Es soll Situationen geben, in denen man auf einen FortiGate Router/UTM zugegriffen muss, aber keiner in der Nähe ist, der das Administrator Kennwort kennt. Mit dieser Kurzanleitung und physischen Zugriff auf den Router, kann man das Passwort dann in den meisten Fällen zurücksetzen.
Diese HowTo basiert auf der „Original Anleitung“ von Bruce Davis und wurde mit einer „FortiGate 30E“ erfolgreich getestet.
Was wird benötigt:
- Seriennummer des FortiGate Gerätes
- Konsolen Kabel
- Terminal-Software wie Putty.exe (Windows), Terminal (MacOS) oder Screen (Linux)
Vorgehensweise
Verbinde den Computer mit der Firewall über den Console-Port auf der Rückseite des Gerätes. Bei den meisten Geräten erfolgt dies entweder über ein „serielles Kabel“ oder ein „RJ-45 zu Seriell Kabel“.
Nun muss die „Terminal-Software“ mit den folgenden Einstellungen gestartet werden:
| Einstellung | Wert |
|---|---|
| Speed | 9600 Boud |
| Data Bits | 8 Bit |
| Parity | None |
| Stop Bits | 1 |
| Flow Control | No Hardware Flow Control |
| COM Port | the correct COM Port |
Die Firewall sollte sich nun mit Ihrem Namen bzw. Ihren Hostnamen melden. Wenn Sie es nicht macht, dann es einmal die „Enter“ Taste drücken.
Starte nun die Firewall neu. Wenn kein Netzschalter vorhanden ist, ziehe den Netzadapter ab und schließe ihn nach 10 Sekunden wieder an. Warte bis der Firewall-Name und die Anmeldeaufforderung angezeigt wird. Das Terminal-Fenster sollte dann in etwa so aussehen:
Nun gib als Anmeldename: maintainer ein und das Passwort in folgenden Format: bcpb + Seriennummer (Buchstaben der Seriennummer groß schreiben).
Beispiel Passwort: bcpbFGT60C3G10016011
Nach dem Neustart, hast du bei einigen Geräten nur 14 Sekunden oder weniger Zeit, um den Benutzernamen und das Passwort einzugeben. Es könnte also notwendig sein, die Anmeldeinformationen in einem Texteditor bereitzustellen und dann in den Anmeldebildschirm zu kopieren und einzufügen. Es gibt keinen Indikator dafür, wann deine Zeit abläuft, also kann es möglich sein, dass es mehr als einen Versuch geben kann, um erfolgreich zu sein.
Jetzt solltest du mit der Firewall verbunden sein. Um das Admin-Passwort zu ändern, gib folgendes am CLI ein …
Gerät, mit VDOMs deaktiviert:
config system admin
edit admin
set password
endGerät, mit VDOMs aktiviert:
config global
config system admin
edit admin
set password
endWenn bei der Anmeldung mit dem Wartungskonto die Meldung „PASSWORD RECOVERY FUNCTIONALITY IS DISABLED“ erscheint, dann bedeutet dies, dass das Wartungskonto deaktiviert wurde.
Deaktivieren des Maintainers / Account
Verwende den folgenden Befehl in der CLI, um den Status des Maintainerkontos zu ändern:
Zum Deaktivieren…
config system global
set admin-maintainer disable
end
Zum Aktivieren…
config system global
set admin-maintainer enable
end
Bildquellen
- password-397655_1280: https://pixabay.com/en/password-keyword-codeword-solution-397655/)
