Fortinet - O que fazer se estiver fechado fora do seu FortiGate?
Fortinet fortigate
Quem é que ainda não experimentou isto? Configura algo numa firewall FortiGate, não prestou a devida atenção e já não tem acesso à interface web. Ou retirou os direitos necessários da única conta de administrador.
Já não tenho acesso à rede do Fortigate!
Se se tiver bloqueado fora da rede durante a configuração, ainda pode ligar-se via SSH, se activado, ou através de um cabo de consola usando a linha de comando.
Para um cabo de consola, um cabo padrão DB-9 a RJ45 é suficiente. Se o seu dispositivo já não tiver uma ligação em série, os cabos USB para RJ-45 também estão disponíveis. Tudo o que tem de fazer é procurar no gestor de dispositivos Windows, por exemplo, para ver qual a porta COM a que o cabo foi atribuído.
Pode então utilizar ferramentas tais como Putty para estabelecer uma ligação. Para uma ligação através da porta da consola, o Putty teria de ser configurado da seguinte forma:
- Linha em série a que se deve ligar: Entrar na porta COM
- Velocidade (baud): 9600
- Bocados de dados: 8
- Bocados de paragem: 1
- Paridade: Nenhuma
- Controlo de fluxo: Nenhum
Ao estabelecer uma ligação, pode iniciar a sessão com a sua conta de administrador. Ao introduzir comandos, pode utilizar a tecla tab para completar automaticamente e introduzir um ? para exibir os comandos e parâmetros actualmente disponíveis em qualquer altura.
Por exemplo, pode editar interfaces da seguinte forma:
config interface do sistema
editar
Agora pode ver a configuração actual da interface de rede, encontrar o erro e fazer as alterações desejadas. Por exemplo, se tiver desactivado o acesso através de HTTPS, pode reactivá-lo com os seguintes comandos:
set allowaccess http
conjunto de https de acesso permitido
No final, confirmar sempre com o fim para que a entrada de configuração também seja guardada.
Deverá então poder aceder à interface web do FortiGate sem ter de reiniciar o FortiGate ou redefini-lo para as configurações de fábrica.
Eu tranquei-me fora da minha conta FortiGate Admin!
O que fazer agora? Reiniciar as configurações de fábrica e recomeçar tudo de novo? Fazer uma cópia de segurança da configuração depois de redefinir a firewall para as configurações de fábrica? Ou existe talvez até uma terceira solução?
Esta foi uma questão retórica, claro, porque ela existe. Fortinet construiu uma conta oculta para emergências, que só pode ser utilizada sob determinadas condições:
- Deve-se ter acesso físico directo ao dispositivo.
- O número de série deve ser conhecido. Encontrá-lo-á num autocolante na unidade.
- Um computador com um cabo de consola deve ser ligado à porta da consola da unidade FortiGate.
Poderá então restaurar o acesso com os seguintes passos:
- Anote o número de série da unidade FortiGate num ficheiro de texto, todas as letras devem estar em maiúsculas.
- Colocar as letras bcpb directamente em frente do número de série. As letras aqui devem ser minúsculas. Esta é a senha de que necessita. Idealmente, copie-a para a área de transferência.
- Estabelecer uma ligação com o FortiGate através do cabo da consola.
- Desligar o FortiGate da corrente, esperar 30 segundos e voltar a ligar o FortiGate.
- Assim que o processo de arranque estiver concluído e lhe for pedido um login, introduza o mantenedor como o nome de utilizador. Em seguida, introduza a palavra-passe ou cole-a a partir da área de transferência.
Deverá agora estar ligado à conta do mantenedor. Se agora quiser editar uma conta de administrador, introduza o seguinte:
config global (apenas necessário se os VDOMs estiverem activos)
config system admin
editar admin
definir senha (para alterar a senha)
fim
Note que o mantenedor não pode criar novas contas administrativas e o comando show está desactivado para a conta do mantenedor. Por conseguinte, não é possível visualizar a configuração actual através do mantenedor.
Se for obrigado a desactivar essa conta de emergência por razões de conformidade, pode fazê-lo da seguinte forma:
configurar sistema global
desactivar o set admin-maintainer
fim
Aviso: Se perder todo o acesso administrativo a um FortiGate, não poderá restaurá-lo.