Como resetear el password de un PIX 506E sin tocar la configuración.
Tuesday, 4 de December de 2007Por motivos varios he tenido la necesidad de petar un Firewall Cisco (506E) que no es mío pero que se usa en mis instalaciones. Como que llamar a la empresa que lo instaló significa una perdida de tiempo y dinero, y aprovechando que estoy haciendo el curso de CCNA (otra vez), me he dicho, “¿Y porque no lo peto yo?”, total, el bicho no es mió y en caso que lo petase al estilo Chiru en sus mejores tiempos (remember el router 801 en mi casa?? 
) siempre queda la opción de llamar a los propietarios con un “no se que le ha pasado, ¿podéis pasaros y solucionarlo?”… que grande es trabajar en un cliente final.
Lo primero que hemos de hacer, es mirar que tipo de dispositivo queremos petar (no todos los routers-switches-servers-firewalls tienen la misma bios). En este caso seleccionamos SECURITY\PIX Firewall.
En este link encontramos una serie de archivos .bin. En función de la versión que tengamos de IOS en el PIX seleccionaremos uno u otro. La verdad es que yo me lo he acabado bajando todos porque el que en teoría me tenia que funcionar no ha funcionado, así que he ido probando (son 2 minutos cada intento y no hay tantos). Estos ficheros es recomendable bajárselos en alguna carpeta sencilla tal que c:\temp, o similar.
Como yo no tengo diskette lo hago por cable consola que mola más, pero para ello necesito un servidor TFTP. Por sencillez y practicidad recomiendo este.
Una vez nos hemos instalado el cliente TFTP en nuestro ordenador y lo hemos configurado (hay que poner la carpeta por defecto en la misma ubicación donde hemos descargado los ficheros .bin), nos conectamos al PIX por cable consola (utilizando el hyperterminal o sucedáneo), una vez conectados reiniciamos el router. Durante el proceso de inicio, nos dice que pulsemos el ESCAPE o BARRA ESPACIADORA. Nosotros pulsamos ESCAPE y se nos pondrá el prompt tal que MONITOR>.
A partir de aquí tenemos que configurar una serie de parámetros.
MONITOR> interface 0
Con esta instrucción habilitamos la interface 0. Aquí tendremos que fijarnos que interface está conectada a la LAN.
MONITOR> address 192.168.1.80
Le calzamos una IP fija a la interface en cuestión. Atención a asegurarse que esa IP no esté en uso en la red.
MONITOR> server 192.168.1.166
La IP ha de ser la del equipo donde hayamos instalado el servidor TFTP, en este caso es mi PC.
MONITOR> gateway 192.168.1.1
Realmente esta instrucción sólo tiene sentido si el server y el PIX están en redes diferentes y hay que atravesar algún router para llegar de uno a otro. Si todo está en la misma LAN (es mi caso) esta instrucción no tiene sentido.
MONITOR> file np53.bin
Aquí hemos de poner el archivo que toque. En mi caso era el np53.bin.
Esto es mas por asegurarnos que tenemos conectividad que por otra cosa. En caso que no podamos hacer ping muy posiblemente sea porque en el paso inicial hayamos habilitado la interface equivocada. En este caso habría que activar la otra y volver a configurar todas las IP’s again.
MONITOR> tftp
Veremos como aparecen unos puntos suspensivos y una vez finalizado nos pregunta si queremos borrar el password. Ojo que si no lo pregunta o tarda mas de 1 minuto es que o hemos hecho algo mal, o el .bin no es correcto.
Ahora sólo queda cambiar el password enable a uno que no sea familiar, y a jugar!!.
Saludos, Miky.
el December 5th, 2007 a las 12:03
Hombreeeeeeeeeee!!!!
Primer how to de aloquevamos que no he escrito yo!!! En el post numero 89!!!
A ver si alguien se anima anda! Cañuki tu tienes uno pendiente de la instalación de los servidores!!
Salute e forza!
el December 10th, 2007 a las 17:55
Tengo este error, TFTP failed (return:-1 arg:0×0)
saludos
el December 19th, 2007 a las 12:03
Starling, ese error lo tienes en el log del TFTP o en la consola del pix? Hay conectividad entre los dos?
Saludos,
el December 20th, 2007 a las 17:11
hola, ya lo resolvi… subi el file con un software de tftp
otra pregunta, tengo dos caso con este pix:
1ro: que comando tengo a agregar para permitir entra a la red via remote desktop o vpn?
2do: con el pix instalado no salen los email o correos?
saludos; Mr. Chiru espero tu respuesta o si me refieres a algun foro o site, te lo agradecere..!
el December 21st, 2007 a las 13:22
Hola de nuevo Starling.
Lo que necesitas es autorizar tráfico desde/hacia las máquinas que quieras por los puertos correspondientes (25tcp para los mails i el 389tcp para el rdp). Creo que miky estava en un manual para esto, en breve saldrá publicado.
Saludos!
el December 21st, 2007 a las 13:52
Buenas tardes;
A falta de mas datos sobre la red y como quieres montarlo yo hago mis elucubraciones y espero que te sirvan.
Entiendo que en el pix has de definir PAT estático porque quieres que algo que te entra por una IP fija pública, se redirija a una IP concreta dentro de tu red interna.
Para esto haz lo siguiente;
static ( inside,outside) tcp ‘ip pública’ ‘puerto entrada’ ‘ip interna destino’ ‘puerto destino’
Ejemplo; yo quiero que todo lo que me entra por la dirección 80.59.66.33 por el puerto 3306 sea redirigido a la ip interna 10.15.2.20 puerto 3306
static ( inside,outside) tcp 80.59.66.33 3306 10.15.2.20 3306
Por último, deberías dar los permisos mediante un ACL en el pix tal que;
access-list outside_access_in permit tcp any 10.15.2.20 eq 3306 (cambia la ip de destino y el puerto)
A lo segundo, no sabria contestarte a falta de mas datos, pero si quieres resolverlo en plan bestia pon una ACL que permita toda la salida de trafico y prueba. Si te funciona, empieza a restringir puertos.
Ten en cuenta que las ACL’s se leen de primera a última, esto quiere decir que has de empezar por la mas restrictiva arriba, y acabar con la menos restrictiva.
Saludos
MIKY
el December 21st, 2007 a las 13:57
Starling puede que necesites configurar una ruta por defecto para que el pix reenvie hacia afuera?
Saludos,
el October 15th, 2008 a las 22:05
me aburreeees miky!
el March 30th, 2009 a las 23:42
Perdón pero de donde descargo los archivos .bin?, tengo un pix 506E que no encuentro su contraseña
el April 2nd, 2009 a las 13:08
Jines, el link está roto. Supongo que ya lo habrás podido comprobar.
Intentaré buscar los .bin y te contesto.
Saludos