Le paradoxe des mots de passe est une condition banale. Rendez vos mots de passe forts et difficiles à deviner, modifiez-les fréquemment et ne les écrivez pas. C'est une formule pour l'oubli. En fin de compte, de nombreuses organisations se retrouvent bloquées par leur PIX. Cette recette technique décrit le processus de réinitialisation du mot de passe PIX.
Ces informations décrivent la réinitialisation du mot de passe sur un PIX sans lecteur de disquette. Vous devez d'abord avoir un serveur TFTP en cours d'exécution. La plupart des systèmes d'exploitation UNIX s'installent avec un serveur TFTP installé, mais ne fonctionnant peut-être pas. Les systèmes Windows sont désavantagés car Microsoft ne fournit plus Windows avec un serveur TFTP. Cette recette décrit l'installation et la configuration d'un serveur TFTP tiers sur un système Windows.
Vous avez besoin d’une connexion console à votre PIX à partir d’un système capable d’envoyer un signal BREAK. (Cela n’est pas le cas pour l’application de communication HyperTerminal fournie avec Windows. Les utilisateurs de Windows sont désavantagés.) Private Edition de HyperTerminal ne fonctionne pas (si vous appuyez sur la combinaison de touches de votre clavier qui correspond à la touche BREAK).
Ensuite, si vous ne savez pas quelle version du logiciel est exécutée sur votre PIX, (Si vous n’êtes pas sûr, faites-le quand même. Vous avez oublié le mot de passe, après tout.) Connectez-vous au PIX avec l’émulateur de terminal de votre choix (HyperTerminal , astuce, minicom, etc.). Assurez-vous de voir des réponses raisonnables à la pression ENTRER (comme une invite de mot de passe ou le nom du routeur en tant qu'invite non privilégiée). Redémarrez le routeur en l'éteignant et en le rallumant, puis regardez la sortie. Il vous indiquera le numéro de version du logiciel en cours d'exécution.
Téléchargez le fichier correspondant de Cisco correspondant à la version de votre logiciel PIX. (Par exemple, la version logicielle PIX 6.1 correspondrait au fichier np61.bin.) Enregistrez-le dans votre répertoire racine TFTP. Maintenant, vous êtes prêt pour les choses amusantes.
Redémarrez à nouveau votre PIX et envoyez-lui un signal BREAK (~ # dans tip, CTRL-A f dans minicom) pendant le démarrage. Vous obtiendrez une invite telle que moniteur>.
Déterminez (par numéro) quelle interface Ethernet sera utilisée pour se connecter au serveur TFTP. Le moyen le plus simple de savoir est de débrancher une interface et de se connecter directement à l'hôte du serveur TFTP via un câble Ethernet croisé. Le serveur TFTP peut être sur un autre sous-réseau, car le PIX peut être configuré pour utiliser une passerelle au cours de ce processus.
La suite de ce tutoriel sera basée sur l'hypothèse que l'interface est le numéro 0. (Si ce n'est pas le cas, seule la commande d'interface ci-dessous doit être modifiée.) Nous supposerons également que la version du logiciel est 6.3 et que nous avons téléchargée. np63.bin. L'adresse IP du serveur TFTP sera 192.168.2.69, pour cet exemple. Une adresse IP pouvant être utilisée sur le PIX est 192.168.1.2, sur un sous-réseau différent de celui du serveur TFTP accessible via la passerelle à l'adresse 192.18.1.1. Les adresses IP entrées au cours de cette procédure n'affecteront pas la configuration du PIX une fois la procédure terminée.
Les commandes suivantes permettent au PIX d’obtenir l’image de réinitialisation du mot de passe du serveur TFTP et de l’utiliser pour réinitialiser le mot de passe:
moniteur> interface 0
moniteur> adresse 192.168.1.1
moniteur> serveur 192.168.2.69
moniteur> passerelle 192.168.1.1
moniteur> fichier np63.bin
moniteur> tftp
Le téléchargement TFTP devrait être rapide (de l'ordre de quelques secondes). Si cela échoue, il expire et donne un message d'erreur. Vérifiez votre câblage réseau. (Assurez-vous qu'il y a des voyants de liaison, si disponibles, des deux côtés.) Vous pouvez envoyer une requête ping au serveur TFTP (ping 192.168.2.69), bien que cela puisse échouer si l'hôte qui exécute le service TFTP bloque les pings, ce qui peut ne pas être utile. Si tout vous convient, vérifiez bien vos paramètres, car une faute de frappe dans une adresse IP posera des problèmes.
Une fois l'image téléchargée sur le PIX, le code de réinitialisation du mot de passe vous demandera si vous êtes sûr de vouloir réinitialiser le mot de passe. appuyez sur la y clé pour continuer. Dans un instant, le mot de passe sera réinitialisé et le PIX redémarrera automatiquement. Le PIX aura maintenant le mot de passe telnet par défaut cisco et pas de mot de passe d'activation.