Comments
Description
Transcript
PIX のパスワード回復と AAA 設定回復の手順
PIX のパスワード回復と AAA 設定回復の手順 目次 概要 前提条件 要件 使用するコンポーネント 表記法 ステップバイステップ手順 サンプル出力 ソフトウェアのダウンロード 関連情報 概要 このドキュメントでは、リリース 7.0 までの PIX ソフトウェアで PIX パスワードを回復する方法を説明しています。 PIX でパ スワード回復手順を実行すると、パスワードのみが消去され、設定は消去されません。 バージョン 6.2 および それ 以降に Telnet または console aaa authentication コマンドがある場合それらを取除くために、システムはまた指示します。 注:PIX に AAA を設定してあって、AAA サーバがダウンしている場合、最初に Telnet パスワードを入力し、次にユーザ名に pix、 パスワードに enable password(enable password パスワード)を入力すると、PIX にアクセスできます。 PIX の設定に enable password がない場合は、ユーザ名に pix と入力してから Enter キーを押してください。 設定されている enable password と Telnet パスワードがわからない場合も、パスワード回復手順を続けます。 PIX Password Lockout Utility は、使用している PIX ソフトウェア リリースをベースとしています。 PIX/ASA セキュリティ アプライアンス モデルで動作するソフトウェア バージョンを知るために show version を使用して下さい。 注:ASA 5500 シリーズ適応型セキュリティ アプライアンスのパスワード回復については、『ASA 5500 シリーズ適応型セキュリテ ィ アプライアンスのパスワード回復の実行』を参照してください。 前提条件 要件 このドキュメントに関する固有の要件はありません。 使用するコンポーネント このドキュメントの情報には、次のハードウェア デバイスが必要です。 PC 作業用のシリアル端末またはターミナル エミュレータ 約 10 分間のPIX とネットワークのダウンタイム 注:この手順を実行するには、PIX とネットワークの約 10 分間のダウンタイムが必要です。 パスワード回復手順を実行するには、PIX Password Lockout Utility が必要です。このユーティリティには、次のファイルが含 まれます。 使用している PIX のソフトウェア バージョンに応じて、次のバイナリ ファイルが該当します。 np70.bin(7.x np63.bin(6.3 np62.bin(6.2 np61.bin(6.1 np60.bin(6.0 np53.bin(5.3 np52.bin(5.2 および 8.0 リリース) リリース) リリース) リリース) リリース) リリース) リリース) 注:BIOS のバージョンにかかわらず、PIX によって現在実行されている PIX コードに応じて、使用する .bin ファイ ルを判断する必要があります。 TFTP サーバ ソフトウェア(PIX マシンにフロッピー ドライブが搭載されていない場合にだけ必要):TFTP サーバ ソフト ウェアは Cisco.com からは入手できなくなっていますが、お気に入りのインターネット検索エンジンで「tftp サーバ」を 検索することで、多数の TFTP サーバ プログラムを見つけることができます。 シスコでは、特定の TFTP の実装は推奨し ていません。 表記法 ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。 ステップバイステップ手順 次の手順を実行してパスワードを回復します。 注: このドキュメントでは、パスワード回復手順の出力例を参照できます。 1. PIX のコンソール ポートに、シリアル端末またはターミナル エミュレーション ソフトウェアを備えた PC を接続します。 2. PIX との接続を確認し、端末と PIX との間で双方向に文字が送信されていることを確認します。 注:ロックアウトされているため、表示されるのはパスワード プロンプトだけです。 3. PIX ファイアウォールの電源をオンにし、起動メッセージが表示された直後に、Break 文字を送信するか、Esc キーを押し ます。 monitor> プロンプトが表示されます。 もし必要なら、型か。 (疑問符)利用可能なコマンドをリストするため。 4. interface コマンドを使用して、ping トラフィックに使用するインターフェイスを指定します。 フロッピーのない PIX に インターフェイスが 2 つしかない場合、monitor コマンドはデフォルトで内部インターフェイスに設定されます。 5. address コマンドを使用して、PIX ファイアウォールのインターフェイスの IP アドレスを指定します。 6. server コマンドを使用して、PIX パスワード回復ファイルが存在するリモート TFTP サーバの IP アドレスを指定します。 7. file コマンドを使用して、PIX パスワード回復ファイルのファイル名を指定します。 たとえば、5.1 リリースでは np51.bin という名前のファイルが使用されています。 8. 必要な場合は、gateway コマンドを使用して、サーバへのアクセス時に経由するルータ ゲートウェイの IP アドレスを指定 します。 9. 必要な場合は、ping コマンドを使用してアクセス可能性を確認します。 このコマンドが失敗する場合は、手順を続ける前 に、サーバにアクセスできるようにします。 10. tftp コマンドを使用して、ダウンロードを開始します。 11. パスワード回復ファイルがロードされると、次のメッセージが表示されます。 Do you wish to erase the passwords? [yn] y Passwords have been erased. 注:バージョン 6.2 に Telnet またはコンソールの aaa authentication コマンドがある場合、システムから、これらの削 除を促すプロンプトも出されます。 12. この処理の後、Telnet のデフォルト パスワードは「cisco」になります。 デフォルトのイネーブル パスワードはありませ ん。 Telnet パスワードの変更および有効パスワードの作成を行うには、設定モードでそれぞれ passwd your_password コ マンドと enable password your_enable_passwordコマンドを発行し、設定を保存します。 サンプル出力 outside インターフェイスの TFTPサーバの PIXパスワード リカバリのこの例はラボ 環境に倣います。 ネットワーク図 monitor>interface 0 0: i8255X @ PCI(bus:0 dev:13 irq:10) 1: i8255X @ PCI(bus:0 dev:14 irq:7 ) Using 0: i82559 @ PCI(bus:0 dev:13 irq:10), MAC: 0050.54ff.82b9 monitor>address 10.21.1.99 address 10.21.1.99 monitor>server 172.18.125.3 server 172.18.125.3 monitor>file np52.bin file np52.bin monitor>gateway 10.21.1.1 gateway 10.21.1.1 monitor>ping 172.18.125.3 Sending 5, 100-byte 0xf8d3 ICMP Echoes to 172.18.125.3, timeout is 4 seconds: !!!!! Success rate is 100 percent (5/5) monitor>tftp tftp [email protected] via 10.21.1.1................................... Received 73728 bytes Cisco Secure PIX Firewall password tool (3.0) #0: Tue Aug 22 23:22:19 PDT 2000 Flash=i28F640J5 @ 0x300 BIOS Flash=AT29C257 @ 0xd8000 Do you wish to erase the passwords? [yn] y Passwords have been erased. Rebooting.... ソフトウェアのダウンロード パスワード回復の後、PIX ソフトウェアをアップグレードする場合は、Software Center(登録ユーザ専用)を参照して、PIX ソ フトウェアをダウンロードしてください。 PIX ソフトウェアにアクセスするには、ログインしている必要があり、有効なサービ ス契約が必要です。 PIX 6.x のソフトウェア アップグレードの詳細については、『Cisco Secure PIX Firewall および PIX Device Manager 用ソフ トウェアのアップグレード』を参照してください。 ソフトウェア バージョン 7.x が稼働する Cisco セキュリティ アプライアンスでのサイト間 IPSec VPN の設定方法の詳細につ いては、『PIX/ASA 7.x: PIX/ASA 7.x のためのソフトウェアアップグレードについて詳細を学ぶために ASDM 設定例を使用して ソフトウェア イメージをアップグレードして下さい。 関連情報 Requests for Comments(RFC) パスワードリカバリ 1992 - 2016 Cisco Systems, Inc. All rights reserved. Updated: 2016 年 10 月 28 日 http://www.cisco.com/cisco/web/support/JP/100/1000/1000564_34.html Document ID: 8529