Fortinet - ¿Qué hacer si se bloquea su FortiGate?
Fortinet fortigate
¿Quién no ha experimentado esto? Ha configurado algo en un cortafuegos FortiGate, no ha prestado la debida atención y ya no tiene acceso a la interfaz web. O ha retirado los derechos necesarios de la única cuenta de administrador.
¡Ya no tengo acceso de red al Fortigate!
Si se ha quedado sin acceso a la red durante la configuración, todavía puede conectarse a través de SSH, si está activado, o a través de un cable de consola utilizando la línea de comandos.
Para un cable de consola, un cable estándar DB-9 a RJ45 es suficiente. Si tu dispositivo ya no dispone de conexión serie, también hay disponibles cables USB a RJ-45. Basta con mirar en el administrador de dispositivos de Windows, por ejemplo, para ver qué puerto COM tiene asignado el cable.
A continuación, puedes utilizar herramientas como Putty para establecer una conexión. Para una conexión a través del puerto de consola, Putty tendría que configurarse de la siguiente manera:
- Línea serie a conectar: Introduzca el puerto COM
- Velocidad (baudios): 9600
- Bits de datos: 8
- Bits de parada: 1
- Paridad: Ninguna
- Control de flujo: Ninguno
Una vez establecida la conexión, puede iniciar sesión con su cuenta de administrador. Al introducir comandos, puede utilizar el tabulador para autocompletar e introducir una ? para visualizar los comandos y parámetros disponibles en cada momento.
Por ejemplo, puede editar interfaces de la siguiente manera:
config system interface
editar
Ahora puede ver la configuración actual de la interfaz de red, encontrar el error y realizar los cambios deseados. Por ejemplo, si ha desactivado el acceso a través de HTTPS, puede reactivarlo con los siguientes comandos:
set allowaccess http
set allowaccess https
Al final, confirme siempre con end para que se guarde también la entrada de configuración.
A continuación, debería poder acceder a la interfaz web de FortiGate sin tener que reiniciar FortiGate ni restablecer los valores de fábrica.
No puedo acceder a mi cuenta de administrador de FortiGate.
¿Qué hago ahora? ¿Restablecer la configuración de fábrica y empezar de nuevo? ¿Hacer una copia de seguridad de la configuración después de restablecer el cortafuegos a los valores de fábrica? ¿O quizás exista una tercera solución?
Era una pregunta retórica, por supuesto, porque existe. Fortinet ha incorporado una cuenta oculta para emergencias, que sólo se puede utilizar en determinadas condiciones:
- Uno debe tener acceso físico directo al dispositivo.
- Hay que conocer el número de serie. Lo encontrará en una pegatina en la unidad.
- Debe conectar un ordenador con un cable de consola al puerto de consola de la unidad FortiGate.
A continuación, puede restaurar el acceso con los siguientes pasos:
- Escriba el número de serie de la unidad FortiGate en un archivo de texto, todas las letras deben estar en mayúsculas.
- Coloque las letras bcpb justo delante del número de serie. Las letras aquí deben estar en minúsculas. Esta es la contraseña que necesita. Lo ideal es copiarla en el portapapeles.
- Establezca una conexión con el FortiGate a través del cable de consola.
- Desconecte el FortiGate de la alimentación, espere 30 segundos y vuelva a conectarlo.
- Una vez que el proceso de arranque se haya completado y se le pida un nombre de usuario, introduzca maintainer como nombre de usuario. A continuación, introduzca la contraseña o péguela desde el portapapeles.
Ahora debería haber iniciado sesión en la cuenta de mantenedor. Si ahora desea editar una cuenta de administrador, introduzca lo siguiente:
config global (sólo es necesario si hay VDOMs activos)
config system admin
edit admin
set password (para cambiar la contraseña)
fin
Tenga en cuenta que el mantenedor no puede crear nuevas cuentas de administrador y que el comando show está deshabilitado para la cuenta del mantenedor. Por lo tanto, no puede ver la configuración actual a través del mantenedor.
Si se ve obligado a desactivar dicha cuenta de emergencia por motivos de cumplimiento, puede hacerlo de la siguiente manera:
config system global
set admin-maintainer disable
end
Advertencia: Si pierde todo el acceso administrativo a un FortiGate, no podrá restaurarlo.