Fortinet - Que faire si l'on est bloqué hors de son FortiGate ?
Fortinet fortigate
Qui n'a jamais connu cela ? On configure quelque chose sur un pare-feu FortiGate, on n'a pas fait attention et on n'a plus accès à l'interface web. Ou alors on a retiré les droits nécessaires au seul compte administrateur.
Je n'ai plus d'accès réseau au Fortigate !
Si l'on s'est exclu du réseau lors de la configuration, on peut toujours se connecter en ligne de commande via SSH, si celui-ci est activé, ou via un câble de console.
Pour un câble de console, un câble DB-9 sur RJ45 classique suffit. Si votre appareil ne dispose plus d'un port série, il existe également des câbles USB vers RJ-45. Il vous suffit alors de vérifier dans le gestionnaire de périphériques de Windows, par exemple, le port COM que le câble a reçu.
Vous pouvez ensuite établir une connexion via des outils tels que Putty. Pour une connexion via le port console, Putty doit être configuré comme suit :
- Serial line to connect to : Saisir le port COM
- Vitesse (baud) : 9600
- Bits de données : 8
- Bits d'arrêt : 1
- Parité : None
- Contrôle du flux : None
Si vous établissez ensuite une connexion, vous pouvez vous connecter avec votre compte d'administrateur. Lors de la saisie des commandes, vous pouvez utiliser l'autocomplétion avec la touche de tabulation et, en saisissant un ?, obtenir à tout moment les commandes et paramètres actuellement disponibles.
Vous pouvez par exemple éditer des interfaces comme suit :
config interface système
edit
Vous pouvez maintenant voir la configuration actuelle de l'interface réseau, trouver l'erreur et effectuer les modifications souhaitées. Si vous avez par exemple désactivé l'accès via HTTPS, vous pouvez le réactiver à l'aide des commandes suivantes :
set allowaccess http
set allowaccess https
A la fin, toujours confirmer avec end pour que la saisie de la configuration soit également enregistrée.
Vous devriez alors pouvoir accéder à l'interface web du FortiGate sans avoir à redémarrer le FortiGate ou à réinitialiser les paramètres d'usine.
Je me suis enfermé(e) hors de mon compte FortiGate Admin !
Que faire maintenant ? Réinitialiser les paramètres d'usine et recommencer depuis le début ? Faire une sauvegarde de la configuration après avoir rétabli les paramètres d'usine du pare-feu ? Ou peut-être existe-t-il même une troisième solution ?
C'était bien sûr une question rhétorique, car elle existe bel et bien. Fortinet a intégré un compte caché en cas d'urgence, qui ne peut être utilisé que sous certaines conditions :
- Il faut avoir un accès physique direct à l'appareil.
- Le numéro de série doit être connu. Vous le trouverez sur un autocollant apposé sur l'appareil.
- Un ordinateur doit être connecté au port console du FortiGate à l'aide d'un câble de console.
Les étapes suivantes permettent ensuite de rétablir l'accès :
- Notez dans un fichier texte le numéro de série du FortiGate, toutes les lettres doivent être en majuscules.
- Placez les lettres bcpb directement devant le numéro de série. Les lettres doivent être minuscules. Il s'agit du mot de passe nécessaire. L'idéal est de copier ce mot dans le presse-papiers.
- Établissez une connexion avec le FortiGate via le câble de la console.
- Débranchez le FortiGate, attendez 30 secondes et rebranchez le FortiGate.
- Une fois que le processus de démarrage est terminé et que vous êtes invité à vous connecter, saisissez maintainer comme nom d'utilisateur. Ensuite, saisissez le mot de passe ou collez-le à partir du presse-papiers.
Vous devriez maintenant être connecté au compte Maintainer. Si vous voulez maintenant modifier un compte admin, saisissez ce qui suit :
config global (uniquement nécessaire si les VDOM sont actifs)
config système admin
edit admin
set password (pour changer le mot de passe)
end
Veuillez noter que le maintainer ne peut pas créer de nouveaux comptes admin et que la commande show est désactivée pour le compte maintainer. Par conséquent, vous ne pouvez pas voir la configuration actuelle via le maintainer.
Si vous êtes obligé de désactiver un tel compte d'urgence pour des raisons de conformité, vous pouvez le faire de la manière suivante :
config system global
set admin-maintainer disable
end
Avertissement: Si vous perdez tout accès administratif à un FortiGate, vous ne pourrez plus le restaurer.