Como realizar una backup de la configuracion de equipos fortigate de forma remota

Los equipos fortigate permiten sacar un backup  de toda la configuracion aplicada en el equipo de forma remota a traves de scp, para poder realizar esto, se deben tener en cuenta varios aspectos importantes:

  1. El equipo debe tener la gestion remota activa por ssh en la interfaz WAN o LAN (dependiendo de por que interfaz alcances el dispositivo).
  2. Se debe activar el parametro admin-scp activo, el cual viene deshabilitado por default, para activarlo deberemos hacer lo siguiente en la consola del equipo fortigate

FIREWALL# config system global
FIREWALL (global) # set admin-scp enable
FIREWALL (global) # end

Una vez, realizado esto, tendremos nuestro equipo habilitado para realizar la copia de seguridad de la configuracion de forma remota, para hacer esto solo basta lanzar la siguiente orden:

scp -q -P puerto_ssh usuario@direccionIP:sys_config backup.conf

Por ejemplo

scp -q -P 22 admin@192.168.0.1:sys_config backup.conf

Despues de lanzar el comando, nos preguntara el password, lo ingresamos esperamos un poco y una vez termine, tendremos un archivo backup.conf con la configuracion del equipo.

De esta forma, y con una sola orden, podremos sacar el backup de forma remota muy facilmente. pero, ¿Para que puede llegar ser util esta caracteristica?

Si por cuestiones del trabajo sueles administrar varios dispositivos fortigate y no tienes los recursos (economicos) suficientes para comprar un FortiManager (equipo para administrar varios Fortigate), con esta caracteristica podrias realizar un script sencillo ya sea en bash o en el lenguaje de tu preferencia para que tome los datos de algun archivo o bd y simplemente lanzar el script con cron cada cierto tiempo, de esta manera tendremos un robot de copias para equipos fortigate, Algunas consideraciones que se deben tener en cuenta para el desarrollo del script.

  1.  Para ingresar el pass en el script se debe usar sshpass o expect ya que scp no permite pasar por parametro el password
  2. Si lo desean podrian hacer autenticacion de llaves para que no pregunte el password
  3. La info que se debe tomar de algun archivo externo o bd serian: (direccion_ip, password, puerto)

Add a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *