Aloquevamos.com Blog, ocasionalmente…

Como resetear el password de un PIX 506E sin tocar la configuración.

Por motivos varios he tenido la necesidad de petar un Firewall Cisco (506E) que no es mío pero que se usa en mis instalaciones. Como que llamar a la empresa que lo instaló significa una perdida de tiempo y dinero, y aprovechando que estoy haciendo el curso de CCNA (otra vez), me he dicho, “¿Y porque no lo peto yo?”, total, el bicho no es mió y en caso que lo petase al estilo Chiru en sus mejores tiempos (remember el router 801 en mi casa?? ) siempre queda la opción de llamar a los propietarios con un “no se que le ha pasado, ¿podéis pasaros y solucionarlo?”… que grande es trabajar en un cliente final.

En fin, que navegando por Internet encontré este tutorial acerca del tema. En el se explica muy bien, y muy “sensillo” como hacerlo.

Lo primero que hemos de hacer, es mirar que tipo de dispositivo queremos petar (no todos los routers-switches-servers-firewalls tienen la misma bios). En este caso seleccionamos SECURITY\PIX Firewall.

En este link encontramos una serie de archivos .bin. En función de la versión que tengamos de IOS en el PIX seleccionaremos uno u otro. La verdad es que yo me lo he acabado bajando todos porque el que en teoría me tenia que funcionar no ha funcionado, así que he ido probando (son 2 minutos cada intento y no hay tantos). Estos ficheros es recomendable bajárselos en alguna carpeta sencilla tal que c:\temp, o similar.

Como yo no tengo diskette lo hago por cable consola que mola más, pero para ello necesito un servidor TFTP. Por sencillez y practicidad recomiendo este.

Una vez nos hemos instalado el cliente TFTP en nuestro ordenador y lo hemos configurado (hay que poner la carpeta por defecto en la misma ubicación donde hemos descargado los ficheros .bin), nos conectamos al PIX por cable consola (utilizando el hyperterminal o sucedáneo), una vez conectados reiniciamos el router. Durante el proceso de inicio, nos dice que pulsemos el ESCAPE o BARRA ESPACIADORA. Nosotros pulsamos ESCAPE y se nos pondrá el prompt tal que MONITOR>.

A partir de aquí tenemos que configurar una serie de parámetros.

MONITOR> interface 0

Con esta instrucción habilitamos la interface 0. Aquí tendremos que fijarnos que interface está conectada a la LAN.

MONITOR> address 192.168.1.80

Le calzamos una IP fija a la interface en cuestión. Atención a asegurarse que esa IP no esté en uso en la red.

MONITOR> server 192.168.1.166

La IP ha de ser la del equipo donde hayamos instalado el servidor TFTP, en este caso es mi PC.

MONITOR> gateway 192.168.1.1

Realmente esta instrucción sólo tiene sentido si el server y el PIX están en redes diferentes y hay que atravesar algún router para llegar de uno a otro. Si todo está en la misma LAN (es mi caso) esta instrucción no tiene sentido.

MONITOR> file np53.bin

Aquí hemos de poner el archivo que toque. En mi caso era el np53.bin.

MONITOR> ping 192.168.1.166

Esto es mas por asegurarnos que tenemos conectividad que por otra cosa. En caso que no podamos hacer ping muy posiblemente sea porque en el paso inicial hayamos habilitado la interface equivocada. En este caso habría que activar la otra y volver a configurar todas las IP’s again.

MONITOR> tftp

Veremos como aparecen unos puntos suspensivos y una vez finalizado nos pregunta si queremos borrar el password. Ojo que si no lo pregunta o tarda mas de 1 minuto es que o hemos hecho algo mal, o el .bin no es correcto.

Una vez finalizado el proceso, el PIX se reinicia solo y ahora el password enable estará en blanco, y en caso que queramos acceder vía Telnet, el password por defecto será Cisco.

Ahora sólo queda cambiar el password enable a uno que no sea familiar, y a jugar!!.

Saludos, Miky.