ROMMON.

    Bước 4: Để cấu hình ASA bỏ qua startup configuration khi khởi động lại, ta phải thay đổi thanh ghi của ASA bằng câu lệnh sau:

    Code:
    rommon #1> confreg
    ASA sẽ hiển thị giá trị cấu hình thanh ghi hiện tại, và hỏi xem bạn có muốn thay đổi giá trị này không:

    Current Configuration Register: 0x00000011Configuration Summary: boot TFTP image, boot default image from Flash on netboot failureDo you wish to change this configuration? y/n [n]:
    Bước 5: Ghi lại thị giá trị cấu hình thanh ghi hiện tại để sau này bạn có thể khôi phục lại.

    Bước 6: Tại dấu nhắc (prompt), nhấn Y để thay đổi giá trị thanh ghi.

    ASA sẽ hỏi bạn về giá trị thanh ghi mới.

    Bước 7: Chấp nhận các giá trị mặc định (default) cho tất cả các cài đặt, ngoại trừ trường hợp “disable system configuration?”, tại dấu nhắc này chọn Y.

    Bước 8: Khời động lại ASA bằng câu lệnh sau:

    rommon #2> boot
    ASA sẽ load cấu hình mặc định (default) thay vì load startup configuration.

    Bước 9: Vào mode privileged EXEC bằng câu lệnh sau:

    hostname> enable
    Bước 10: Khi bị hỏi password, nhấn Enter dể vào mode privileged EXEC.

    Theo cấu hình mặc định ban đầu của ASA thì password để vào mode privileged EXEC là password trắng (blank).

    Bước 11: Load lại startup configuration bằng câu lệnh sau:

    Code:
    hostname# copy startup-config running-config
    Bước 12: Vào mode global configuration bằng câu lệnh sau:

    hostname# configure terminal
    Bước 13: Thay đổi password trong cấu hình bằng các câu lệnh sau, nếu cần thiết:

    Code:
    hostname(config)# password passwordhostname(config)# enable password passwordhostname(config)# username name password password
    Bước 14: Thay đổi cấu hình thanh ghi để load startup configuration trong lần reload tới bằng câu lệnh sau:

    Code:
    hostname(config)# config-register value
    Với value là giá trị mà bạn đã ghi lại ở bước 5. 0x1 là giá trị cấu hình thanh ghi mặc định. Đây là bảng giá trị có thể cấu hình được của thanh ghi.


    Configuration Register Values





    Bước 15: Lưu lại password mới vào startup configuration bằng câu lệnh sau:

    Code:
    hostname(config)# copy running-config startup-config
    2. Cấm khôi phục password

    Bạn cũng có thể muốn cấm (không cho phép) khôi phục password để bảo đảm rằng những user không có thẩm quyền không thể sử dụng cơ chế khôi phục password để gây hại cho ASA. Để cấm khôi phục password, chúng ta sử dụng câu lệnh sau:

    Code:
    hostname(config)# no service password-recovery
    Trên ASA 5500 series, câu lệnh no service password-recovery sẽ ngăn không cho user vào mode ROMMON để thay đổi cấu hình. Khi user vào mode ROMMON, ASA sẽ yêu cầu user xóa tất cả các file hệ thống trong Flash. User sẽ không thể vào mode ROMMON nếu không thực hiện việc xóa file này. Nếu user chọn không xóa file hệ thống trong Flash, ASA sẽ reload lại. Bởi vì khôi phục password dựa trên việc sử dụng ROMMON và vẫn duy trì cấu hình hiện tại, nên việc xóa này sẽ ngăn cản bạn khôi phục password. Tuy nhiên, không cho phép khôi phục pasaword cũng ngăn cản những user không có thẩm quyền xem cấu hình hay chèn vào một password khác. Nếu trong trường hợp unauthorized user xóa tất cá các file hệ thống trong Flash thì để khôi phục lại hệ thống chúng ta phải load một IOS image mới và sử dụng file cấu hình backup (nếu có).

    tranthanhliem@vnpro.org
    Trung tâm tin học VnPro
    Viet Professional Ltd. Co
    Cisco Authorised Training
    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel: (08) 5124257-5125314
    Fax: (08) 5124314
    Website: http://vnpro.vn
    Support forum: http://vnpro.org
Working...
X