Phone call Mail
Jetzt kostenfreie Erstberatung per Mail oder Telefon: +49 228 33 8889 0
EnBITCon GmbH
Aus Fortinet FortiGate ausgesperrt Blog

Fortinet - Was tun, wenn man sich aus seiner FortiGate ausgesperrt hat?

18. Juni 2021   Bastian Seibel
Fortinet   fortigate

Wer kennt es nicht? Man konfiguriert etwas an einer FortiGate-Firewall, hat nicht richtig aufgepasst und schon hat man keinen Zugang mehr zum Web-Interface. Oder man hat dem einzigen Administrator-Account die notwendigen Rechte entzogen.

Ich habe keinen Netzwerkzugriff auf die Fortigate mehr!

Sollte man sich beim Konfigurieren aus dem Netzwerk ausgesperrt haben, so kann man immer noch, sofern aktiviert, über SSH, oder im über ein Konsolenkabel eine Verbindung über Kommandozeile aufbauen.

Für ein Konsolenkabel reicht ein herkömmliches DB-9 auf RJ45 Kabel. Sollte Ihr Gerät nicht mehr über einen seriellen Anschluss verfügen, gibt es auch USB auf RJ-45 Kabel. Sie müssten dann nur beispielsweise im Gerätemanager von Windows den COM Port nachsehen, welchen das Kabel erhalten hat.

Sie können dann über Werkzeuge wie Putty eine Verbindung herstellen. Bei einer Verbindung über den Konsolenport müsste Putty wie folgt konfiguriert werden:

  • Serial line to connect to: COM Port eintragen
  • Speed (baud): 9600
  • Data bits: 8
  • Stop bits: 1
  • Parity: None
  • Flow Control: None

Wenn Sie dann eine Verbindung aufbauen können Sie sich mit Ihrem Administrator-Account anmelden. Beim Eingeben der Befehle können Sie mit der Tabulator Taste eine Autovervollständigung nutzen und mit der Eingabe eines ? jederzeit die derzeit verfügbaren Befehle und Parameter angezeigt bekommen.
Sie können beispielsweise Interfaces wie folgt bearbeiten:

config system interface  edit   show

Nun können Sie die aktuelle Konfiguration des Netzwerkinterfaces einsehen, den Fehler finden und gewünschte Änderungen vornehmen. Haben Sie beispielsweise den Zugang über HTTPS deaktiviert, können Sie diesen wieder über folgende Befehle aktivieren:
  set allowaccess http
  set allowaccess https
Am Ende immer mit end bestätigen, damit die Eingabe der Konfiguration auch gespeichert wird.
Dann sollte es Ihnen möglich sein, auf das Webinterface der FortiGate zu gelangen, ohne die FortiGate neu zu starten oder auf Werkseinstellungen zurückzusetzen

Ich habe mich aus meinem FortiGate Admin Account ausgesperrt!

Was macht man jetzt? Auf Werkseinstellungen zurücksetzen und ganz von vorne anfangen? Ein Backup der Konfiguration einspielen, nachdem man die Firewall auf Werkseinstellungen zurückgesetzt hat? Oder gibt es vielleicht sogar eine dritte Lösung?

Das war natürlich eine rhetorische Frage, denn diese gibt es tatsächlich. Fortinet hat für den Notfall einen versteckten Account eingebaut, welcher nur unter bestimmten Voraussetzungen genutzt werden kann:

  • Man muss direkten physikalischen Zugriff auf das Gerät haben.
  • Die Seriennnummer muss bekannt sein. Diese finden Sie auf einem Aufkleber auf dem Gerät.
  • Es muss ein Computer mit einem Konsolenkabel am Konsolenport der FortiGate angeschlossen werden.

Mit folgenden Schritten können Sie dann den Zugang wiederherstellen:

  1. Notieren Sie in einer Textdatei die Seriennummer der FortiGate, sämtliche Buchstaben müssen dabei in Großbuchstaben notiert werden.
  2. Setzen die die Buchstaben bcpb direkt vor die Seriennummer. Die Buchstaben müssen hier klein sein. Dies stellt das gleich benötigte Passwort dar. Idealerweise kopieren Sie dies in die Zwischenablage.
  3. Bauen Sie über das Konsolenkabel eine Verbindung zur FortiGate auf.
  4. Trennen Sie die FortiGate vom Strom, warten Sie 30 Sekunden und schließen Sie die FortiGate wieder an.
  5. Sobald der Bootvorgang abgeschlossen wurde und nach einem Login gefragt werden, geben Sie als Benutzernamen maintainer ein. Danach geben Sie das Passwort ein oder fügen es aus der Zwischenablage ein.

Sie sollten nun im Maintainer-Account angemeldet sein. Wenn Sie jetzt einen Admin-Account bearbeiten wollen, geben Sie folgendes ein:
 config global (nur notwendig wenn VDOMs aktiv sind)
  config system admin
   edit admin
    set password (um Passwort zu ändern)
   end

Bitte beachten Sie, dass der maintainer keine neuen Admin-Accounts anlegen kann und der Befehl show für den maintainer Account deaktiviert ist. Von daher können Sie über den maintainer keine aktuelle Konfiguration einsehen.
Sollten Sie aus Compliance-Gründen gezwungen sein, einen solchen Notfall-Account deaktivieren zu müssen können Sie dies auf folgendem Weg erreichen:
config system global
 set admin-maintainer disable
 end

Warnung: Sollten Sie sämtlichen administrativen Zugang zu einer FortiGate verlieren, können Sie diesen dann nicht mehr wiederherstellen.

  • Schnelle und zuverlässige Lieferung
  • Kauf auf Rechnung
  • Qualifizierter Support
  • 100% sicheres Shoppen
    Unser Angebot gilt ausschließlich für Geschäftskunden und öffentliche Auftraggeber - Wiederverkäufer sind ausgenommen - Promoaktionen gelten ausschließlich innerhalb der Bundesrepublik Deutschland (weitere Länder nur auf Anfrage)
    • * Alle Preise verstehen sich zzgl. Mehrwertsteuer und Versandkosten und ggf. Nachnahmegebühren, wenn nicht anders beschrieben.
    • ** Lieferzeitangabe, sofern es sich um Lagerware handelt. Einige Produkte könnten bereits nicht mehr auf Lager sein und müssen nachgeliefert werden. Das genaue Lieferdatum erhalten Sie mit Ihrer Auftragsbestätigung.

    EnBITCon, sowie das EnBITCon Logo sind eingetragene Marken der EnBITCon GmbH - Alle Rechte vorbehalten - © EnBITCon 2024

     

    Bezahlarten

    Versandarten

    Zertifizierungen

    • iso2701 iso9001

    Mitgliedschaften

    • Wir sind ripe ncc Mitglied
    • Allianz für Cyber Sicherheit
    • DE CIX
    Diese Website verwendet Cookies, um Ihnen eine bestmögliche Erfahrung bieten zu können und uns die Möglichkeit einzuräumen unseren Webauftritt kontinuierlich zu verbessern. Unsere Datenschutzinformationen finden SIe hier: Mehr Informationen