Fortinet - Cosa fare se si è bloccati dal FortiGate?
Fortinet fortigate
A chi non è mai capitato? Avete configurato qualcosa su un firewall FortiGate, non avete prestato la dovuta attenzione e non avete più accesso all'interfaccia web. Oppure avete revocato i diritti necessari all'unico account di amministratore.
Non ho più accesso alla rete del Fortigate!
Se si è bloccati dalla rete durante la configurazione, è ancora possibile connettersi tramite SSH, se attivato, o tramite un cavo console utilizzando la riga di comando.
Per il cavo della console è sufficiente un cavo standard da DB-9 a RJ45. Se il dispositivo non dispone più di una connessione seriale, sono disponibili anche cavi USB-RJ45. Basta guardare nella gestione dispositivi di Windows, ad esempio, per vedere quale porta COM è stata assegnata al cavo.
È quindi possibile utilizzare strumenti come Putty per stabilire una connessione. Per una connessione tramite la porta della console, Putty deve essere configurato come segue:
- Linea seriale a cui connettersi: Inserire la porta COM
- Velocità (baud): 9600
- Bit di dati: 8
- Bit di stop: 1
- Parità: nessuna
- Controllo di flusso: Nessuno
Quando si stabilisce una connessione, è possibile accedere con il proprio account di amministratore. Durante l'immissione dei comandi, è possibile utilizzare il tasto tabulazione per il completamento automatico e immettere un ? per visualizzare i comandi e i parametri attualmente disponibili in qualsiasi momento.
Ad esempio, è possibile modificare le interfacce come segue:
config system interface
modifica
Ora è possibile visualizzare la configurazione attuale dell'interfaccia di rete, individuare l'errore e apportare le modifiche desiderate. Ad esempio, se è stato disattivato l'accesso via HTTPS, è possibile riattivarlo con i seguenti comandi:
set allowaccess http
set allowaccess https
Al termine, confermare sempre con fine, in modo che la voce di configurazione venga anche salvata.
A questo punto si dovrebbe essere in grado di accedere all'interfaccia web del FortiGate senza dover riavviare il FortiGate o ripristinare le impostazioni di fabbrica.
Mi sono bloccato dal mio account FortiGate Admin!
Cosa fare ora? Ripristinare le impostazioni di fabbrica e ricominciare da capo? Eseguire il backup della configurazione dopo aver ripristinato le impostazioni di fabbrica del firewall? O forse esiste una terza soluzione?
Era una domanda retorica, ovviamente, perché esiste. Fortinet ha creato un account nascosto per le emergenze, che può essere utilizzato solo in determinate condizioni:
- Si deve avere accesso fisico diretto al dispositivo.
- Il numero di serie deve essere noto. Lo si trova su un adesivo posto sull'unità.
- Un computer con un cavo console deve essere collegato alla porta console dell'unità FortiGate.
È quindi possibile ripristinare l'accesso con i seguenti passaggi:
- Scrivere il numero di serie dell'unità FortiGate in un file di testo; tutte le lettere devono essere maiuscole.
- Inserire le lettere bcpb direttamente davanti al numero di serie. Le lettere devono essere minuscole. Questa è la password necessaria. Idealmente, copiatela negli appunti.
- Stabilire una connessione al FortiGate tramite il cavo della console.
- Scollegare il FortiGate dall'alimentazione, attendere 30 secondi e ricollegarlo.
- Una volta completato il processo di avvio e richiesto il login, inserire maintainer come nome utente. Inserire quindi la password o incollarla dagli appunti.
A questo punto si dovrebbe essere collegati all'account del manutentore. Se ora si desidera modificare un account amministratore, inserire quanto segue:
config global (necessario solo se le VDOM sono attive)
config system admin
modifica amministratore
set password (per modificare la password)
fine
Si noti che il manutentore non può creare nuovi account di amministrazione e il comando show è disabilitato per l'account del manutentore. Pertanto, non è possibile visualizzare la configurazione corrente tramite il manutentore.
Se si è costretti a disattivare un account di emergenza per motivi di conformità, è possibile farlo nel modo seguente:
config system global
set admin-maintainer disable
fine
Avvertenza: se si perde tutto l'accesso amministrativo a un FortiGate, non sarà possibile ripristinarlo.