Fortinet - Co zrobić w przypadku zablokowania dostępu do swojego FortiGate?
Fortinet fortigate
Kto tego nie doświadczył? Konfigurujesz coś na firewallu FortiGate, nie zwróciłeś należytej uwagi i nie masz już dostępu do interfejsu WWW. Albo odebrałeś niezbędne uprawnienia jedynemu kontu administratora.
Nie mam już dostępu do sieci do Fortigate!
Jeśli zablokowałeś się z sieci podczas konfiguracji, nadal możesz połączyć się przez SSH, jeśli jest aktywowane, lub przez kabel konsoli przy użyciu linii poleceń.
W przypadku kabla konsoli wystarczy standardowy kabel DB-9 do RJ45. Jeśli Twoje urządzenie nie posiada już połączenia szeregowego, dostępne są również kable USB do RJ-45. Wystarczy zajrzeć na przykład do menedżera urządzeń systemu Windows, aby zobaczyć, jaki port COM został przypisany do kabla.
Następnie można użyć narzędzi takich jak Putty, aby nawiązać połączenie. W przypadku połączenia przez port konsoli, Putty musiałoby być skonfigurowane w następujący sposób:
- Serial line to connect to: Enter COM port
- Prędkość (baud): 9600
- Bity danych: 8
- Bity stopu: 1
- Parzystość: Brak
- Kontrola przepływu: Brak
Po nawiązaniu połączenia można zalogować się na konto administratora. Podczas wprowadzania poleceń można użyć klawisza tabulacji do autouzupełniania i wpisać ?, aby w każdej chwili wyświetlić aktualnie dostępne polecenia i parametry.
Na przykład, można edytować interfejsy w następujący sposób:
config system interface
edit
Teraz możesz zobaczyć aktualną konfigurację interfejsu sieciowego, znaleźć błąd i wprowadzić pożądane zmiany. Na przykład, jeśli wyłączyłeś dostęp przez HTTPS, możesz go ponownie aktywować za pomocą następujących poleceń:
set allowaccess http
set allowaccess https
Na koniec potwierdź zawsze przyciskiem end, aby wpis konfiguracji został również zapisany.
Następnie powinieneś mieć dostęp do interfejsu web FortiGate bez konieczności ponownego uruchomienia FortiGate lub przywrócenia ustawień fabrycznych.
Zablokowałem się z mojego konta administratora FortiGate!
Co teraz zrobić? Przywrócić ustawienia fabryczne i zacząć wszystko od nowa? Zrobić kopię zapasową konfiguracji po przywróceniu firewalla do ustawień fabrycznych? A może jest jeszcze jakieś trzecie rozwiązanie?
To było oczywiście pytanie retoryczne, bo ono istnieje. Fortinet wbudował ukryte konto na wypadek sytuacji awaryjnych, z którego można skorzystać tylko w określonych warunkach:
- Trzeba mieć bezpośredni fizyczny dostęp do urządzenia.
- Numer seryjny musi być znany. Znajdziesz go na naklejce umieszczonej na urządzeniu.
- Komputer z kablem konsoli musi być podłączony do portu konsoli urządzenia FortiGate.
Następnie można przywrócić dostęp wykonując następujące kroki:
- Zapisz numer seryjny urządzenia FortiGate w pliku tekstowym, wszystkie litery muszą być duże.
- Umieść litery bcpb bezpośrednio przed numerem seryjnym. Litery w tym miejscu muszą być małe. To jest hasło, którego potrzebujesz. Idealnie, skopiuj to do schowka.
- Nawiąż połączenie z FortiGate za pomocą kabla konsoli.
- Odłączyć FortiGate od zasilania, odczekać 30 sekund i ponownie podłączyć FortiGate.
- Po zakończeniu procesu uruchamiania i pojawieniu się prośby o podanie loginu, wpisz maintainer jako nazwę użytkownika. Następnie wprowadź hasło lub wklej je ze schowka.
Powinieneś być teraz zalogowany na konto opiekuna. Jeśli chcesz teraz edytować konto administratora, wprowadź następujące dane:
config global (konieczne tylko jeśli VDOMy są aktywne)
config system admin
edit admin
set password (aby zmienić hasło)
end
Należy pamiętać, że opiekun nie może tworzyć nowych kont administratorów, a polecenie show jest wyłączone dla konta opiekuna. Dlatego nie można zobaczyć bieżącej konfiguracji za pośrednictwem opiekuna.
Jeśli jesteś zmuszony do dezaktywacji takiego konta awaryjnego z powodów zgodności, możesz to zrobić w następujący sposób:
config system global
set admin-maintainer disable
end
Ostrzeżenie: Jeśli stracisz cały dostęp administracyjny do FortiGate, nie będziesz mógł go przywrócić.