Restablecimiento de la contraseña del usuario administrador en un sistema Cisco Firepower

Introducción

Este documento proporciona instrucciones para restablecer la contraseña de la cuenta de administrador en los dispositivos de servicios FireSIGHT, Firepower y ASA FirePOWER, incluso en situaciones en las que se perdió esa contraseña.

Antecedentes

El Defense Center y Firepower Management Center (FMC) proporcionan diferentes cuentas de administración (con contraseñas independientes) para el acceso a la interfaz de línea de comandos (CLI)/shell y el acceso a la interfaz web (cuando está disponible). La cuenta de administrador en los dispositivos administrados es la misma para el acceso CLI, el acceso al shell y el acceso a la interfaz web (cuando está disponible). 

Estas instrucciones citan al Centro de administración Firepower; las mismas instrucciones se aplican al Centro de defensa.

Nota: Las referencias a la CLI del Centro de administración Firepower se aplican solo a las versiones 6.3+. Los dispositivos de las series 7000 y 8000 son compatibles con la versión 6.4.

Firepower Threat Defense: Restablecer la contraseña de administrador

Para restablecer una contraseña de administrador perdida para un dispositivo lógico Firepower Threat Defense (FTD) en las plataformas Firepower 9300 y 4100, siga las instrucciones de la guía Cambiar o recuperar contraseña para FTD a través de FXOS Chassis Manager.

Para los dispositivos FTD que se ejecutan en Firepower 1000/2100, debe recrear la imagen del dispositivo. Consulte la Guía de Troubleshooting de Cisco FXOS para Firepower 1000/2100 Series que ejecuta Firepower Threat Defense para el Procedimiento de Recreación en estas plataformas.

Para los dispositivos FTD que se ejecutan en los modelos ASA 5500-X y ISA 3000, debe recrear la imagen del dispositivo. Consulte la Guía de rediseño de dispositivos Cisco ASA y Firepower Threat Defense para obtener instrucciones.

Para los dispositivos FTD virtuales, debe reemplazar el dispositivo por una nueva implementación.

Si se vuelve a crear una imagen de un dispositivo físico, se borra su configuración y se restablece la contraseña de administrador en Admin123.

Con la excepción de FTDvs con Firepower 7.0+ en Amazon Web Services (AWS), una nueva implementación de FTDv no tiene configuraciones y la contraseña de administrador es Admin123. Para FTDvs con Firepower 7.0+ en AWS, una nueva implementación no tiene configuración y no hay contraseña predeterminada; proporciona una contraseña admin en el momento de la implementación.

• Si vuelve a crear una imagen de un dispositivo FTD administrado con el administrador de dispositivos Firepower:
  • Si tiene una copia de seguridad reciente almacenada externamente, puede restaurar las configuraciones de copia de seguridad después de volver a crear la imagen. Para obtener más información, consulte la Guía de Configuración de Cisco Firepower Threat Defense para Firepower Device Manager para su versión.
  • Si no tiene ninguna copia de respaldo, debe volver a crear la configuración del dispositivo manualmente, incluidas las interfaces, las políticas de routing y la configuración de DHCP y DDNS.
• Si recrea la imagen de un dispositivo FTD administrado con Firepower Management Center y el FMC y el dispositivo ejecutan la versión 6.3+, puede utilizar la interfaz web de FMC para realizar una copia de seguridad de la configuración del dispositivo antes de recrear la imagen y restaurar la copia de seguridad después de recrear la imagen. Para obtener más información, consulte la Guía de configuración del Centro de administración Firepower correspondiente a su versión.
  

  Nota: Si está ejecutando la versión 6.0.1-6.2.3, no puede realizar una copia de seguridad de la configuración de FTD. Si está ejecutando la versión 6.3.0 - 6.6.0, la copia de seguridad y la restauración desde la interfaz web de FMC no son compatibles con las instancias de contenedores de FTD. Aunque puede aplicar políticas compartidas desde Firepower Management Center después de volver a crear la imagen, debe configurar manualmente cualquier dispositivo específico, como la interfaz, las políticas de enrutamiento y los parámetros DHCP y DDNS.

Módulo de servicios de ASA FirePOWER: Restablecer la contraseña de administrador

Puede restablecer la contraseña de administrador de la CLI del módulo ASA FirePOWER mediante el comando session de la CLI de operaciones generales de ASA.  Si perdió las contraseñas de la CLI de ASA, puede recuperarlas como se describe en el Libro 1 de la CLI: Guía de configuración de la CLI de operaciones generales de la serie Cisco ASA para su versión de ASA.

Restablecer la contraseña de administrador en ASA 5512-X a ASA 5555-X y ASA 5506-X a ASA 5516-X (módulo de energía de firewall ASA de software) y dispositivos ISA 3000

Para restablecer el usuario administrador del módulo de software ASA FirePOWER o el dispositivo ISA 3000 a la contraseña predeterminada, ingresa este comando en el mensaje de ASA:

session sfr do password-reset

Para obtener más información, consulte el Libro 2 de la CLI de la serie Cisco ASA: Guía de configuración de la CLI de Cisco Firewall de la serie ASA para su versión de ASA.

Restablecer la contraseña de administrador en los dispositivos ASA serie 5585-X (módulo Firepower de hardware ASA)

Para restablecer el usuario administrador del módulo de hardware ASA FirePOWER a la contraseña predeterminada, introduzca este comando en el indicador de ASA:

session 1 do password-reset

Para obtener más información, consulte el Libro 2 de la CLI de la serie Cisco ASA: Guía de configuración de la CLI de Cisco Firewall de la serie ASA para su versión de ASA.

Cambiar la contraseña de administrador de CLI o de shell para FMC y NGIPSv

Utilice estas instrucciones para restablecer una contraseña conocida para estas cuentas de administrador:

• Centro de administración de Firepower: contraseña de administrador para acceder a la CLI o al shell.
• NGIPSv: contraseña de administrador utilizada para acceder a la CLI.

 Procedimiento:

1. Inicie sesión en la cuenta de administración del dispositivo mediante SSH o la consola.
   
   • Para Firepower Management Center:
     • Si su Firepower Management Center está ejecutando Firepower versión 6.2 o inferior, al iniciar sesión tendrá acceso directo al shell de Linux.
     • Si su Firepower Management Center está ejecutando Firepower versión 6.3 o 6.4 y la CLI de Firepower Management Center no está habilitada, iniciar sesión le dará acceso directo al shell de Linux.
     • Si su Firepower Management Center está ejecutando Firepower versión 6.3 o 6.4 y la CLI de Firepower Management está habilitada, el inicio de sesión le dará acceso a la CLI de Firepower Management Center. Ingrese el comando experto para acceder al shell de Linux.
     • Si su Firepower Management Center está ejecutando Firepower versión 6.5+, al iniciar sesión tendrá acceso a la CLI de Firepower Management Center. Ingrese el comando experto para acceder al shell de Linux.
   • En el caso de los dispositivos administrados que inician sesión, tiene acceso a la CLI del dispositivo. Ingrese el comando experto para acceder al shell de Linux.
2. En el prompt del shell ingrese este comando: sudo passwd admin
   
   
3. Cuando se le solicite, ingrese la contraseña de administrador actual para elevar el privilegio al acceso raíz.
   
   
4. En respuesta a las solicitudes, ingrese la nueva contraseña de administrador dos veces.
   

   Nota: Si el sistema muestra un mensaje de CONTRASEÑA INCORRECTA, es solo informativo. El sistema aplica la contraseña que proporciona incluso si aparece este mensaje. Sin embargo, Cisco recomienda que utilice una contraseña más compleja por motivos de seguridad.

5. Escriba exit para salir del shell.
   
   
6. En un dispositivo administrado, o en un Centro de administración Firepower con la CLI habilitada, escriba exit para salir de la CLI.

Cambie la contraseña de administrador de interfaz web para FMC o la contraseña de administrador de interfaz web y CLI para dispositivos de las series 7000 y 8000

Utilice estas instrucciones para restablecer una contraseña conocida para estas cuentas de administrador:

• Centro de administración de Firepower: contraseña de administrador utilizada para acceder a la interfaz web.
• Dispositivos de las series 7000 y 8000: contraseña de administrador utilizada para acceder a la interfaz web, así como a la CLI.

Procedimiento:

1. Inicie sesión en la interfaz web del dispositivo como usuario con acceso de administrador.

2. Elija System > Users y haga clic en el Edit icon para el usuario administrador.

3. Ingrese los valores para los campos Password y Confirm Password.
   Los valores deben ser los mismos y deben ajustarse a las opciones de contraseña establecidas para el usuario admin.

4. Click Save.

Restablecer una contraseña de CLI o de administración de shell perdida para FMCs o NGIPSv, o Restablecer una interfaz web perdida o una contraseña de CLI para dispositivos de las series 7000 y 8000

Utilice estas instrucciones para restablecer una contraseña perdida para estas cuentas de administrador:

• Firepower Management Center: contraseña de administrador utilizada para acceder a la CLI o al shell.
• Dispositivos de las series 7000 y 8000: contraseña de administrador utilizada para acceder a la interfaz web, así como a la CLI.
• NGIPSv: contraseña de administrador utilizada para acceder a la CLI.

Nota: Para restablecer una contraseña perdida para estas cuentas de administrador, debe establecer una conexión SSH o de consola con el dispositivo (en el caso de un FirePOWER Management Center con usuarios externos configurados, es posible que pueda utilizar una conexión SSH). También debe reiniciar el dispositivo cuyas credenciales de administrador perdió. Puede iniciar el reinicio de diferentes maneras, según el tipo de acceso al dispositivo que tenga disponible:
· Para Firepower Management Center necesita las credenciales de inicio de sesión de un usuario de interfaz web con acceso de administrador o las credenciales de inicio de sesión de un usuario autenticado externamente con acceso CLI/shell.
• Para los dispositivos de las series 7000 u 8000, necesita las credenciales de inicio de sesión para uno de los siguientes medios de acceso: un usuario de interfaz web con acceso de administrador, un usuario de CLI con acceso de configuración o un usuario con acceso de administrador en el Centro de administración Firepower.
• Para NGIPSv, necesita credenciales de inicio de sesión para un usuario de la CLI con acceso a la configuración o un usuario con acceso de administrador en el Centro de administración Firepower.
· Para Firepower Management Center, los dispositivos de las series 7000 y 8000 y los dispositivos NGIPSv, si dispone de una conexión de consola (física o remota), puede realizar esta tarea sin credenciales de inicio de sesión.
Si no puede acceder al dispositivo con uno de esos métodos, no puede restablecer la contraseña de administrador con estas instrucciones; póngase en contacto con el TAC de Cisco.

Opción 1. Reinicie el dispositivo de forma segura e introduzca el modo de usuario único en el arranque para restablecer la contraseña

1. Abra una conexión a la consola del dispositivo para el dispositivo cuya contraseña de administrador perdió:
   · Para los dispositivos serie 7000, los dispositivos serie 8000 y los Firepower Management Centers utilizan un teclado/monitor o una conexión serial.
   · Para dispositivos virtuales, utilice la consola proporcionada por la plataforma virtual. Consulte la Guía de Introducción Virtual de Cisco Firepower Management Center o la Guía de Inicio Rápido de Cisco Firepower NGIPSv para VMware para obtener más información.
   · Alternativamente, para Firepower Management Centers, 7000 y 8000 Series y dispositivos virtuales, si tiene una conexión de consola establecida con el dispositivo mediante KVM remoto, puede acceder a esa interfaz.
2. Reinicie el dispositivo cuya contraseña de administrador perdió. Tiene estas opciones:
   • Para el Centro de administración Firepower:
   a. Inicie sesión en la interfaz web del Centro de administración Firepower como usuario con acceso de administrador.
   b. Reinicie el Centro de administración Firepower como se describe en la Guía de configuración del Centro de administración Firepower para su versión.
   
   • Para dispositivos de la serie 7000 u 8000 o NGIPSv, si tiene credenciales para un usuario de interfaz web con acceso de administrador en el Centro de administración Firepower:
   a. Inicie sesión en la interfaz web para administrar el Centro de administración Firepower como usuario con acceso de administrador.
   b. Apague y reinicie el dispositivo administrado como se describe en la Guía de configuración del Centro de administración Firepower para su versión. 
   
   • Para los dispositivos de las series 7000 u 8000, si tiene credenciales para un usuario de interfaz web con acceso de administrador:
   a. Inicie sesión en la interfaz web del dispositivo como usuario con acceso de administrador.
   b. Reinicie el dispositivo como se describe en la Guía de configuración del Centro de administración Firepower para su versión.
   
   • Para dispositivos de las series 7000 u 8000 o NGIPSv, si tiene credenciales para un usuario de la CLI con acceso de configuración:
   a. Inicie sesión en el dispositivo mediante el shell con un nombre de usuario con acceso a la configuración de la CLI.
   b. En la línea de comandos, escriba el comando system reboot.
   
   

   · Para Firepower Management Centers, serie 7000 y serie 8000 y dispositivos virtuales con una consola, presione CTRL-ALT-DEL. (Si utiliza un KVM remoto, la interfaz KVM debe proporcionar una forma de enviar CTRL-ALT-DEL al dispositivo sin interferir con el KVM en sí.)

Nota: Cuando reinicia su Centro de administración Firepower o dispositivo administrado, se desconecta del dispositivo y el sistema ejecuta una verificación de la base de datos que puede demorar hasta una hora en completarse.

Precaución: No apague los dispositivos con el botón de encendido ni desenchufe el cable de alimentación; puede dañar la base de datos del sistema. Apague los dispositivos por completo mediante la interfaz web.

3. En la pantalla de la consola del dispositivo, observe el proceso de reinicio y proceda según el tipo de dispositivo que se reinicie:

Nota: Si el sistema está realizando una verificación de la base de datos, es posible que vea el siguiente mensaje: El sistema aún no funciona. La comprobación y reparación de la base de datos está en curso. Esto puede tardar mucho tiempo en finalizar.

• Para los modelos de Centros de administración Firepower 750, 1500, 2000, 3500 o 4000, o para dispositivos Firepower de las series 7000 u 8000 o NGIPSv, interrumpa el proceso de reinicio:
  A. Una vez que el dispositivo comienza a arrancar, presione cualquier tecla del teclado para cancelar la cuenta regresiva en el menú de arranque de LILO.
  B Observe el número de versión que se muestra en el menú de arranque de LILO. En el siguiente ejemplo, el número de versión es 6.2.0.

C. En el indicador de comandos Arranque: prompt, escriba el comando version single donde la versión es el número de versión (por ejemplo, 6.2.0 single). Si el sistema tiene activado el cumplimiento de UCAPL, se le solicitará una contraseña; introduzca la contraseña de Sourcefire.

· para los modelos Firepower Management Centers 1000, 1600, 2500, 2600, 4500 o 4600:
  Cuando aparezca el menú de arranque, seleccione la opción 4: modo de restauración de contraseña de la consola de administración de Cisco Firepower.
 

4. Asignar una nueva contraseña de administrador; utilice las instrucciones adecuadas para su dispositivo:
     · Para una nueva CLI y contraseña de administrador de shell para Firepower Management Center o NGIPSv:

a. Cuando el sistema muestra una indicación del sistema operativo que finaliza con un signo almohadilla (#), ingrese este comando:
     passwd admin

b. Introduzca la nueva contraseña de administrador cuando se le solicite hacerlo (dos veces).

Nota: Si el sistema muestra un mensaje de CONTRASEÑA INCORRECTA, es solo informativo. El sistema aplica la contraseña que proporciona incluso si aparece este mensaje. Sin embargo, se recomienda utilizar una contraseña más compleja por razones de seguridad.

    · Para una nueva contraseña de administrador de Web y CLI para los dispositivos 7000 y 8000:

En el mensaje del sistema operativo que finaliza con el signo almohadilla (#), ingrese el siguiente comando:

   usertool.pl -p 'admin password'

Donde una contraseña es la nueva contraseña de administrador.

5. Si la cuenta de administrador se ha bloqueado debido a demasiados intentos fallidos de inicio de sesión, debe desbloquear la cuenta. Utilice las instrucciones adecuadas para su dispositivo:

· Para desbloquear la CLI y las cuentas de administración del shell en un Firepower Management Center o NGIPSv, ingrese el siguiente comando en el mensaje del sistema operativo que finaliza con el signo almohadilla (#):

    pam_count —user admin —reset

· Para desbloquear las cuentas de administración de Web y CLI en los dispositivos de las series 7000 y 8000, ingrese este comando en el mensaje del sistema operativo que finaliza con un signo almohadilla (#):

  usertool.pl -u admin

6. En el indicador del sistema operativo que finaliza con el signo numeral (#), introduzca el comando reboot.

7. Permita que se complete el proceso de reinicio.

Opción 2. Utilice la Autenticación Externa para Obtener Acceso a la CLI para Restablecer la Contraseña de un Firepower Management Center

Si se encuentra en una situación en la que aún tiene acceso a la interfaz web de FMC con una cuenta con acceso de administrador, puede utilizar la función "Autenticación externa" para obtener acceso a la CLI. El uso de este método le permitirá iniciar sesión en la CLI de un FMC, acceder al shell de Linux, ascender a root y restablecer manualmente la contraseña de administración de CLI/shell. Esta opción no requiere reinicio ni acceso a la consola. Esta opción requiere que haya configurado correctamente la autenticación externa (con acceso SSH) en el Firepower Management Center para el que desea restablecer la contraseña de administrador. (Consulte la Guía de Configuración de Firepower Management Center para su versión para obtener instrucciones.) Una vez configurado, siga estos pasos:

1. Inicie sesión en Firepower Management Center con una cuenta autenticada externamente que tenga acceso CLI/shell mediante SSH o la consola:
   · Si su FMC está ejecutando la versión 6.2 o inferior, esto le da acceso directo al shell de Linux.
   · Si su FMC está ejecutando la versión 6.3 o 6.4 y la CLI de FMC no está habilitada, esto le da acceso directo al shell de Linux.
   · Si su FMC ejecuta la versión 6.3 o 6.4 y la CLI de Firepower Management Center está habilitada, esto le da acceso a la CLI de Firepower Management Center. Ingrese el comando experto para acceder al shell de Linux.
   · Si su FMC ejecuta la versión 6.5+, esto le da acceso a la CLI de Firepower Management Center. Ingrese el comando experto para acceder al shell de Linux.
   
   
2. En el indicador de comandos con un signo de dólar ($), ingrese este comando para restablecer la contraseña CLI para el usuario administrador:
   sudo passwd admin
   
   
3. En Contraseña: prompt, ingrese la contraseña para el nombre de usuario con el que inició sesión actualmente.
4. Introduzca la nueva contraseña de administrador cuando se le solicite hacerlo (dos veces).
   

   Nota: Si el sistema muestra un mensaje de CONTRASEÑA INCORRECTA, es solo informativo. El sistema aplica la contraseña que proporciona incluso si aparece este mensaje. Sin embargo, Cisco recomienda que utilice una contraseña más compleja por motivos de seguridad.

5. Si la cuenta admin se ha bloqueado debido a demasiados intentos fallidos de inicio de sesión, debe desbloquear la cuenta. Ejecute el comando pam_Tally e introduzca su contraseña cuando se le solicite:
   sudo pam_ally —user —reset
6. Escriba exit para salir del shell.
   
   
7. En Firepower Management Center con la CLI activada, escriba exit para salir de la CLI.

Restablecer una Contraseña de Administrador de Interfaz Web Perdida para Firepower Management Centers

Utilice estas instrucciones para cambiar la contraseña de la cuenta de administrador utilizada para acceder a la interfaz web de Firepower Management Center.

Procedimiento:

1. Inicie sesión en el dispositivo con la cuenta de administrador de CLI con SSH o la consola.
   
   
2. Acceda al shell de Linux:
   · Si su FMC está ejecutando la versión 6.2 o inferior, iniciar sesión le da acceso directo al shell de Linux.
   · Si su FMC está ejecutando la versión 6.3 o 6.4 y la CLI de Firepower Management Center no está habilitada, iniciar sesión le da acceso directo al shell de Linux.
   · Si su FMC ejecuta la versión 6.3 o 6.4 y la CLI de Firepower Management Center está habilitada, el registro le da acceso a la CLI de Firepower Management Center. Ingrese el comando experto para acceder al shell de Linux.
   · Si su FMC ejecuta la versión 6.5+, el inicio de sesión le da acceso a la CLI de Firepower Management Center. Ingrese el comando experto para acceder al shell de Linux.
3. En el mensaje del shell, ingrese este comando para restablecer la contraseña para el usuario administrador de la interfaz web:
   sudo usertool.pl -p 'admin password'
   Donde password es la nueva contraseña para el usuario admin de la interfaz web.
   
   
4. En Contraseña: prompt, ingrese la contraseña para el nombre de usuario con el que inició sesión actualmente.
5. Si la cuenta de administrador web se ha bloqueado debido a demasiados intentos fallidos de inicio de sesión, debe desbloquear la cuenta. Ejecute el comando usertool, ingresando su contraseña de administrador de CLI cuando se le pida:
   sudo usertool.pl -u admin
6. Escriba exit para salir del shell.
7. En Firepower Management Center con la CLI activada, escriba exit para salir de la CLI.