セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

PIX のパスワード回復と AAA 設定回復の手順

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2008 年 3 月 27 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、リリース 7.0 までの PIX ソフトウェアで PIX パスワードを回復する方法を説明しています。 PIX でパスワード回復手順を実行すると、パスワードのみが消去され、設定は消去されません。 バージョン 6.2 および それ 以降に Telnet または console aaa authentication コマンドがある場合それらを取除くために、システムはまた指示します。

注: PIX に AAA を設定してあって、AAA サーバがダウンしている場合、最初に Telnet パスワードを入力し、次にユーザ名に pix、パスワードに enable password(enable password パスワード)を入力すると、PIX にアクセスできます。 PIX の設定に enable password がない場合は、ユーザ名に pix と入力してから Enter キーを押してください。 設定されている enable password と Telnet パスワードがわからない場合も、パスワード回復手順を続けます。

PIX Password Lockout Utility は、使用している PIX ソフトウェア リリースをベースとしています。 PIX/ASA セキュリティ アプライアンス モデルで動作するソフトウェア バージョンを知るために show version を使用して下さい。

注: ASA 5500 シリーズ適応型セキュリティ アプライアンスのパスワード回復については、『ASA 5500 シリーズ適応型セキュリティ アプライアンスのパスワード回復の実行』を参照してください。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報には、次のハードウェア デバイスが必要です。

  • PC

  • 作業用のシリアル端末またはターミナル エミュレータ

  • 約 10 分間のPIX とネットワークのダウンタイム

注: この手順を実行するには、PIX とネットワークの約 10 分間のダウンタイムが必要です。

パスワード回復手順を実行するには、PIX Password Lockout Utility が必要です。このユーティリティには、次のファイルが含まれます。

  • 使用している PIX のソフトウェア バージョンに応じて、次のバイナリ ファイルが該当します。

    • np70.bin(7.x および 8.0 リリース)

    • np63.bin(6.3 リリース)

    • np62.bin(6.2 リリース)

    • np61.bin(6.1 リリース)

    • np60.bin(6.0 リリース)

    • np53.bin(5.3 リリース)

    • np52.bin(5.2 リリース)

      注: BIOS のバージョンにかかわらず、PIX によって現在実行されている PIX コードに応じて、使用する .bin ファイルを判断する必要があります。

  • TFTP サーバ ソフトウェア(PIX マシンにフロッピー ドライブが搭載されていない場合にだけ必要):TFTP サーバ ソフトウェアは Cisco.com からは入手できなくなっていますが、お気に入りのインターネット検索エンジンで「tftp サーバ」を検索することで、多数の TFTP サーバ プログラムを見つけることができます。 シスコでは、特定の TFTP の実装は推奨していません。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

手順

次の手順を実行してパスワードを回復します。

注:  このドキュメントでは、パスワード回復手順の出力例を参照できます。

  1. PIX のコンソール ポートに、シリアル端末またはターミナル エミュレーション ソフトウェアを備えた PC を接続します。

  2. PIX との接続を確認し、端末と PIX との間で双方向に文字が送信されていることを確認します。

    注: ロックアウトされているため、表示されるのはパスワード プロンプトだけです。

  3. PIX ファイアウォールの電源をオンにし、起動メッセージが表示された直後に、Break 文字を送信するか、Esc キーを押します。 monitor> プロンプトが表示されます。 もし必要なら、型か。 (疑問符)利用可能なコマンドをリストするため。

  4. interface コマンドを使用して、ping トラフィックに使用するインターフェイスを指定します。 フロッピーのない PIX にインターフェイスが 2 つしかない場合、monitor コマンドはデフォルトで内部インターフェイスに設定されます。

  5. address コマンドを使用して、PIX ファイアウォールのインターフェイスの IP アドレスを指定します。

  6. server コマンドを使用して、PIX パスワード回復ファイルが存在するリモート TFTP サーバの IP アドレスを指定します。

  7. file コマンドを使用して、PIX パスワード回復ファイルのファイル名を指定します。 たとえば、5.1 リリースでは np51.bin という名前のファイルが使用されています。

  8. 必要な場合は、gateway コマンドを使用して、サーバへのアクセス時に経由するルータ ゲートウェイの IP アドレスを指定します。

  9. 必要な場合は、ping コマンドを使用してアクセス可能性を確認します。 このコマンドが失敗する場合は、手順を続ける前に、サーバにアクセスできるようにします。

  10. tftp コマンドを使用して、ダウンロードを開始します。

  11. パスワード回復ファイルがロードされると、次のメッセージが表示されます。

    Do you wish to erase the passwords? [yn] y 
    Passwords have been erased. 

    注: バージョン 6.2 に Telnet またはコンソールの aaa authentication コマンドがある場合、システムから、これらの削除を促すプロンプトも出されます。

  12. この処理の後、Telnet のデフォルト パスワードは「cisco」になります。 デフォルトのイネーブル パスワードはありません。 Telnet パスワードの変更および有効パスワードの作成を行うには、設定モードでそれぞれ passwd your_password コマンドと enable password your_enable_passwordコマンドを発行し、設定を保存します。

出力例

outside インターフェイスの TFTPサーバの PIXパスワード リカバリのこの例はラボ 環境に倣います。

ネットワーク図

34a.gif

monitor>interface 0
0: i8255X @ PCI(bus:0 dev:13 irq:10)
1: i8255X @ PCI(bus:0 dev:14 irq:7 )
 
Using 0: i82559 @ PCI(bus:0 dev:13 irq:10), MAC: 0050.54ff.82b9
monitor>address 10.21.1.99
address 10.21.1.99
monitor>server 172.18.125.3
server 172.18.125.3
monitor>file np52.bin
file np52.bin
monitor>gateway 10.21.1.1
gateway 10.21.1.1
monitor>ping 172.18.125.3
Sending 5, 100-byte 0xf8d3 ICMP Echoes to 172.18.125.3, timeout is 4 seconds:
!!!!!
Success rate is 100 percent (5/5)
monitor>tftp
tftp np52.bin@172.18.125.3 via 10.21.1.1...................................
Received 73728 bytes
 
Cisco Secure PIX Firewall password tool (3.0) #0: Tue Aug 22 23:22:19 PDT 2000
Flash=i28F640J5 @ 0x300
BIOS Flash=AT29C257 @ 0xd8000
 
Do you wish to erase the passwords? [yn] y
Passwords have been erased.
 
Rebooting....

ソフトウェアのダウンロード

パスワード回復の後、PIX ソフトウェアをアップグレードする場合は、Software Center登録ユーザ専用)を参照して、PIX ソフトウェアをダウンロードしてください。 PIX ソフトウェアにアクセスするには、ログインしている必要があり、有効なサービス契約が必要です。

PIX 6.x のソフトウェア アップグレードの詳細については、『Cisco Secure PIX Firewall および PIX Device Manager 用ソフトウェアのアップグレード』を参照してください。

詳細は、『PIX/ASA 7.x: PIX/ASA 7.x のためのソフトウェアアップグレードについて詳細を学ぶために ASDM 設定例を使用してソフトウェア イメージをアップグレードして下さい

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 8529