Fortigate USB Flash Drive Funktionen

Die meisten Fortigate Firewalls verfügen inzwischen über einen USB Port, an dem Flash Drives (Sticks) angeschlossen und verwendet werden können.

Allgemeines

Ist ein USB Stick angeschlossen, sollte man zu erst prüfen, ob er erkannt und korrekt initialisiert ist. Dazu führt man in der CLI folgenden Befehl aus:

get hardware status

Als Ausgabe erhält man nun z.B. folgende Informationen:

Model name: FortiGate-61E
ASIC version: SOC3
ASIC SRAM: 64M
CPU: ARMv7
Number of CPUs: 4
RAM 1866 MB
EMMC: 3662 MC(MLC) /dev/mmcblk0
Hard disk: 122104 MB /dev/sda
USB Flash: 16384 MB
Network Card chipset: FortiASIC NP6LITE Adapter (rev.)

Ist kein USB Stick verbunden oder wird er nicht erkannt, wird folgender Wert ausgegeben:

USB Flash: not available

Um den USB Stick nun zu verwenden, bietet die CLI mehrere Optionen zum Befehl execute usb-disk an:

execute usb-disk
  delete       delete file from the USB stick
  format       format the USB stick
  list         display the contents of the USB stick
  rename       rename a file on the USB stick

Die Optionen delete und rename benötigen dabei noch entsprechende Parameter:

execute usb-disk delete <Filename>
execute usb-disk rename <Filename-OLD> <Filename-NEW>
Restore des Firmware-Images und/oder der Systemkonfiguration

Die häufigste Verwendung eines USB Sticks ist wohl die Wiederherstellung eines korrupten Firmware-Images oder einer korrupten Config – oder ein Firmware Downgrade. Beides (Config-Restore, Firmware-Restore) kann sowohl in Kombination, als auch einzeln durchgeführt werden, wobei ein Restore der Konfiguration auch ohne Auto-Install möglich ist (siehe unten).

Um einen Restore durchzuführen, sind diese Auto-Install Funktionen a) zu aktivieren und b) die Dateinamen für den Restore zu konfigurieren:

config system auto-install
  set auto-install-config enable
  set auto-install-image enable
  set default-config-file "fgt_system.conf"
  set default-image-file "image.out"
end

Ist Auto-Install konfiguriert, steckt man den USB Stick in den USB Port der Fortigate und rebootet das Gerät. Jenachdem, was beim Systemstart auf dem Stick gefunden wird (Firmware-Image, Config-File oder beides) initialisiert sich die Fortigate nun neu. Wichtig beim Restore der Konfiguration ist es, dass das Backup unverschlüsselt sein muss, da keine Passwortabfrage während des Restores möglich ist.

Eine Besonderheit ist zu beachten, wenn man Internet Service Database Einträge in Firewall Policies verwendet. Stellt man die Firmware über diesen Weg wieder her, enthält die Internet Service Database ggf. nicht alle Einträge, sodass ggf. nicht alle Einträge, die man in den Policies verwendet, vorhanden sind. Die Folge ist, dass solche Regeln nicht mit übernommen werden. Es empfiehlt sich daher nach dem Restore die Internet Service Database zu aktualisieren und danach erneut die Konfiguration wiederherzustellen. Dann sind alle Regeln wieder vorhanden.

Systemkonfiguration sichern / wiederherstellen

Ein zweiter praktischer Nutzen des USB Sticks ist es, ihn als reguläres Sicherungsmedium für die Systemkonfiguration zu verwenden. Auch dies lässt sich einfach über die CLI bewerkstelligen (Backup-Passwort optional, falls die Datei verschlüsselt werden soll):

execute backup config usb <Backup-Filename> [<Backup-Passwort>]

Um die Konfiguration wiederherzustellen, benötigt es folgenden Befehl (auch hier optional mit Passwort, wenn das Backup verschlüsselt ist):

execute restore config usb <Backup-Filename> [<Backup-Passwort>]
Logs speichern

Neben der Konfiguration können auch Logs auf einen USB Stick gesichert werden (direktes Logging auf den Stick ist NICHT möglich!):

execute log backup <Log-Filename>

Ähnlich wie bei der Konfiguration können auch Logs wiederhergestellt werden (bestehende Logs werden dabei jedoch überschrieben):

execute log restore <Log-Filename>

Feature verfügbar seit: 4.0.0
Feature verfügbar bis: n/a

Quellen:
https://kb.fortinet.com/kb/viewContent.do?externalId=FD31911

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.