Cisco ASA Security Appliance에서 암호 복구

  • Post category:윈도우

이 기사에서는 Cisco ASA Security Appliance에서 비밀번호 “재설정”을 수행하는 방법을 설명합니다. 이 절차에 가장 일반적으로 사용되는 용어는 “비밀번호 복구”입니다. 이 용어는 실제로 구성 파일의 비밀번호를 일반 텍스트로 볼 수 있었던 시절로 거슬러 올라갑니다. 오늘날 이러한 암호는 암호화되어 실제로 복구할 수 없습니다. 대신 콘솔 포트를 통해 어플라이언스에 액세스하고 암호를 알려진 값으로 재설정합니다.

이 절차에는 장치에 대한 물리적 액세스가 필요합니다. 전원 스트립에서 장치를 분리했다가 다시 연결하여 장치를 다시 시작합니다. 그런 다음 부팅 프로세스를 중단하고 장치가 부팅 시 저장된 구성을 읽지 못하도록 구성 레지스터의 값을 변경합니다. 장치는 시작 시 저장된 구성을 무시하므로 암호 없이 구성 모드에 액세스할 수 있습니다. 구성 모드에 들어가면 플래시 메모리에서 저장된 구성을 로드하고, 암호를 알려진 값으로 변경하고, 구성 레지스터의 값을 변경하여 장치가 시작할 때 저장된 구성을 로드하고 장치를 다시 로드하도록 지시합니다.

주의: 모든 구성 절차와 마찬가지로 이러한 절차는 프로덕션 환경에서 사용하기 전에 랩 환경에서 테스트하여 상황에 적합한지 확인해야 합니다.

다음 단계는 Cisco ASA 5505 보안 어플라이언스를 사용하여 설계되었으며 Cisco PIX 방화벽 어플라이언스에는 적합하지 않습니다.

1. 멀티탭에서 전원 플러그를 뽑았다가 다시 꽂아 보안 장치를 껐다가 다시 켭니다.

2. 메시지가 표시되면 Esc를 눌러 부팅 프로세스를 중단하고 ROM 모니터 모드로 들어갑니다. rommon 프롬프트(rommon #0>)가 즉시 표시되어야 합니다.

3. rommon 프롬프트에서 conreg 명령을 입력하여 현재 구성 레지스트리 설정을 표시합니다. rommon #0>confreg

4. 현재 구성 레지스터는 기본값 0x01이어야 합니다(실제로는 0x00000001로 표시됨). 보안 어플라이언스는 구성 레지스트리를 변경할 것인지 묻습니다. 메시지가 표시되면 아니요라고 대답합니다.

5. 어플라이언스가 시작 시 저장된(부팅) 구성을 무시하도록 지시하는 구성 레지스터를 0x41로 변경해야 합니다. rommon #1>confreg 0x41

6. 부팅 명령을 사용하여 어플라이언스를 재부팅합니다. rommon #2>boot

7. 보안 어플라이언스는 부팅 프로세스 중에 부팅 구성을 무시합니다. 부팅이 완료되면 일반 사용자 모드 프롬프트가 표시됩니다. ciscoasa>

8. enable 명령을 입력하여 특권 모드로 들어갑니다. 어플라이언스가 암호를 요구하면 다음을 누르십시오(이 시점에서 암호는 비어 있음): ciscoasa>enable Password: ciscoasa#

9. 다음 명령을 사용하여 시작 구성 파일을 실행 중인 구성에 복사합니다. ciscoasa#copy startup-config running-config 대상 파일 이름 [running-config]?

10. 이전에 저장한 구성이 이제 활성 구성이지만 보안 어플라이언스가 이미 권한 있는 모드에 있으므로 권한 있는 액세스가 비활성화되지 않습니다. 그런 다음 구성 모드에서 다음 명령을 입력하여 권한 모드 암호를 알려진 값으로 변경합니다(이 경우 암호 시스템 사용). asa#conf t asa(config)#enable password system

11. 여전히 구성 모드에서 구성 레지스터를 기본값인 0x01로 재설정하여 보안 어플라이언스가 시작 시 시작 구성을 읽도록 합니다. asa(config)#config-register 0x01

12. 다음 명령을 사용하여 구성 레지스터 설정을 표시합니다. asa(config)#exit asa#show version

13. show version 명령 출력의 맨 아래에 다음 내용이 표시되어야 합니다. 구성 레지스터는 0x41입니다(다음 다시 로드 시 0x1이 됨).

14. copy run start 명령으로 현재 구성을 저장하여 위의 변경 사항을 영구적으로 적용합니다. asa#copy run start 소스 파일 이름 [running-config]

15. 보안 어플라이언스를 다시 로드합니다. asa# reload 시스템 구성이 변경되었습니다. 보호하기 위해? [Y]이다/[N]o 예

암호화 체크섬: e87f1433 54896e6b 4e21d072 d71a9cbf

1,480초에 2149바이트 복사됨(2149바이트/초) 계속 새로고침하시겠습니까? [confirm]

보안 장치가 충전되면 새 재설정 암호를 사용하여 권한 모드로 들어갈 수 있습니다.

저작권 (c) 2007 Don R. Crawley