Fortigate USB Flash Drive Funktionen
Die meisten Fortigate Firewalls verfügen inzwischen über einen USB Port, an dem Flash Drives (Sticks) angeschlossen und verwendet werden können.
Allgemeines
Ist ein USB Stick angeschlossen, sollte man zu erst prüfen, ob er erkannt und korrekt initialisiert ist. Dazu führt man in der CLI folgenden Befehl aus:
get hardware status
Als Ausgabe erhält man nun z.B. folgende Informationen:
Model name: FortiGate-61E
ASIC version: SOC3
ASIC SRAM: 64M
CPU: ARMv7
Number of CPUs: 4
RAM 1866 MB
EMMC: 3662 MC(MLC) /dev/mmcblk0
Hard disk: 122104 MB /dev/sda
USB Flash: 16384 MB
Network Card chipset: FortiASIC NP6LITE Adapter (rev.)
Ist kein USB Stick verbunden oder wird er nicht erkannt, wird folgender Wert ausgegeben:
USB Flash: not available
Um den USB Stick nun zu verwenden, bietet die CLI mehrere Optionen zum Befehl execute usb-disk an:
execute usb-disk delete delete file from the USB stick format format the USB stick list display the contents of the USB stick rename rename a file on the USB stick
Die Optionen delete und rename benötigen dabei noch entsprechende Parameter:
execute usb-disk delete <Filename> execute usb-disk rename <Filename-OLD> <Filename-NEW>
Restore des Firmware-Images und/oder der Systemkonfiguration
Die häufigste Verwendung eines USB Sticks ist wohl die Wiederherstellung eines korrupten Firmware-Images oder einer korrupten Config – oder ein Firmware Downgrade. Beides (Config-Restore, Firmware-Restore) kann sowohl in Kombination, als auch einzeln durchgeführt werden, wobei ein Restore der Konfiguration auch ohne Auto-Install möglich ist (siehe unten).
Um einen Restore durchzuführen, sind diese Auto-Install Funktionen a) zu aktivieren und b) die Dateinamen für den Restore zu konfigurieren:
config system auto-install set auto-install-config enable set auto-install-image enable set default-config-file "fgt_system.conf" set default-image-file "image.out" end
Ist Auto-Install konfiguriert, steckt man den USB Stick in den USB Port der Fortigate und rebootet das Gerät. Jenachdem, was beim Systemstart auf dem Stick gefunden wird (Firmware-Image, Config-File oder beides) initialisiert sich die Fortigate nun neu. Wichtig beim Restore der Konfiguration ist es, dass das Backup unverschlüsselt sein muss, da keine Passwortabfrage während des Restores möglich ist.
Eine Besonderheit ist zu beachten, wenn man Internet Service Database Einträge in Firewall Policies verwendet. Stellt man die Firmware über diesen Weg wieder her, enthält die Internet Service Database ggf. nicht alle Einträge, sodass ggf. nicht alle Einträge, die man in den Policies verwendet, vorhanden sind. Die Folge ist, dass solche Regeln nicht mit übernommen werden. Es empfiehlt sich daher nach dem Restore die Internet Service Database zu aktualisieren und danach erneut die Konfiguration wiederherzustellen. Dann sind alle Regeln wieder vorhanden.
Systemkonfiguration sichern / wiederherstellen
Ein zweiter praktischer Nutzen des USB Sticks ist es, ihn als reguläres Sicherungsmedium für die Systemkonfiguration zu verwenden. Auch dies lässt sich einfach über die CLI bewerkstelligen (Backup-Passwort optional, falls die Datei verschlüsselt werden soll):
execute backup config usb <Backup-Filename> [<Backup-Passwort>]
Um die Konfiguration wiederherzustellen, benötigt es folgenden Befehl (auch hier optional mit Passwort, wenn das Backup verschlüsselt ist):
execute restore config usb <Backup-Filename> [<Backup-Passwort>]
Logs speichern
Neben der Konfiguration können auch Logs auf einen USB Stick gesichert werden (direktes Logging auf den Stick ist NICHT möglich!):
execute log backup <Log-Filename>
Ähnlich wie bei der Konfiguration können auch Logs wiederhergestellt werden (bestehende Logs werden dabei jedoch überschrieben):
execute log restore <Log-Filename>
Feature verfügbar seit: 4.0.0
Feature verfügbar bis: n/a
Quellen:
https://kb.fortinet.com/kb/viewContent.do?externalId=FD31911
