セキュリティと VPN : Cisco PIX 500 シリーズ セキュリティ アプライアンス

PIX のパスワード回復と AAA 設定回復の手順

2008 年 3 月 27 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2007 年 7 月 9 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
手順
      フロッピー ドライブ付きの PIX
      フロッピー ドライブのない PIX
      出力例
ソフトウェアのダウンロード
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

このドキュメントでは、リリース 7.0 までの PIX ソフトウェアで PIX パスワードを回復する方法を説明しています。PIX でパスワード回復手順を実行すると、パスワードのみが消去され、設定は消去されません。バージョン 6.2 以降で Telnet またはコンソールの aaa authentication コマンドがある場合、システムからは、これらの削除を促すプロンプトも出されます。

注:PIX に AAA を設定してあって、AAA サーバがダウンしている場合、最初に Telnet パスワードを入力し、次にユーザ名に pix、パスワードに enable password(enable password パスワード)を入力すると、PIX にアクセスできます。PIX の設定に enable password がない場合は、ユーザ名に pix と入力してから Enter キーを押してください。設定されている enable password と Telnet パスワードがわからない場合も、パスワード回復手順を続けます。

PIX Password Lockout Utility は、使用している PIX ソフトウェア リリースをベースとしています。

注:ASA 5500 シリーズ適応型セキュリティ アプライアンスのパスワード回復については、『ASA 5500 シリーズ適応型セキュリティ アプライアンスのパスワード回復の実行』を参照してください。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報には、次のハードウェア デバイスが必要です。

  • PC

  • 作業用のシリアル端末またはターミナル エミュレータ

  • PIX とネットワークを約 10 分間ダウンさせる時間

注:この手順を実行するには、PIX とネットワークの約 10 分間のダウンタイムが必要です。

パスワード回復手順を実行するには、PIX Password Lockout Utility が必要です。このユーティリティには、次のファイルが含まれます。

  • 使用している PIX のソフトウェア バージョンに応じて、次のバイナリ ファイルが該当します。

    • np70.bin(7.x および 8.0 リリース)

    • np63.bin(6.3 リリース)

    • np62.bin(6.2 リリース)

    • np61.bin(6.1 リリース)

    • np60.bin(6.0 リリース)

    • np53.bin(5.3 リリース)

    • np52.bin(5.2 リリース)

    • np51.bin(5.1 リリース)

    • np50.bin(5.0 リリース)

    • np44.bin(4.4 リリース)

    • nppix.bin(4.3 以前のリリース)

      注:BIOS のバージョンにかかわらず、PIX によって現在実行されている PIX コードに応じて、使用する .bin ファイルを判断する必要があります。

  • rawrite.exe(PIX マシンにフロッピー ドライブが搭載されている場合にだけ必要)

  • TFTP サーバ ソフトウェア(PIX マシンにフロッピー ドライブが搭載されていない場合にだけ必要):TFTP サーバ ソフトウェアは Cisco.com からは入手できなくなっていますが、お気に入りのインターネット検索エンジンで「tftp サーバ」を検索することで、多数の TFTP サーバ プログラムを見つけることができます。Cisco では、特定の TFTP の実装を特に推奨していません。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

手順

フロッピー ドライブ付きの PIX

次の手順を実行してパスワードを回復します。

  1. PC で rawrite.exe ファイルを実行し、画面上の質問に対して正しいパスワード回復ファイルを指定します。

  2. PIX のコンソール ポートに、シリアル端末またはターミナル エミュレーション ソフトウェアを備えた PC を接続します。

  3. PIX との接続を確認し、端末と PIX との間で双方向に文字が送信されていることを確認します。

    注:ロックアウトされているため、表示されるのはパスワード プロンプトだけです。

  4. PIX のフロッピー ドライブに PIX Password Lockout Utility ディスクを挿入します。

  5. PIX の前面にある Reset ボタンを押します。PIX がフロッピーからリブートされ、次のメッセージが表示されます。

    Erasing Flash Password. Please eject diskette and reboot.
    
  6. ディスクを取り出して Reset ボタンを押します。これで、パスワードなしでログインできるようになりました。パスワード プロンプトで Enter キーを押します。

  7. この処理の後、Telnet のデフォルト パスワードは「cisco」になります。デフォルトのイネーブル パスワードはありません。Telnet パスワードの変更およびイネーブル パスワードの作成を行うには、設定モードでそれぞれ passwd <password> コマンドと enable password <password> コマンドを発行し、設定を保存します。

フロッピー ドライブのない PIX

次の手順を実行してパスワードを回復します。

注:  このドキュメントでは、パスワード回復手順の出力例を参照できます。

  1. PIX のコンソール ポートに、シリアル端末またはターミナル エミュレーション ソフトウェアを備えた PC を接続します。

  2. PIX との接続を確認し、端末と PIX との間で双方向に文字が送信されていることを確認します。

    注:ロックアウトされているため、表示されるのはパスワード プロンプトだけです。

  3. PIX ファイアウォールの電源をオンにし、起動メッセージが表示された直後に、Break 文字を送信するか、Esc キーを押します。monitor> プロンプトが表示されます。必要な場合は ?(疑問符)を入力して、使用可能なコマンドのリストを表示してください。

  4. interface コマンドを使用して、ping トラフィックに使用するインターフェイスを指定します。フロッピーのない PIX にインターフェイスが 2 つしかない場合、monitor コマンドはデフォルトで内部インターフェイスに設定されます。

  5. address コマンドを使用して、PIX ファイアウォールのインターフェイスの IP アドレスを指定します。

  6. server コマンドを使用して、PIX パスワード回復ファイルが存在するリモート TFTP サーバの IP アドレスを指定します。

  7. file コマンドを使用して、PIX パスワード回復ファイルのファイル名を指定します。たとえば、5.1 リリースでは np51.bin という名前のファイルが使用されています。

  8. 必要な場合は、gateway コマンドを使用して、サーバへのアクセス時に経由するルータ ゲートウェイの IP アドレスを指定します。

  9. 必要な場合は、ping コマンドを使用してアクセス可能性を確認します。このコマンドが失敗する場合は、手順を続ける前に、サーバにアクセスできるようにします。

  10. tftp コマンドを使用して、ダウンロードを開始します。

  11. パスワード回復ファイルがロードされると、次のメッセージが表示されます。

    Do you wish to erase the passwords? [yn] y 
    Passwords have been erased. 
    

    注:バージョン 6.2 に Telnet またはコンソールの aaa authentication コマンドがある場合、システムから、これらの削除を促すプロンプトも出されます。

  12. この処理の後、Telnet のデフォルト パスワードは「cisco」になります。デフォルトのイネーブル パスワードはありません。Telnet パスワードの変更およびイネーブル パスワードの作成を行うには、設定モードでそれぞれ passwd <password> コマンドと enable password <password> コマンドを発行し、設定を保存します。

出力例

次の出力は、フロッピーのない PIX のパスワード回復例で、外部インターフェイス上に TFTP サーバがある場合を示しています。この出力例はラボ環境で得られたものです。

ネットワーク ダイアグラム

34a.gif

ネットワーク ダイアグラム
※ 画像をクリックすると、大きく表示されます。

monitor>interface 0
0: i8255X @ PCI(bus:0 dev:13 irq:10)
1: i8255X @ PCI(bus:0 dev:14 irq:7 )
 
Using 0: i82559 @ PCI(bus:0 dev:13 irq:10), MAC: 0050.54ff.82b9
monitor>address 10.21.1.99
address 10.21.1.99
monitor>server 172.18.125.3
server 172.18.125.3
monitor>file np52.bin
file np52.bin
monitor>gateway 10.21.1.1
gateway 10.21.1.1
monitor>ping 172.18.125.3
Sending 5, 100-byte 0xf8d3 ICMP Echoes to 172.18.125.3, timeout is 4 seconds:
!!!!!
Success rate is 100 percent (5/5)
monitor>tftp
tftp np52.bin@172.18.125.3 via 10.21.1.1...................................
Received 73728 bytes
 
Cisco Secure PIX Firewall password tool (3.0) #0: Tue Aug 22 23:22:19 PDT 2000
Flash=i28F640J5 @ 0x300
BIOS Flash=AT29C257 @ 0xd8000
 
Do you wish to erase the passwords? [yn] y
Passwords have been erased.
 
Rebooting....

ソフトウェアのダウンロード

パスワード回復の後、PIX ソフトウェアをアップグレードする場合は、Software Center登録ユーザ専用)を参照して、PIX ソフトウェアをダウンロードしてください。PIX ソフトウェアにアクセスするには、ログインしている必要があり、有効なサービス契約が必要です。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

PIX 6.x のソフトウェア アップグレードの詳細については、『Cisco Secure PIX Firewall および PIX Device Manager 用ソフトウェアのアップグレード』を参照してください。

PIX/ASA 7.x のソフトウェア アップグレードの詳細については、『PIX/ASA 7.x:ASDM を使用したソフトウェア イメージのアップグレードの設定例』を参照してください。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 8529