Si tratta di un dispositivo molto vecchio (nato nel 2001 ed uscito di produzione nel 2008) che si trova su Ebay a 15 euro
Il primo problema e' che il dispositivo era protetto da password (ed oramai chi me lo ha prestato) non ricorda quindi e' stato necessario prima resettare la password di amministratore del dispositivo
Per fare si procede trovando il cavo di Consolle Cisco. Si tratta di un cavo seriale che ad una estremita' ha un comune DB-9 mentre all'altra' riporta un connettore RJ-45 ..tanto per fare le cose semplici
-----------------------------------------------------------------------
|| ||
|| ||
|||| ||||
..:||||||:..:||||||:..
c i s c o S y s t e m s
Private Internet eXchange
-----------------------------------------------------------------------
Fortunatamente qualche anno fa ne avevo tenuto uno preso da una scatola che stava per essere gettata.
Si inizia quindi connettendo il dispositivo al PC (connessione seriale 9600 8N1) e si attende il boot del PIX senza premere nessun tasto. Si deve prendere nota della versione del sistema operativo (evidenziato in giallo nel listato sottostante)
---------------------------------------------------------------------
Cisco PIX Firewall Version 6.3(5)
Cisco PIX Device Manager Version 3.0(4)
Compiled on Thu 04-Aug-05 21:40 by morlee
local up 35 mins 15 secs
Hardware: PIX-501, 16 MB RAM, CPU Am5x86 133 MHz
Flash E28F640J3 @ 0x3000000, 8MB
BIOS Flash E28F640J3 @ 0xfffd8000, 128KB
0: ethernet0: address is 0016.c836.xxxx, irq 9
1: ethernet1: address is 0016.c836.xxxx, irq 10
Licensed Features:
Failover: Disabled
VPN-DES: Enabled
VPN-3DES-AES: Enabled
Maximum Physical Interfaces: 2
Maximum Interfaces: 2
Cut-through Proxy: Enabled
Guards: Enabled
URL-filtering: Enabled
Inside Hosts: Unlimited
Throughput: Unlimited
IKE peers: 10
This PIX has a Restricted (R) license.
---------------------------------------------------------------------
A questo punto si va sul sito CISCO e si scarica il firmware corrispondente esattamente alla versione installata e si crea un file server SFTP su una macchina di riserva dove depositare il file (diciamo che questa macchina ha come indirizzo 192.168.1.1, per impostare il server si puo' leggere questo post)
Si collega il Cisco spento con il cavo seriale alla macchina di riserva e ci si mette in ascolto sulla porta seriale (il cavo di rete si inserisce nell'hub a 4 porte e non alla Wan)
Il boot del Pix si interrompe per qualche secondo durante il quale si deve premere un tasto in modo da entrare in funzione monitor
Si digitano quindi i seguenti comandi
interface 1 (si selezionano le porte dell'hub, la zero e' la Wan)
address 192.168.1.2 (ip del PIX sul lato interno)
server 192.168.1.1 (ip del server TFTP)
file pix63.bin (nome del file di firmware prima scaricato)
ping 192.168.1.1 (verifica che il Pix riesce a pingare il PC)
tftp (inizia il trasferimento del file)
al riavvio successivo si trova che le configurazioni del PIX sono rimaste identiche (e' stata resettata solo la password). Se si digita il comando enable (ovvero quando si entra nel profilo amministratore) viene richiesta la password e cio' e' un po' fuorviante. Basta digitare Invio e il prompt si modifica dal segno maggiore a cancelletto per indicare che si e' entrata nella shell di amministratore
Per vedere come sono configurati gli indirizzi del terminale (in modo da abbandonare il cavo di console e mettersi in collegamento via cavo di rete si puo' usare il comando
show ip
Ci si puo' quindi connettere via telnet con password cisco
Per configurare il terminale si digita
configure terminal
in questo modo si puo' attivare l'interfaccia web con iil comando
http xx.xxx.xxx.xxx (mettere l'ip interno al posto delle x)
http server enable
Ci si connette quindi via https al Cisco. Curiosamente Firefox non permette di connettersi per un problema sulle chiavi SSL (e' un bug attuale di Firefox)
Su Chrome si arriva alla pagina di autenticazione (si devono lasciare bianchi il campo user/password e premere invio in quanto e' stata resettata la password) e si arriva ad una pagina con l'immagine di Cisco PIX Device Manager 3.0 senza pero' poter far niente. Da Midori invece l'immagine e' cliccabile e porta sul sito della CISCO dove si trova che il prodotto e' End-of-Support e non si puo' scaricare il controllo via web
anche per quanto riguarda SSH ci sono un po' di problemi (le istruzioni dettagliate sono qui)
ca save all
ssh xx.xxx.xxx.x 255.255.255.255 inside (ip interno del router al posto delle x)http xx.xxx.xxx.xxx (mettere l'ip interno al posto delle x)
http server enable
Ci si connette quindi via https al Cisco. Curiosamente Firefox non permette di connettersi per un problema sulle chiavi SSL (e' un bug attuale di Firefox)
 |
| Immagine ripresa dal web di come si presentava il Device Manager |
anche per quanto riguarda SSH ci sono un po' di problemi (le istruzioni dettagliate sono qui)
configure terminal
ca generate rsa key 2048ca save all
ssh timeout 60
enable password xxxxxx
enable password xxxxxx
passwd xxxxx
se si cerca di connettersi con un client "moderno" si scopre che il protocollo SSH in uso e' la versione 1 (tutti i client moderni usano solo il protocollo versione 2 e quindi rifiutano la connessione)
rimane quindi la configurazione da linea di comando che puo' essere fatta in modo speditivo con il comando
setup che permette una configurazione veloce degli IP interni ed esterni
per riportarlo allo stato di fabbrica configure factory-default
In buona sostanza un bel giocattolino ma adesso non puo' essere usato come macchina di produzione
Nessun commento:
Posta un commento