Este artículo aborda un problema común relacionado con la función de Actualización Automática de Firmware en FortiGate, especialmente cuando se activa o desactiva la característica de Security Fabric. Comprender este comportamiento es esencial, ya que un mal funcionamiento en las actualizaciones de firmware puede exponer la red a vulnerabilidades. Aquí se detallarán los comandos y pasos necesarios para diagnosticar y solucionar este problema.
Índice
Descripción del problema
La función de Actualización Automática de Firmware puede no funcionar como se espera en dispositivos FortiGate cuando la opción de Security Fabric está habilitada. Esto puede causar que las actualizaciones de seguridad no se apliquen automáticamente, lo que podría dejar el sistema vulnerable a ataques.
Alcance
Este artículo se centra en dispositivos FortiGate, y proporciona directrices útiles para los administradores que desean asegurar que sus sistemas se mantengan al día con las últimas actualizaciones de firmware.
Diagnóstico paso a paso
Para verificar el estado de la función de auto-actualización del firmware en FortiGate, se puede utilizar el siguiente comando:
diagnose test application forticldd 13Al ejecutar este comando en un dispositivo con la opción habilitada, la salida esperada es la siguiente:
diagnose test application forticldd 13
Scheduled push image upgrade: no
Scheduled Config Restore: no
Scheduled Script Restore: no
Automatic image upgrade: Enabled.
Next upgrade check scheduled at (local time) Wed Nov 27 01:28:10 2024
La visualización en la GUI muestra similar información:

Con esta configuración, se espera que el dispositivo se actualice automáticamente si se encuentra un parche disponible. Sin embargo, hay casos en los que esto no ocurre, incluso con una configuración adecuada.
Una posible razón es que tras habilitar la opción, la característica de Security Fabric pudo haberse activado. En general, el estado de Security Fabric puede verificarse utilizando el siguiente comando:
show system csfO también:
show full-configuration system csfLas salidas cuando el estado está deshabilitado son las siguientes:
config system csf
end
Solución recomendada
Para habilitar la función de Security Fabric, se deben seguir estos pasos:
config system csf
set status enable
set group-name TEST
end
Después de ingresar ‘end’, aparecerá el siguiente mensaje:
Auto firmware upgrade in system.fortiguard has been paused since this FortiGate has joined a security fabric. The upgrade will resume automatically when this FortiGate is released from the security fabric. The upgrade status may be viewed using the following command diagnose test application forticldd 13.Esto significa que, tras habilitar Security Fabric en el dispositivo, la configuración para la función de auto-actualización se desactivará automáticamente.
Las salidas para el comando anteriormente mencionado serán:
diagnose test application forticldd 13
Scheduled push image upgrade: no
Scheduled Config Restore: no
Scheduled Script Restore: no
Automatic image upgrade: Disabled.
Comandos CLI utilizados
diagnose test application forticldd 13: Verifica el estado de la actualización automática de firmware.show system csf: Muestra el estado de la configuración de Security Fabric.config system csf: Permite configurar el sistema de Security Fabric.
Buenas prácticas y recomendaciones
Es recomendable deshabilitar la función de Security Fabric si se desea utilizar la actualización automática de firmware. Además, asegúrese de tener copias de seguridad periódicas de las configuraciones para evitar pérdidas de información durante los procesos de actualización.
Notas adicionales
Si se intenta agregar la configuración de ‘auto-firmware-upgrade’ nuevamente bajo system fortiguard, el estado continuará mostrando ‘disable’, debido a la relación entre estas funciones. La forma de habilitar correctamente la función es asegurándose de deshabilitar primero la característica de Security Fabric.
Al deshabilitar nuevamente la seguridad fabric y volver a agregar los pasos de ‘auto-firmware-upgrade’, el estado cambiará a lo siguiente:
config system csf
set status disable
end
Ejecutando el comando de verificación correspondiente, el estado de auto-actualización del firmware debería mostrarse como habilitado:
diagnose test application forticldd 13
Scheduled push image upgrade: no
Scheduled Config Restore: no
Scheduled Script Restore: no
Automatic image upgrade: Enabled.
Next upgrade check scheduled at (local time) Thu Nov 28 03:33:12 2024
¿Te ha resultado útil??
0 / 0

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!