Cisco PIX: récupération / réinitialisation de mot de passe

Le paradoxe du mot de passe est une exigence quotidienne. Rendez vos mots de passe sûrs et difficiles à deviner, changez-les fréquemment et ne les notez pas. C'est une formule pour l'oubli. Après tout, de nombreuses organisations sont exclues de leur PIX. Cette recette technique décrit le processus de réinitialisation du mot de passe PIX.

Ces informations décrivent comment réinitialiser le mot de passe sur un PIX sans lecteur de disquette. Vous devez d'abord exécuter un serveur TFTP. La plupart des systèmes d'exploitation UNIX sont installés avec un serveur TFTP installé, mais peuvent ne pas fonctionner. Les systèmes Windows sont désavantagés car Microsoft Windows n'est plus livré avec un serveur TFTP. Cette recette décrit l'installation et la configuration d'un serveur TFTP tiers sur un système Windows.
Vous avez besoin d'une connexion de console à votre PIX à partir d'un système qui peut envoyer un signal BREAK. (L'application de communication HyperTerminal fournie avec Windows ne le fait pas. Encore une fois, les utilisateurs de Windows sont désavantagés.) L'édition privée d'HyperTerminal provoque des interruptions (si vous appuyez sur la combinaison de touches de votre clavier qui correspond à la touche BREAK).
Ensuite, si vous ne savez pas quelle version du logiciel fonctionne sur votre PIX. (Si vous n'êtes pas sûr, faites-le quand même. Après tout, vous avez oublié le mot de passe.) Utilisez l'émulateur de terminal de votre choix (HyperTerminal, tip, minicom, etc.) pour vous connecter au PIX. Assurez- vous que vous voyez les réponses appropriées lorsque vous appuyez sur ENTRÉE (par exemple, une invite de mot de passe ou le nom du routeur en tant qu'invite non privilégiée). Redémarrez le routeur en l'éteignant puis en le rallumant et regardez la sortie. Découvrez quel numéro de version du logiciel est en cours d'exécution ici.
Téléchargez le fichier approprié de Cisco correspondant à votre version du logiciel PIX. (Par exemple, la version 6.1 du logiciel PIX correspondrait au fichier np61.bin.) Enregistrez-le dans votre répertoire racine TFTP. Maintenant, vous êtes prêt pour les trucs amusants.
Redémarrez votre PIX et envoyez-lui un signal BREAK (~ # en astuce, CTRL-A f en minicom) au démarrage. Vous obtiendrez une invite comme moniteur> .
Déterminez (en fonction du nombre) quelle interface Ethernet est utilisée pour se connecter au serveur TFTP. Le moyen le plus simple consiste à supprimer une interface et à établir une connexion directe avec l'hôte du serveur TFTP à l'aide d'un câble Ethernet croisé. Le serveur TFTP peut être dans un sous-réseau différent car le PIX peut être configuré pour utiliser une passerelle au cours de ce processus.
Le reste de ce tutoriel est basé sur l'hypothèse que l'interface est le numéro 0. (Si ce n'est pas le cas, modifiez simplement la commande d'interface suivante.) Nous supposons également que la version du logiciel est 6.3 et que nous avons téléchargé np63.bin. Dans cet exemple, l'adresse IP du serveur TFTP est 192.168.2.69. Une adresse IP qui peut être utilisée sur le PIX est 192.168.1.2 et se trouve dans un sous-réseau différent de celui du serveur TFTP, accessible via la passerelle sous 192.18.1.1. Les adresses IP saisies au cours de ce processus n'affectent pas la configuration du PIX une fois le processus terminé.
Les commandes suivantes obligent le PIX à récupérer l'image de réinitialisation de mot de passe du serveur TFTP et à l'utiliser pour réinitialiser le mot de passe:
moniteur> interface moniteur 0
adresse moniteur 192.168.1.1
serveur moniteur 192.168.2.69
passerelle moniteur 192.168.1.1
fichier moniteur np63.bin
tftp
Le téléchargement TFTP devrait être rapide (sur commande) de quelques secondes). Si cela échoue, le système expire et un message d'erreur est émis. Vérifiez votre câblage réseau. (Assurez-vous qu'il y a des voyants de liaison des deux côtés, le cas échéant.) Vous pouvez envoyer une requête ping au serveur TFTP (ping 192.168.2.69). Cependant, cela peut échouer si l'hôte sur lequel le service TFTP exécute bloque les pings. Par conséquent, cela peut ne pas être utile. Si tout semble correct, vérifiez à nouveau vos paramètres car une faute de frappe dans une adresse IP entraînera des problèmes.
Une fois l'image téléchargée sur le PIX, le code de réinitialisation du mot de passe vous demandera si vous souhaitez vraiment réinitialiser le mot de passe. Appuyez sur le bouton y pour continuer. Le mot de passe sera réinitialisé dans un instant et le PIX redémarrera automatiquement. Le PIX a maintenant le mot de passe Telnet standard Cisco et aucun mot de passe n'est activé.