En este artículo, abordaremos un tema crucial para los administradores de red: la configuración de respaldos automáticos desde un firewall FortiGate hacia Azure Blob Storage utilizando el protocolo de transferencia de archivos SSH (SFTP). Este procedimiento no solo garantiza la seguridad de sus datos, sino que también mejora la resiliencia de su infraestructura de red al permitir una recuperación rápida en caso de incidentes. A través de esta guía, proporcionaremos un enfoque paso a paso para realizar esta configuración de manera efectiva.
Índice
Descripción del problema
La necesidad de realizar copias de seguridad de la configuración de un firewall es fundamental para cualquier administración de red. Sin embargo, la transferencia de estas configuraciones a un almacenamiento seguro puede presentar desafíos, especialmente al integrar múltiples plataformas como FortiGate y Azure. En este artículo, detallaremos cómo facilitar este proceso mediante el uso de SFTP, garantizando la seguridad y eficiencia en la administración de copias de seguridad.
Alcance
Este artículo se centra en la integración de FortiGate con Azure Blob Storage, específicamente a través del establecimiento de conexiones SFTP para la transferencia de copias de seguridad.
Diagnóstico paso a paso
Paso 1: Habilitar soporte SFTP para Azure Blob Storage
En el portal de Azure, navegue a ‘Cuenta de Almacenamiento -> Configuración’ y seleccione ‘SFTP’. Luego, elija ‘Habilitar SFTP’.
Paso 2: Configurar permisos de acceso para clientes SFTP
Cree un usuario local. Para acceder al endpoint SFTP, necesitará asociar una identidad llamada usuario local, que puede asegurarse con una contraseña generada por Azure o un par de claves SSH con la cuenta de almacenamiento.
En el portal de Azure, dirígete a ‘Cuenta de Almacenamiento -> Configuración’ y seleccione ‘SFTP’, luego elija ‘Agregar usuario local’.
En el panel de configuración de ‘Agregar usuario local’, introduzca el ‘nombre de usuario’ y seleccione un método de autenticación para este usuario. En este caso, se elegirá el método de autenticación ‘Contraseña SSH’.
Mantenga las otras opciones predeterminadas y navegue al panel de ‘Permisos’, donde debe seleccionar o crear un contenedor.
Asigne los permisos apropiados al contenedor. En este escenario, se selecciona ‘Todos los permisos’‘ y se dejan las otras opciones por defecto.
Paso 3: Conectar a Azure Blob Storage utilizando un cliente SFTP
Utilice el siguiente script en el CLI de FortiGate para enviar el archivo de copia de seguridad de configuración al Blob Storage:
# execute backup full-config sftp %%log.devname%%-%%date%%.cfg edteststorage2024.blob.core.windows.net:22 edteststorage2024.edtestcontainer.edtestuser xxxxxxxxxx
Donde:
- ‘execute backup full-config’ respaldará la configuración actual guardada.
- ‘sftp’ especifica el protocolo de transferencia utilizado.
- ‘%%log.devname%%-%%date%%.cfg’ especifica las variables utilizadas para nombrar el archivo de respaldo con el nombre actual del dispositivo y la fecha.
- ‘edteststorage2024.blob.core.windows.net’ especifica la ruta de almacenamiento —> segunda parte de la cadena de conexión después del símbolo @.
- ‘:22’ es el puerto de conexión SFTP.
- ‘edteststorage2024.edtestcontainer.edtestuser’ especifica el nombre de usuario —> primera parte de la cadena de conexión antes del símbolo @.
- ‘xxxxxxxxxx’ es la contraseña SSH para este usuario.
Solución recomendada
Asegúrese de que el método de autenticación por contraseña esté seleccionado para este usuario. Tras agregar al usuario local, aparecerá un cuadro de diálogo con la contraseña generada por Azure. Asegúrese de guardar esta contraseña localmente, ya que no se podrá recuperar más tarde.
Navegue nuevamente a ‘Cuenta de Almacenamiento -> Configuración’ y seleccione ‘SFTP’. Copie la cadena de conexión de este usuario localmente. Reemplace el campo <NOMBRE_CONTENEDOR> con el nombre de contenedor adecuado, que en este escenario se llama ‘testcontainer’.
Comandos CLI utilizados
Todos los comandos discutidos anteriormente pueden ser utilizados en el CLI de FortiGate. Recuerde que si el script se ejecuta manualmente, las variables mencionadas anteriormente no se convertirán en el nombre real del dispositivo y la fecha; para que tengan efecto, es necesario crear un Automation Stitch en el FortiGate.
Buenas prácticas y recomendaciones
Se recomienda probar la conexión mediante un cliente SFTP como WinSCP o FileZilla para asegurar que la configuración de Azure sea correcta. Tras la configuración de un Automation Stitch con una copia de seguridad automatizada diaria a las 11:59 PM, debería poder ver una salida similar en el Contenedor de Azure.
Notas adicionales
Si se recibe un error al aplicar el script en el CLI, es recomendable verificar la configuración con un cliente SFTP. Esta validación ayuda a asegurar que todas las partes de la configuración en Azure estén correctamente establecidas.
¿Te ha resultado útil??
0 / 0

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!