Cisco PIX - recovery della password -

Introduzione

Nota: i file di SO dei router e firewall Cisco e piu' in generale i software forniti da Cisco possono non essere scaricabili direttamente dal sito http://www.cisco.com/. Puo' essere necessario avere un accesso CCO o un contratto con Cisco Systems. Vedi: http://tools.cisco.com/RPF/register/register.do .

!!!Importante: le operazioni indicate in queste pagine andrebbero fatte da personale esperto. Se non avete adeguata esperienza rivolgetevi ad un tecnico certificato Cisco. Errori apparentemente banali possono richiedere del tempo per il ripristino della macchina e causare anche la perdita della configurazione!!!

RECOVERY DELLA PASSWORD

  Se siete abituati a effettuare il recovery della password cambiando il valore del registro di configurazione vuol dire che probabilmente non avete mai effettuato un recovery su di un Cisco PIX. Nel caso di Cisco PIX il recovery della password si effettua avendo un accesso adeguato al sito della Cisco che vi permetta di scaricare un file indispensabile, di tipo npXX.bin, con XX indicante la versione di firmware che avete. Tale file lo trovate cercando il documento "Password Recovery and AAA Configuration Recovery Procedure for the PIX" nel motore di ricerca in http://www.cisco.com/. All'interno del documento ci sono i link a tutti i file del tipo npXX.bin dove XX e' la versione del software del PIX. Se siete riusciti nell'impresa riavviate il vostro PIX e bloccate il boot digitando la sequenza di break (usate TeraTermPro descritto in http://network.itesys.it/Isoftware.htm se avete problemi a bloccare il boot).

  Fatto cio' ecco la procedura:


Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001
Platform PIX-515E
System Flash=E28F128J3 @ 0xfff00000

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Flash boot in 10 seconds._ __ __ __ __ __ __ __ __ __ __ _9 seconds._ __ __ __ __ __ __ __ __ __ _8 seconds._ __ __ __ __ __ __ __ __ __ _7 seconds.                                                Flash boot interrupted.
0: i8255X @ PCI(bus:0 dev:14 irq:10)
1: i8255X @ PCI(bus:0 dev:13 irq:11)

Ethernet auto negotiation timed out.
Ethernet port 1 could not be initialized.

monitor> interface ?
0: i8255X @ PCI(bus:0 dev:14 irq:10)
1: i8255X @ PCI(bus:0 dev:13 irq:11)

Using 0: i82557 @ PCI(bus:0 dev:14 irq:10), MAC: 000a.f45f.24b4

monitor> interface 0
0: i8255X @ PCI(bus:0 dev:14 irq:10)
1: i8255X @ PCI(bus:0 dev:13 irq:11)

Using 0: i82557 @ PCI(bus:0 dev:14 irq:10), MAC: 000a.f45f.24b4
monitor> address 192.168.30.77
address 192.168.30.77
monitor> server 192.168.30.13
server 192.168.30.13
monitor> file np61.bin
file np61.bin
monitor> ping 192.168.30.13
Sending 5, 100-byte 0x4473 ICMP Echoes to 192.168.30.13, timeout is 4 seconds:
!!!!!
Success rate is 100 percent (5/5)
monitor> tftp
tftp np61.bin@192.168.30.13.................................................................................................................................................
Received 73728 bytes

Cisco Secure PIX Firewall password tool (3.0) #0: Fri Feb 22 08:05:11 PST 2002
System Flash=E28F128J3 @ 0xfff00000
BIOS Flash=am29f400b @ 0xd8000

Do you wish to erase the passwords? [yn] y
Passwords have been erased.

Rebooting..

   Notate che col comando "interface" si indica l'interfaccia Ethernet nella quale si trova il server TFTP. Al reboot avrete ripristinato la password.

Nota versione 6.3

Nella versione 6.3 la procedura prosegue come indicato:

Do you wish to erase the passwords? [yn] y
The following lines will be removed from the configuration:
enable password 3QRMZ28je6LdsT1x encrypted
passwd bC2ZMbmdY.aVrNtM encrypted

Do you want to remove the commands listed above from the configuration? [yn] y
Passwords and aaa commands have been erased.

Al reboot ci sara' ancora la configurazione originale, che pertanto non sara' persa.

Altre letture

Consiglio di consultare l’enorme documentazione disponibile on-line nel sito della cisco http://www.cisco.com/. E’ possibile trovare sempre tutto cio’ che si cerca.

Copyright 2002-2003 – ITESYS srl –

Il materiale di questa pagina non e’ sponsorizzato o sottoscritto da Cisco Systems, Inc. Ciscoâ e’ un trademark di Cisco Systems, Inc. negli Stati Uniti e in altri stati. L’autore di questa pagina non si assume nessuna responsabilita’ e non da nessuna garanzia riguardante l’accuratezza e la completezza delle informazioni presenti nonche’ da conseguenze sull’uso delle informazioni presenti in questa pagina.
Il sito web ufficiale della Cisco e’ http://www.cisco.com/. Nel caso si volesse utilizzare il contenuto di questa pagina nella forma in cui e’ presentato rivolgersi all’autore scrivendo a gianrico.fichera itesys.it.

This material is not sponsored by, endorsed by, or affiliated with Cisco Systems, Inc., Cisco, Cisco Systems, and the Cisco Systems logo are trademarks or registered trade marks of Cisco Systems, Inc. or its affiliates. All other trademarks are trademarks of their respective owners.