Configuração e Recuperação de Senhas de Roteadores Cisco

Senhas existentes nos roteadores CISCO

Padrão

OBJETIVO: Auxiliar na administração e manutenção de senhas existentes em roteadores CISCO.  FONTE: http://mgt2.umassp.edu/~johnj/ecc597a-jj-labs-pwords.html

Existem 3 tipos de senhas no arquivo de configuração dos roteadores com as quais devemos nos familiarizar. A senha secreta (enable secret), a senha de enable e as senhas dos terminais de linha. Para vê-las ou alterá-las é necessário que você já esteja logado no roteador e tenha habilitado o modo privilegiado de enable.

1 – A SENHA SECRETA DE ENABLE (ENABLE SECRET)

Esta é a senha de enable dos roteadores criptografada. Para configurar ou alterar esta senha devemos estar no modo de configuração e digitar a nova senha desejada, ou seja:

Router(config)# enable secret boo

Onde boo é a nova senha secreta (em formato texto comum) que você configurou. Isto é tudo.

Na próxima vez que você der uma olhada no arquivo de configuração (show conf) você verá uma linha correspondente a senha secreta, mas em vez de apresentá-la em formato texto claro tal qual você digitou, você a verá em formato criptografado.

2 – A SENHA DE ENABLE

Esta é uma versão em texto legível de uma senha de enable que um roteador poderá usar caso uma versão antiga de IOS, sem suporte a criptografia de senhas, tenha sido instalado por cima de outra versão de IOS que usou anteriormente criptografia de senhas .

Sem isso, o roteador ficará sem nenhuma senha de enable. Porquê? Bem, se o arquivo de configuração contiver uma senha de enable criptografada devido a uma nova versão de IOS com suporte, o roteador simplesmente não será capaz de decifrá-la e autenticá-la para a pessoa que a introduziu.

Para configurar ou alterar a senha de enable, entre no modo de configuração e digite a nova senha desejada, ou seja:

Router(config)# enable password boo

Onde boo é a nova senha de enable (em formato texto comum) que você configurou. Isto é tudo.

Da próxima vez que você der uma olhada no arquivo de configuração (show conf) você verá uma linha correspondente a senha de enable que lhe é apresentada exatamente como você a digitou durante a configuração.

3 – AS SENHAS DOS TERMINAIS DE LINHA

Estas senhas controlam o acesso as interfaces de linha de comando sem privilégio do roteador. A porta de console serial pode ser configurada para não exigir senha de entrada para acesso ao prompt de comandos sem privilégio.

O roteador exige que você configure uma senha para os seus terminais vty (terminais virtuais, nos quais você estabelece uma conexão quando usa telnet para se conectar ao roteador).

Para configurar ou trocar as senhas dos terminais, entre no modo de configuração e digite a nova senha que você deseja, ou seja:

Router(config)#line 0 6

Onde o intervalo 0 6 seleciona a faixa de terminais vty para os quais vou atribuir uma senha.

Router(config-line)#password boo

A palavra boo é a nova senha de terminal (em formato texto plano). Isto é tudo. Da próxima vez que você der uma olhada no arquivo de configuração (show conf), você verá uma linha de senha para cada um dos vty’s apresentando a versão em formato de texto plano da senha que você configurou.

4 – ALTERAÇÃO DA SENHA DE LOGIN:

Router#sh conf

Router#conf term

Router(config)#line vty 0 4

Router(config-line)#password 0 “novasenha”

5 – ALTERAÇÃO DA SENHA DE ENABLE:

Router(config)#enable secret 0 “novasenha”

6 – TELNET PARA PORTA ASYNC

Recebe: conectado 19200

telnet 200.59.254.171 20yy

YY – line number

 

Senhas existentes nos roteadores CISCO

Modelos: 4500, 4700, AS5x00, 7000, 7100, 7200, 7500, 12000

OBJETIVO: Promover ajuda, informando os procedimentos para a recuperação da senha de enable ou de uma senha de enable secret. FONTE: www.cisco.com/warp/public/474/pswdrec_as5300.shtml

   http://www.cisco.com/en/US/products/hw/routers/ps133/products_tech_note09186a0080174a34.shtml#topic1 

INTRODUÇÃO:

Este documento descreve o procedimento para recuperação da senha de enable ou de uma senha de enable secret. Estas senhas são usadas para proteger o acesso ao modo privilegiado de EXEC e de configuração. A senha de enable pode ser recuperada, mas a senha de enable secret devido ao fato de ser criptografada, somente pode ser substituída por uma nova senha usando o procedimento abaixo:

Passo 1: Conecte o seu terminal ou PC à porta de console do roteador, usando o cabo da CISCO na cor preta, parecido com um cabo telefônico, podendo ter em suas extremidades os seguintes adaptadores: RJ-45 para RJ-45, RJ-45 para DB-9 ou RJ-45 para DB-25.

Passo 2: Configure o seu terminal ou software de emulação de terminal (Hyperterminal no Windows, Minicom no Linux) com os parâmetros: 9600 baund rate, no parity, 8 data bits, 1stop bit (8N1) e no flow control.

Passo 3: Caso você ainda tenha acesso ao roteador digite “show version” e anote o valor do registro de configuração. Estes valores costumam ser 0x2102 ou 0x102.

Passo 4: Caso contrário (devido a perda do seu último login ou da senha do tacacs) considere o registro de configuração como tendo o valor 0x2102.

Passo 5: Desligue e ligue no interruptor a alimentação de força do roteador.

Passo 6: Envie um comando de “break” (por exemplo: “Crtl – ] ” ou “Ctrl – Break”) ao roteador dentro do intervalo de 60 segundos após ligá-lo. O comando de “break” variará dependendo do pacote de emulação do terminal usado (consulte tabela abaixo). No Hyperterminal (Win) devemos segurar a tecla <Ctrl> e apertar a tecla <Break>. Após o envio com sucesso do caracter, o roteador entrará em seu modo ROM MONITOR indicado pelo novo prompt cujo símbolo é (>).

Standard Break Key Combinations

Software
Platform Operating System Try This

Hyperterminal IBM Compatible Windows 2000 Ctrl-Break
Hyperterminal (version 595160) IBM Compatible Windows 95 Ctrl-F6-Break
Kermit Sun Workstation UNIX Ctrl-\l Ctrl-\b
MicroPhone Pro IBM Compatible Windows Ctrl-Break

Minicom IBM Compatible Linux Ctrl-a f
ProComm Plus IBM Compatible DOS or Windows Alt-b
Telix IBM Compatible DOS Ctrl-End
Telnet to Cisco IBM Compatible N/A Ctrl-]
Teraterm
IBM Compatible
Windows
Alt-b

Terminal
IBM Compatible
Windows
Break

Ctrl-Break

Tip
Sun Workstation
UNIX
Ctrl-], then Break or Ctrl-c

~#

VT 100 Emulation
Data General
N/A
F16

Windows NT
IBM Compatible
Windows
Break-F5

Shift-F5

Shift-6 Shift-4 Shift-b (^$B)

Z-TERMINAL
Mac
Apple
Command-b

N/A
Break-Out Box
N/A
Connect pin 2 (X-mit) to +V for half a second

Cisco to aux port
N/A
Control-Shft-6, then b

IBM Compatible
N/A
Ctrl-Break

Passo 7: Estando no modo ROM MONITOR (indicado pelo prompt rommon1>) digite “confreg 0x2142” para ele fazer o boot a partir da memória flash, e assim não carregando a configuração existente.

rommon1> confreg 0x2142

Passo 8: Uma vez determinado por onde o roteador deve dar o boot, inicialize e dê um reboot no roteador através do seguinte comando:

rommon2>reset

Ele rebootará ignorando as configurações previamente salvas.

Passo 9: Após a conclusão do boot você não será questionado sobre se deseja entrar no diálogo inicial de configuração. Digite “n” após cada questão sobre configuração ou pressione “Ctrl – c” para saltar o procedimento inicial de configuração. Digite “y” após cada questão sobre configuração caso você deseje zerar a configuração existente.

Passo 10: Entre no modo privilegiado de EXEC digitando o comando de enable. Nenhuma senha será necessária. O símbolo do prompt mudará para Router(boot)#.

Router> enable

Router#

Passo 11: IMPORTANTE. Em primeiro lugar, carregue a configuração original de volta ao roteador, antes de entrar no modo de configuração de terminal. Existem dois caminhos equivalentes para copiar o conteúdo da mamória RAM não volátil (NVRAM) para a memória. A seleção adequada depende da versão do software de IOS que você está rodando.

Router# copy startup-config running-config (caso IOS com versão maior ou igual a 11.0)

Router# config mem (caso IOS menor que 11.0)

NOTA: Se o roteador foi configurado originalmente com um nome, o prompt irá mudar para router_name#.

Passo 12: Verifique as configurações prévias digitando os comandos “write terminal” ou “show running-config”. Estes comandos lhe mostrarão as configurações do roteador. Nesta configuração você verá sob todas as interfaces o status shutdown; isto significa que neste momento todas as interfaces estão derrubadas. Você também pode ver diversas senhas (senha de enable, senha secreta de enable, senha de vty, senha de console, etc) tanto no formato criptografado quanto no formato não criptografado. As senhas não criptografadas podem ser usadas novamente, já as criptografadas deverão ser trocadas por uma nova.

Router_name# write terminal

Router_name# show running-config

Passo 13: Configure a nova senha secreta de enable entrando no modo de configuração de terminal.

Router_name# conf term

Router_name(config)# enable secret <nova_senha>

Passo 14: Levante cada uma das interfaces caídas usando o comando “no shutdown”. Verifique se obteve sucesso com o comando “show ip interface brief”, nele deverão constar cada uma das interfaces que você deseja usar no estado UP UP.

Router_name(config)# int se0

Router_name(config_if)# no shutdow

Router_name(config_if)# end

Passo 15: Recupere o registro de configuração e deixe o modo de configuração. O registro de configuração deve ser resetado, assim o roteador irá dar o boot adequadamente usando a configuração agora armazenada na NVRAM. Adote o valor do registro de configuração anotado no passo 3 ou o sugerido no passo 4.

Router_name(config)# config_register 0x2102 (passo 4)

Router_name(config)# end ou <Ctrl – z>

Senhas existentes nos roteadores CISCO

Modelos: 2500/4000

OBJETIVO: Promover ajuda, informando os procedimentos para a recuperação da senha de enable ou de uma senha de enable secret.

FONTE: www.cisco.com/warp/public/779/smbiz/service/knowledge/general/recovery2.htm

NOTA: Antes de começar, faça sua conexão à console do roteador.

Passo 1: Conecte o seu terminal ou PC à porta de console do roteador, usando o cabo da CISCO na cor preta, parecido com um cabo telefônico, podendo ter em suas extremidades os seguintes adaptadores: RJ-45 para RJ-45, RJ-45 para DB-9 ou RJ-45 para DB-25.

Passo 2: Configure o seu terminal ou software de emulação de terminal (Hyperterminal no Windows, Minicom no Linux) com os parâmetros: 9600 baund rate, no parity, 8 data bits, 1stop bit (8N1) e no flow control.

Passo 3: Caso você ainda tenha acesso ao roteador digite “show version” e anote o valor do registro de configuração. Estes valores costumam ser 0x2102 ou 0x102.

Passo 4: Desligue e ligue no interruptor a alimentação de força do roteador.

Passo 5: Envie um comando de “break” (por exemplo: “Crtl – ] ” ou “Ctrl – Break”) ao roteador dentro do intervalo de 60 segundos após ligá-lo. O comando de “break” variará dependendo do pacote de emulação do terminal usado (consulte tabela abaixo). No Hyperterminal (Win) devemos segurar a tecla <Ctrl> e apertar a tecla <Break>. Após o envio com sucesso do caracter, o roteador entrará em seu modo ROM MONITOR indicado pelo novo prompt cujo símbolo é (>).

                • Ver tabelas de comandos para terminais

Passo 6: Estando em modo ROM MONITOR configure o registro de configuração para o valor 0x142. Isto fará com que o roteador se desvie do conteúdo configurado e armazenado na NVRAM até o próximo processo de boot

> o/r 0x142

Passo 7: Uma vez alterado o registro de configuração, inicialize e reboot o roteador através da digitação do seguinte comando:

> i

Isto fará com que o roteador dê um reboot nele mesmo.

Passo 8: Após a conclusão do boot você será questionado sobre se deseja entrar no diálogo inicial de configuração. Digite “n” após cada qustão sobre configuração ou pressione “Crtl – c” para saltar o procedimento inicial de configuração. Digite “y” após cada questão sobre configuração caso você deseje zerar a configuração existente.

Passo 9: Entre no modo privilegiado de EXEC digitando o comando de enable. Nenhuma senha será necessária. O símbolo do prompt mudará para Router(boot)#.

Router> enable

Route#

Passo 10: IMPORTANTE. Em primeiro lugar, carregue a configuração original de volta ao roteador, antes de entrar no modo de configuração de terminal. Existem dois caminhos equivalentes para copiar o conteúdo da mamória RAM não volátil (NVRAM) para a memória. A seleção adequada depende da versão do software de IOS que você está rodando.

Router# copy startup-config running-config (caso IOS com versão maior ou igual a 11.0)

Router# config mem (caso IOS menor que 11.0)

NOTA: Se o roteador foi configurado originalmente com um nome, o prompt irá mudar para router_name#.

Passo 11: Configure a nova senha secreta de enable entrando no modo de configuração de terminal.

Router_name# conf term

Router_name(config)# enable secret <nova_senha>

Passo 12: Recupere o registro de configuração e deixe o modo de configuração. O registro de configuração deve ser resetado, assim o roteador irá dar o boot adequadamente usando a configuração agora armazenada na NVRAM. Adote o valor do registro de configuração anotado no passo 3.

Router_name(config)# config_register 0x2102

Router_name(config)# end ou <Ctrl – z>

Passo 13: Salve as alterações realizadas.

Router# copy running-config startup-config (IOS maior ou igual a 11.0)

ou

Router# write memory

Passo 14: Verifique, digitando o comando “show version”, que a linha correspondente ao registo de configuração está indicando o valor atual ajustado para 0x142, no entanto, entre parênteses ele nos informa que o próximo reload se dará com o novo valor ajustado para 0x2102.

Router# show version

Passo 15: Dê uma recarga no roteador.

Router# reload

Sobre Rodrigo Tomazini 56 Artigos
Analista CNPI-P, Analista de Sistemas e Pós Graduado em Engenharia de Sistemas. Atua atualmente como Analista CNPI e Consultor de TI.