Il paradosso della password è un problema diffuso. E' importante creare delle password forti e difficilmente intuibili dagli estranei, cambiandole frequentemente, e senza scriverle su carta. Questo può però causare delle dimenticanze. Può accadere infatti che molte organizzazioni si trovino chiuse fuori dai loro PIX.

Questo documento illustra il processo per resettare la password dei PIX.

Innanzitutto è necessario un server TFTP funzionante. La maggior parte dei sistemi operativi UNIX vengono installati con un server TFTP incluso, ma possibilmente non funzionante. I sistemi Windows sono svantaggiati perchè Microsoft non include più un server TFTP nelle ultime versioni del sistema operativo. Ora verrà mostrato come installare e configurare un server TFTP di terze parti su di un sistema Windows.

Prima di tutto è necessario connettersi al PIX tramite console con un sistema capace di inviare un segnale di BREAK (l'applicazione per le comunicazioni HyperTerminal inclusa in Windows non lo permette). L'edizione privata di HyperTerminal può invece inviare questi segnali (se viene premuta la combinazione di tasti corrispondente al BREAK).

Dopodichè, se non si conosce la versione del software installato sul PIX (o se non si è sicuri procedere ugualmente), connettere il PIX all'emulatore del terminale scelto (HyperTerminal, tip, minicom, ecc.) e assicurarsi di vedere una risposta alla pressione del tasto ENTER (come un prompt di password o il nome del router). Riavviare il router spegnendolo e osservare quindi l'output. Verrà mostrato il numero della versione del software installato.

Scaricare la versione corrispondente dei file da Cisco (ad esempio, la versione del software PIX 6.1 corrisponde al file np61.bin) e salvarla nella directory root TFTP.

Riavviare di nuovo il PIX e inviare un segnale di BREAK (~# in tip, CTRL-A f in minicom) mentre sta iniziando il boot. Uscirà un prompt come "monitor>".

Determinare il numero di quale interfaccia ethernet sarà usata per connettersi al server TFTP. Il modo più semplice per saperlo è di disconnettere un'interfaccia e riconnetterla direttamente all'host del server TFTP attraverso un cavo ethernet crossover. Il server TFTP può essere su di un'altra subnet e il PIX può essere configurato per passare da un gateway durante questo processo.

In questo documento l'interfaccia verrà considerata come la numero 0 (se non lo è, soltanto i comandi di interfaccia qui sotto dovranno essere cambiati), la versione software 6.1 e il file scaricato np61.bin. Per questo esempio l'indirizzo IP del server TFTP sarà 192.168.2.69 e l'indirizzo IP che può essere usato sul PIX sarà 192.168.1.2, su di un'altra subnet rispetto al server TFTP, accessibile attraverso il gateway con IP 192.18.1.1. Gli indirizzi IP inseriti durante questa guida non hanno nessuna influenza sulla configurazione del PIX alla fine della procedura.

I seguenti comandi fanno in modo che il PIX acquisisca l'immagine di reset della password dal server TFTP e la usi per resettare la password:

monitor> interface 0
monitor> address 192.168.1.1
monitor> server 192.168.2.69
monitor> gateway 192.168.1.1
monitor> file np63.bin
monitor> tftp

Il download TFTP dovrebbe essere rapido (nell'ordine di pochi secondi). In caso di errore, apparirà un messaggio a schermo dopo il timeout. Verificare il cablaggio di rete (assicurarsi che le connessioni siano funzionanti in entrambi i lati). E' possibile effettuare il ping del server TFTP (ping 192.168.2.69), anche se potrebbe fallire nel caso l'host avesse installato il servizio TFTP di blocco dei ping, risultando poco utile. Se tutto funziona correttamente, controllare le impostazionie verificare che non siano stati fatti errori tipografici nell'inserimento degli indirizzi IP.

Una volta che l'immagine è stata scaricata nel PIX, il codice di reset della password chiederà la conferma dell'operazione. Premere il tasto y per continuare e subito dopo la password verrà resettata e il PIX si riavvierà automaticamente. Il PIX avrà ora la password telnet di default e nessuna password abilitata.