Pemulihan Kata Sandi Cisco

 

“Akses fisik ke komputer atau router biasanya memberi pengguna yang canggih kontrol penuh atas perangkat.
Langkah-langkah keamanan perangkat lunak seringkali dapat dielakkan ketika akses ke perangkat keras tidak dikontrol.”
— Cisco Systems, Inc.

Memulihkan kata sandi untuk sebagian besar perangkat Cisco melalui port konsol sangat sederhana. Namun, Cisco telah membeli begitu banyak produsen lain dan memasang label Cisco pada perangkat mereka sehingga prosedur untuk pemulihan kata sandi sangat bervariasi dari satu perangkat Cisco ke perangkat lainnya. Selain itu, prosedur pemulihan kata sandi Cisco juga telah berubah dengan peningkatan IOS. Instruksi pemulihan kata sandi ini seumum mungkin, untuk memperhitungkan keanehan masa lalu dan masa depan yang mungkin dialami pengguna.

Instruksi pemulihan kata sandi Cisco ini akan memungkinkan pengguna untuk memulihkan kata sandi yang hilang atau sebagian besar perangkat Cisco. Kecuali dinyatakan lain, instruksi di bawah ini mengacu pada router seri 2000, 2500, 3000, 4000, 7000, dan IGS.

Bagian I: Daftar Konfigurasi

Untuk memulai pemulihan kata sandi, sambungkan terminal atau komputer yang menjalankan perangkat lunak emulasi terminal ke port konsol perangkat Cisco. Atur terminal ke 9600 bps, delapan bit data, tanpa paritas, dan dua stop bit.

Beberapa perangkat Cisco, seperti AccessPro Card, lebih menyukai 9600 bps, delapan bit data, tanpa paritas, dan satu stop bit.

Siklus daya perangkat Cisco.

Dalam waktu 60 detik setelah menyalakan perangkat Cisco, kirim sinyal BREAK dari terminal atau perangkat lunak emulasi terminal. Jika menggunakan:

Telix, tekan <CONTROL-END>

Procomm, tekan <ALT-B>

Hyperterminal, tekan <CONTROL-PAUSE>

Jika kabel yang digunakan untuk menghubungkan ke perangkat Cisco bagus dan sinyal putus dikirim dengan benar, pengguna akan diberi hadiah ‘>’ prompt. Ini bukan permintaan iOS. Ini adalah permintaan monitor ROM.

Catatan: Router Cisco 1003, 1600, 2600, 3600, 4500, 7200, 7500, 12000, AS5200, AS5300, uBR7246, dan IDT Orion-Based menggunakan “rommon” sebagai prompt monitor ROM.

Catatan: Cisco 3800 ERM menggunakan “3800-ERM(boot)>” sebagai prompt monitor boot. Pengguna dapat masuk ke cara istimewa langsung dari monitor boot 3800 ERM, di mana prompt berubah menjadi “3800-ERM(boot)#.”

Lihat register konfigurasi menggunakan perintah ‘e/s 2000002.’ Tuliskan nilai register konfigurasi. Gunakan perintah `Q` untuk kembali ke prompt monitor ROM.

Catatan: Jika perangkat dapat masuk, lihat daftar konfigurasi hanya dengan menggunakan perintah `show version.` Beberapa perangkat Cisco tidak memerlukan kata sandi untuk masuk dari port konsol.

Catatan: Router Cisco 1003, 1600, 2600, 3600, 4500, 7200, 7500, 12000, AS5200, AS5300, uBR7246, dan IDT Orion-Based menggunakan perintah `confreg` atau `config-register` untuk masuk ke utilitas register konfigurasi . Pengguna ditanyai serangkaian pertanyaan. Javab ya untuk “Apakah Anda ingin mengubah konfigurasi[y/n]?,” “abaikan info konfigurasi sistem[y/n]?,” dan “ubah karakteristik boot[y/n]?.” Javab tidak untuk semua pertanyaan lainnya. Pada prompt “enter to boot:” masukkan `2` dan tekan kembali. Javab tidak untuk pertanyaan “Apakah Anda ingin mengubah konfigurasi[y/t]?” kedua kalinya terlihat.

Mengatur register konfigurasi. Masukkan perintah `o/r0x42` agar perangkat melakukan booting dari ROM flash. Jika ROM flash rusak, gunakan perintah `o/r0x41` agar perangkat melakukan booting dari ROM boot.

Catatan: Beberapa perangkat Cisco yang lebih lama seperti CGS, MGS, AGS, AGS+, dan router awal 7000 mengharuskan pengguna untuk mengubah register konfigurasi dengan memindahkan jumper perangkat keras. Pada banyak perangkat ini, jumper berada di kartu prosesor CSC dan harus diubah dengan melepas jumper delapan dan menempatkannya di posisi lima belas.

Router Cisco IGS awal menggunakan sakelar DIP untuk mengatur register konfigurasi. Pada IGS, setel sakelar 0-3 OFF/UP dan sakelar 7 ON/DOWN.

<2>Bagian II: Memodifikasi Konfigurasi

Siklus daya perangkat.

Javab `Tidak` untuk semua pertanyaan penyiapan.

Pada prompt “Router>”, gunakan perintah `enable` untuk masuk ke cara istimewa. Prompt pengguna akan berubah menjadi “Router#.”

Gunakan perintah `show startup-config` untuk melihat file konfigurasi perangkat. Cari kata sandi. Jika kata sandi tidak dienkripsi, catat kata sandi dan reboot perangkat. Jika kata sandi dienkripsi, lanjutkan dengan petunjuk ini.

Gunakan perintah `configure memory` untuk menyalin file konfigurasi dari NVRAM ke RAM. Sebelum melakukan ini, konfigurasi perangkat akan kosong. Setelah melakukan ini, konfigurasi perangkat akan menjadi konfigurasi yang sebelumnya disimpan oleh administrator perangkat.

Gunakan perintah `configure terminal` untuk masuk ke cara konfigurasi.

Jika diinginkan, gunakan perintah `password` untuk mengatur kata sandi login atau perintah `tanpa kata sandi` untuk menghapus kata sandi login.

Jika diinginkan, gunakan perintah `aktifkan kata sandi` untuk mengatur kata sandi yang diaktifkan atau perintah `tidak ada kata sandi yang diaktifkan` untuk menghapus kata sandi yang diaktifkan.

Jika diinginkan, gunakan perintah `enable secret` untuk mengatur kata sandi rahasia atau perintah `no enable secret` untuk menghapus kata sandi rahasia.

Jika diinginkan, gunakan perintah `line 0` dan `password` untuk menyetel kata sandi pada port konsol atau perintah `line 0` dan `no password` untuk menghapus kata sandi pada port konsol.

Mengubah kata sandi ini dapat membuat tidak nyaman dan mengganggu administrator perangkat ini sebelumnya! Jika kata sandi tidak dienkripsi, kata sandi tidak perlu diubah. Jika kata sandi dienkripsi, ubah atau dekripsi. Untuk informasi tentang mendekripsi kata sandi ini, baca Bagaimana cara saya mendekripsi kata sandi Cisco? .

Tekan <CONTROL-Z> untuk keluar dari cara konfigurasi.

Gunakan perintah `copy running-config startup-config` untuk menyalin konfigurasi yang sedang diedit kembali ke file startup-config. Ini akan menyimpan perubahan yang baru saja dibuat pada konfigurasi.

Bagian III: Membersihkan

Siklus daya perangkat.

Kembalikan register konfigurasi ke nilai aslinya. Gunakan perintah `configure terminal` untuk masuk ke cara konfigurasi dan kemudian gunakan perintah `config-register` untuk mengatur register konfigurasi. Jika pengguna tidak dapat mencatat register konfigurasi sebelumnya, dia hampir selalu baik-baik saja dengan menyetelnya ke 0x2102, yang merupakan default untuk sebagian besar perangkat Cisco.

Catatan: Nilai register konfigurasi default untuk Router Switch Processor (RSP4) adalah 0x0101.

Catatan: Pada perangkat tempat jumper dipindahkan atau sakelar DIP diatur, ubah kembali ke konfigurasi aslinya.

Beberapa perangkat Cisco mengharuskan pengguna untuk menghapus seluruh konfigurasi mereka untuk memulihkan dari kata sandi yang hilang. Pada modul ATM Catalyst 2820, reset ke default pabrik dari Menu Konfigurasi Port. Pada 500-CS, tekan tombol reset di bagian atas casing saat menyalakan perangkat dan seluruh konfigurasi dikembalikan ke default pabrik. Pada Catalyst 3000, tekan tombol SysReq di panel belakang selama lima detik, lepaskan, lalu pilih “Hapus RAM Non-Volatile” dari menu.

Beli buku luar biasa tentang keamanan Cisco ini di Amazon.com