The no service password-recovery Command for Secure ROMMON Configuration

[jamshid]

دستور no service password-recovery قابلیتهای امنیتی ROMMON رو فعال میکند ولی در هنگام استفاده از این دستور باید نهایت دقت رو انجام بدید و گرنه با دردسرهای زیادی مواجه خواهید شد.
این دستور در جایی کاربرد دارد که احتمال دسترسی فیزیکی برای فرد خرابکار میرود و با فعال کردن آن امکان مشاهده و یا از بین بردن کانفیگ دستگاه را برای فرد مورد نظر از بین میبرید.این دستور امکان دسترسی به ROMMON را حذف و هیچ کس با تغییر register نمیتواند تنظیمات پیش فرض را در موقع startup بی اثر کند.
پس no service password-recovery برای ما ROMMON security را فعال میکند.
توجه:
از آنجایی که بازیابی پسورد در این حالت با از بین رفتن تنظیمات دستگاه همراه هست پس بهتر آنست که پشتبانی از تنظیمات بر روی TFTP یا FTP تهیه کنید.

خطرات استفاده از این دستور :
با فعال کردن این دستور دسترسی به ROMMON از بین میرود و اگر IOS سالمی در Flash memory روتر وجود نداشته باشد نمیتوان از دستور ROMMON XMODEM برای قرار دادن یک IOS جدید استفاده کرد.برای حل این مشکل در روتر باید CISCO IOS جدید را روی یک Flash SIMM یا یک PCMCIA card بدست بیاورید.
برای حداقل ریسک باید از dual Flash bank memory استفاده کرد یا یک Cisco IOS image را در یک پارتیشن جداگانه قرار داد.
تنظیمات (مثال بر روی Cisco 3640 Router) :

router1#show running-config
Building configuration...
.......
....
version 12.3
service timestamps debug uptime
service timestamps log uptime
no service password-recovery
! Enable Secure ROMMON
! Hidden command
hostname router1
!
......
....
end

وقتی که روتر رو تنظیم میکنید مطمئن بشوبد که پیغام زیر را دریافت میکنید

router1(config)#no service password-recovery
WARNING:
Executing this command will disable password recovery mechanism.
Do not execute this command without another plan for
password recovery.

Are you sure you want to continue? [yes/no]: yes

این پیغام نشان دهنده ناموفق بودن دستور است

router1(config)#config-register 0x2142
router1(config)#no service password-recovery
Please reset the ignore config bit (0x40) in config-register.

وقتی ROMMON security فعال است شما نمیتوانید تنظینات register را برای غیر فعال تنظیمات start-up تغییر دهید.برای انجام این کار باید ابتدا دستور service password-recovery را استفاده کنید

router1(config)#no service password-recovery
router1(config)#config-register 0x2142
Password recovery is disabled, can not enable diag or
ignore configuration

وقتی no service password-recovery فعال میباشد در طول بوت دستگاه با پیغام زیر مواجه خواهید شد :

PASSWORD RECOVERY FUNCTIONALITY IS DISABLED

System Bootstrap, Version 11.1(19)AA, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1)
Copyright (c) 1998 by cisco Systems, Inc.
C3600 processor with 65536 Kbytes of main memory
Main memory is configured to 64 bit mode with parity enabled

PASSWORD RECOVERY FUNCTIONALITY IS DISABLED
program load complete, entry point: 0x80008000, size: 0x10ce394
Self decompressing the image : ####################################
################################################## #################
################################################## #################
################################################# [OK]
Smart Init is disabled. IOMEM set to: 10

Using iomem percentage: 10

Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706

Cisco Internetwork Operating System Software
IOS (tm) 3600 Software (C3640-IS-M), Version 12.3(3), RELEASE SOFTWARE (fc2)
Copyright (c) 1986-2003 by Cisco Systems, Inc.
Compiled Mon 18-Aug-03 19:03 by dchih
Image text-base: 0x60008950, data-base: 0x61B3E000

راههای بازیابی پسورد وقتی no service password-recovery فعال است :
##روترهایی که چیپ (nonvolatile RAM (NVRAM دارند میتوان آنرا برداشت و تنظیمات را من جمله no service password-recovery از بین برد.

##بعضی روتر ها از یک (electrically erasable programmable read-only memory (EEPROM برای نگهداری تنظیمات استفاده میکنند که با برداشتن آن تنظیمات از بین نمیرود مانند سری 1700 , 2600 و 3620.
##یکی از روش ها بوت کردن روتر با پورت کنسول و فشار دادن CTRL-BREAK در 5تا 10 ثانبه زمانی که CISCO IOS در حال decompressing یا وقتی که "Image text-base:... " بنر شروع میشود.در این حالت به شما پیغام برگشت به تنظیمات کارخانه میدهد(erase start-up configuration).

System Bootstrap, Version 11.1(19)AA, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1)
Copyright (c) 1998 by Cisco Systems, Inc.
C3600 processor with 65536 Kbytes of main memory
Main memory is configured to 64 bit mode with parity enabled

PASSWORD RECOVERY FUNCTIONALITY IS DISABLED
program load complete, entry point: 0x80008000, size: 0x10ce394
Self decompressing the image : ################################################## #######
################################################## ######################################
################################################## ##################### [OK]

Smart Init is disabled. IOMEM set to: 10

Using iomem percentage: 10

Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706

Cisco Internetwork Operating System Software
IOS (tm) 3600 Software (C3640-IS-M), Version 12.3(3), RELEASE SOFTWARE (fc2)
Copyright (c) 1986-2003 by Cisco Systems, Inc.
Compiled Mon 18-Aug-03 19:03 by dchih
Image text-base: 0x60008950, data-base: 0x61B3E000

PASSWORD RECOVERY IS DISABLED
Do you want to reset the router to factory default
configuration and proceed [y/n] ?
Reset router configuration to factory default.
Cisco 3640 (R4700) processor (revision 0x00) with 59392K/6144K bytes of memory.
Processor board ID 09196037
R4700 CPU at 100Mhz, Implementation 33, Rev 1.0
Bridging software.
X.25 software, Version 3.0.0.
SuperLAT software (copyright 1990 by Meridian Technology Corp).
2 Ethernet/IEEE 802.3 interface(s)
2 Voice FXO interface(s)
2 Voice FXS interface(s)
DRAM configuration is 64 bits wide with parity enabled.
125K bytes of non-volatile configuration memory.
8192K bytes of processor board System flash (Read/Write)
8192K bytes of processor board PCMCIA Slot0 flash (Read/Write)
20480K bytes of processor board PCMCIA Slot1 flash (Read/Write)
[OK][OK]
SETUP: new interface Ethernet0/0 placed in "shutdown" state
SETUP: new interface Ethernet1/0 placed in "shutdown" state

Press RETURN to get started!

Router>