Procedimiento de recuperación de contraseña y recuperación de configuración AAA para PIX Contenidos Introducción Requisitos previos Requisitos Componentes utilizados Convenciones Procedimientos paso a paso PIX con unidad de disquete PIX sin unidad de disco flexible Resultado de muestra Introducción Este documento describe cómo recuperar una contraseña PIX para las versiones del software del PIX hasta la 7.0. Observe que al ejecutar la recuperación de contraseña en el PIX, sólo se borra la contraseña y no la configuración. Si hay comandos aaa authentication de Telnet o consola en las versiones 6.2 y posteriores, el sistema también solicita que se borren estos comandos. Nota: Si ha configurado AAA en PIX y el servidor AAA deja de funcionar, puede obtener acceso a PIX ingresando la contraseña Telnet en primer lugar y luego pix como el nombre de usuario y enable password (contraseña enable password) como la contraseña. Si no hay una contraseña de activación en la configuración PIX ingrese pix como nombre de usuario y presione INTRO. Si la habilitación y las contraseñas Telnet están configuradas pero las desconoce, continúe con el proceso de recuperación de la contraseña. La utilidad PIX Password Lockout (Bloqueo de contraseña de PIX) se basa en la versión de software del PIX que esté ejecutando. Nota: Consulte Ejecución del procedimiento de recuperación de contraseña para el Dispositivo de seguridad adaptable serie ASA 5500 para Recuperación de contraseña para el Dispositivo de seguridad adaptable serie ASA 5500. Requisitos previos Requisitos No hay requisitos específicos para este documento. Componentes utilizados La información que contiene este documento requiere los siguientes dispositivos de hardware: Una PC Un terminal serie o emulador de terminal en funcionamiento Aproximadamente 10 minutos de tiempo de inactividad de la red y PIX Nota: Debe esperar aproximadamente 10 minutos de tiempo de inactividad de la red y PIX para realizar este procedimiento. Necesita la utilidad de bloqueo de contraseña PIX para usar el procedimiento de recuperación de la contraseña, que incluye estos archivos: El archivo binario adecuado, según la versión de software del PIX que esté ejecutando: np70.bin (versión 7.0 ) np63.bin (versión 6.3 ) np62.bin (versión 6.2 ) np61.bin (versión 6.1 ) np60.bin (versión 6.0 ) np53.bin (versión 5.3 ) np52.bin (versión 5.2 ) np51.bin (versión 5.1 ) np50.bin (versión 5.0 ) np44.bin (versión 4.4 ) nppix.bin (versiones 4.3 y anteriores) rawrite.exe (necesario únicamente para las máquinas PIX con unidad de disquete) Software de servidor TFTP (necesario únicamente para máquinas PIX sin una unidad de disquete): el software de servidor TFTP ya no está disponible en Cisco.com, pero puede encontrar muchos servidores TFTP si realiza una búsqueda con “tftp server” en el motor de búsqueda de Internet que prefiera. Cisco no recomienda ninguna implementación de TFTP específica. Convenciones Consulte las Convenciones de consejos técnicos de Cisco para obtener más información sobre las convenciones este documento. Procedimientos paso a paso PIX con unidad de disquete Siga estos pasos para recuperar la contraseña: 1. Ejecute el archivo rawrite.exe en su PC y responda las preguntas en la pantalla utilizando el archivo de recuperación de contraseña correcto. 2. Instale un terminal serie o una PC con software de emulación de terminal en el puerto de consola de PIX. 3. Verifique que no haya una conexión con PIX y que los caracteres se transmitan desde el terminal a PIX y desde PIX al terminal. Nota: Como se encuentra bloqueado, sólo verá una solicitud de contraseña. 4. Inserte el disco de la Utilidad de bloqueo de contraseña PIX en la unidad de disquete de PIX. 5. Presione el botón Reiniciar que está en la parte frontal de PIX. Se reinicia desde la unidad de disquete e imprime este mensaje: Erasing Flash Password. Please eject diskette and reboot. 6. Expulse el disco y presione el botón Reiniciar. Ahora puede iniciar sesión sin una contraseña. Presione INTRO cuando se le solicite una contraseña. 7. La contraseña predeterminada de Telnet luego de este proceso es “cisco”. No hay contraseña de activación predeterminada. Cambie al modo de configuración y ejecute el comando passwd your_password para cambiar la contraseña Telnet y el comando enable password your_enable_password para crear una contraseña de activación y guardar la configuración. PIX sin unidad de disco flexible Siga estos pasos para recuperar la contraseña: Nota: Puede encontrar un ejemplo de resultado del proceso de recuperación de contraseña en este documento. 1. Instale un terminal serie o una PC con software de emulación de terminal en el puerto de consola de PIX. 2. Verifique que no haya una conexión con PIX y que los caracteres se transmitan desde el terminal a PIX y desde PIX al terminal. Nota: Como se encuentra bloqueado, sólo verá una solicitud de contraseña. 3. Inmediatamente después de encender el PIX Firewall y de la aparición de los mensajes de inicio, envíe un carácter BREAK (INTERRUPCIÓN) o presione la tecla Tecla ESC. Se muestra el mensaje del monitor. Si es necesario, escriba ? (signo de interrogación) para enumerar los comandos disponibles. 4. Use el comando interface para especificar la interfaz que debe usar el tráfico de ping. Para los PIX sin unidad de disquete con sólo dos interfaces, el comando monitor lleva a la interfaz interna predeterminada. 5. Use el comando address para especificar la dirección IP de la interfaz de PIX Firewall. 6. Use el comando server para especificar la dirección IP del servidor TFTP remoto que contenga el archivo de recuperación de contraseña de PIX. 7. Use el comando file para especificar el nombre de archivo del archivo de recuperación de contraseña de PIX. Por ejemplo, la versión 5.1 usa un archivo con el nombre np51.bin. 8. Si es necesario, ingrese el comando gateway para especificar la dirección IP de una gateway del router a través de la cual se obtiene acceso al servidor. 9. Si es necesario, use el comando ping para verificar la accesibilidad. Si este comando falla, repare el acceso al servidor antes de continuar. 10. Use el comando tftp para iniciar la descarga. 11. Cuando cargue el archivo de recuperación de contraseña, se mostrará el siguiente mensaje: Do you wish to erase the passwords? [yn] y Passwords have been erased. Nota: Si hay comandos aaa authentication de Telnet o consola en la versión 6.2, el sistema también solicita que elimine estos comandos. 12. La contraseña predeterminada de Telnet luego de este proceso es “cisco”. No hay contraseña de activación predeterminada. Cambie al modo de configuración y ejecute el comando passwd your_password . para cambiar la contraseña Telnet y el comando enable password your_enable_password para crear una contraseña de activación y guardar la configuración. Resultado de muestra Este ejemplo de recuperación de contraseña de PIX sin unidad de disquete con el servidor de TFTP en la interfaz externa se toma de un entorno de laboratorio. Diagrama de la red monitor>interface 0 0: i8255X @ PCI(bus:0 dev:13 irq:10) 1: i8255X @ PCI(bus:0 dev:14 irq:7 ) Using 0: i82559 @ PCI(bus:0 dev:13 irq:10), MAC: 0050.54ff.82b9 monitor>address 10.21.1.99 address 10.21.1.99 monitor>server 172.18.125.3 server 172.18.125.3 monitor>file np52.bin file np52.bin monitor>gateway 10.21.1.1 gateway 10.21.1.1 monitor>ping 172.18.125.3 Sending 5, 100-byte 0xf8d3 ICMP Echoes to 172.18.125.3, timeout is 4 seconds: !!!!! Success rate is 100 percent (5/5) monitor>tftp tftp [email protected] via 10.21.1.1................................... Received 73728 bytes Cisco Secure PIX Firewall password tool (3.0) #0: Tue Aug 22 23:22:19 PDT 2000 Flash=i28F640J5 @ 0x300 BIOS Flash=AT29C257 @ 0xd8000 Do you wish to erase the passwords? [yn] y Passwords have been erased. Rebooting.... © 1992-2014 Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generación del PDF: 20 Mayo 2008 http://www.cisco.com/cisco/web/support/LA/7/73/73340_34.html