Безопасность : Устройства защиты Cisco PIX серии 500

Восстановление пароля и процедура восстановления настройки AA для PIX

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (21 мая 2008) | Английский (22 августа 2015) | Отзыв


Содержание


Введение

В этом документе описано, как можно восстановить пароль PIX для ПО PIX до выпуска 7.0 включительно. Обратите внимание, что осуществление восстановления пароля на PIX стирает только пароль, а не конфигурацию. Если существует Telnet или консольные команды aaa authentication в версиях 6.2 и позже, система также побуждает удалять их.

Примечание: Если вы настроили AAA на PIX, и AAA-сервер не работает, можно обратиться к PIX путем ввода Пароля Telnet первоначально, и затем произвести пробу монет как имя пользователя и enable password (пароль enable password) для пароля. Если для конфигурации PIX пароль не настроен, введите "pix" в качестве имени пользователя и нажмите клавишу ENTER. Если разрешающий пароль и пароль Telnet заданы, но неизвестны, продолжайте процесс восстановления пароля.

Версия программы PIX Password Lockout Utility зависит от используемого выпуска программного обеспечения PIX. Используйте show version для знания версии программного обеспечения, работающей на Устройстве безопасности PIX/ASA.

Примечание: Обратитесь к выполняющему восстановлению пароля для устройства адаптивной безопасности серии 5500 ASA для восстановления пароля устройства адаптивной безопасности серии 5500 ASA.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения в этом документе требуют этих аппаратных устройств:

  • PC

  • Работающий последовательный терминал или эмулятор терминала

  • Приблизительное время простоя PIX и сети – 10 минут

Примечание: У вас должно быть приблизительно 10 минут PIX и простые сети для выполнения этой процедуры.

Для использования процедуры восстановления пароля требуется программа PIX Password Lockout Utility, которая включает следующие файлы:

  • Соответствующий двоичный файл в зависимости от используемой версии программы PIX:

  • Программное обеспечение сервера TFTP (необходимый только для машин PIX без дисковода гибких дисков) — программное обеспечение сервера TFTP больше не доступно от Cisco.com, но можно найти много Tftp server путем поиска "tftp server" на поисковой системе предпочитаемого Интернета. Компания Cisco не дает специальных рекомендаций по использованию какого-либо конкретного сервера TFTP.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Пошаговая процедура

Чтобы восстановить ваш пароль, выполните следующие шаги:

Примечание:  Образец выходных данных процедуры восстановления пароля приведен в этом документе.

  1. Установите последовательный терминал или компьютер с программой эмуляции терминала на порте консоли PIX.

  2. Проверьте наличие соединения с PIX, движения символов от терминала к PIX и от PIX к терминалу.

    Примечание: Поскольку вы заблокированы, вы только видите запрос пароля.

  3. Сразу же после включения межсетевого экрана PIX и появления сообщений запуска передайте символ BREAK или нажмите клавишу ESC. Монитор> приглашение отображен. Если это необходимо, введите ? (вопросительный знак) для вывода списка доступных команд.

  4. Воспользуйтесь командой interface, чтобы указать интерфейс для трафика эхо-запросов. Для межсетевых экранов PIX без floppy-дисководов и только с двумя интерфейсами, команда monitor назначает внутренний интерфейс интерфейсом по умолчанию.

  5. Воспользуйтесь командой address, чтобы указать IP-адрес интерфейса PIX Firewall.

  6. Воспользуйтесь командой server, чтобы указать IP-адрес удаленного сервера TFTP, содержащего файл восстановления пароля PIX.

  7. Воспользуйтесь командой file, чтобы указать имя файла восстановления пароля PIX. Например, для выпуска 5.1 используется файл np51.bin.

  8. При необходимости введите команду gateway, чтобы указать IP-адрес шлюза маршрутизатора, через который доступен сервер.

  9. При необходимости выполните команду ping, чтобы проверить доступность. Если эта команда завершится неудачно, то перед продолжением работы восстановите доступ к серверу.

  10. Для начала загрузки используйте команду tftp.

  11. В ходе загрузки файла восстановления пароля появится следующее сообщение:

    Do you wish to erase the passwords? [yn] y 
    Passwords have been erased. 

    Примечание: Если существует Telnet или консольные команды aaa authentication в версии 6.2, система также побуждает удалять их.

  12. После этого процесса пароль Telnet по умолчанию – "cisco.". По умолчанию пароль не включен. Перейдите в режим конфигурации и выполните команду passwd ваш_пароль , чтобы сменить пароль Telnet, и команду enable password ваш_разрешающий_пароль, чтобы создать разрешающий пароль, а затем сохраните конфигурацию.

Образец выходных данных

Данный пример восстановления пароля PIX с TFTP server на внешнем интерфейсе взят от лабораторной среды.

Схема сети

34a.gif

monitor>interface 0
0: i8255X @ PCI(bus:0 dev:13 irq:10)
1: i8255X @ PCI(bus:0 dev:14 irq:7 )
 
Using 0: i82559 @ PCI(bus:0 dev:13 irq:10), MAC: 0050.54ff.82b9
monitor>address 10.21.1.99
address 10.21.1.99
monitor>server 172.18.125.3
server 172.18.125.3
monitor>file np52.bin
file np52.bin
monitor>gateway 10.21.1.1
gateway 10.21.1.1
monitor>ping 172.18.125.3
Sending 5, 100-byte 0xf8d3 ICMP Echoes to 172.18.125.3, timeout is 4 seconds:
!!!!!
Success rate is 100 percent (5/5)
monitor>tftp
tftp np52.bin@172.18.125.3 via 10.21.1.1...................................
Received 73728 bytes
 
Cisco Secure PIX Firewall password tool (3.0) #0: Tue Aug 22 23:22:19 PDT 2000
Flash=i28F640J5 @ 0x300
BIOS Flash=AT29C257 @ 0xd8000
 
Do you wish to erase the passwords? [yn] y
Passwords have been erased.
 
Rebooting....

Загрузка программного обеспечения

Если после восстановления пароля необходимо обновить ПО PIX, обращайтесь в Центр программного обеспечения (только для зарегистрированных клиентов), чтобы загрузить ПО PIX. Для получения доступа к программному обеспечению PIX необходимо зарегистрироваться и обладать действительным контрактом на обслуживание.

Дополнительные сведения об обновлении ПО для устройств PIX 6.x см. в документе Обновление программного обеспечения для брандмауэра Cisco Secure PIX Firewall и диспетчера устройств PIX.

Дополнительные сведения см. в разделе PIX/ASA 7.x: Пример конфигурации обновления образа программного обеспечения с использованием ASDM.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 8529