Obtener Contraseñas en Texto Plano de VPN IPSEC en FortiGate

FortiGate, uno de los firewalls más robustos y completos del mercado, ofrece una amplia gama de funcionalidades para la administración de redes, incluyendo una API REST que permite gestionar su configuración de manera programática. Una de las características avanzadas de esta API es la capacidad de obtener contraseñas en texto plano, lo que se logra agregando un parámetro específico al final de ciertas URLs. En este artículo, exploraremos en detalle cómo y por qué utilizar el parámetro plain-text-password=1 al interactuar con la configuración de las VPN IPsec en FortiGate.


¿Qué es la API REST de FortiGate?

La API REST de FortiGate es una herramienta poderosa que permite a los administradores de red acceder y manipular la configuración del firewall de manera programática. Esta API facilita la automatización de tareas, la integración con otras plataformas de seguridad y la personalización de la configuración del dispositivo según las necesidades específicas de una organización.

Dentro de esta API, el acceso a la base de datos de configuración del dispositivo se realiza a través del endpoint /api/v2/cmdb/, donde cmdb significa Configuration Management Database (Base de Datos de Gestión de Configuración).


Desglosando la URL para la Configuración de VPN IPsec

Un ejemplo común de cómo se puede utilizar esta API es accediendo a la configuración de las VPN IPsec, específicamente a la fase 1 de las interfaces VPN.

NOTA: Lógicamente para acceder a esta información necesitaremos estar logados previamente en el FortiGate.

La URL correspondiente sería la IP del Fortigate y añadiendo lo siguiente:

/api/v2/cmdb/vpn.ipsec/phase1-interface

Esta URL permite obtener, modificar o eliminar configuraciones relacionadas con las interfaces de la fase 1 de las VPN IPsec.


El Parámetro plain-text-password=1

Al acceder a configuraciones que contienen contraseñas, FortiGate, por razones de seguridad, enmascara estos valores o los devuelve como hashes. Sin embargo, hay situaciones en las que es necesario obtener estas contraseñas en su formato original, es decir, en texto plano.

Para lograr esto, se puede añadir el siguiente parámetro de consulta al final de la URL:

/api/v2/cmdb/vpn.ipsec/phase1-interface?plain-text-password=1

¿Por qué usar plain-text-password=1?

El uso de plain-text-password=1 permite a los administradores:

  1. Obtener Contraseñas Visibles: Este parámetro garantiza que las contraseñas asociadas a la configuración de la VPN IPsec se devuelvan en formato de texto claro. Esto es especialmente útil cuando necesitas replicar la configuración en otro dispositivo o durante auditorías de seguridad donde se necesita verificar las contraseñas.
  2. Facilitar Migraciones de Configuración: Si estás migrando configuraciones entre diferentes dispositivos FortiGate o necesitas replicar la configuración en múltiples sitios, tener acceso a las contraseñas en texto plano simplifica enormemente el proceso.
  3. Auditoría Completa de Seguridad: En algunos escenarios, es necesario verificar manualmente las contraseñas almacenadas en el dispositivo para asegurar que cumplan con las políticas de seguridad de la organización.

Consideraciones de Seguridad

Aunque el parámetro plain-text-password=1 es extremadamente útil, también introduce riesgos potenciales si no se utiliza con precaución. Algunas consideraciones importantes incluyen:

  • Uso Restringido: Este parámetro debe utilizarse solo en entornos seguros y por personal autorizado, ya que expone contraseñas en texto plano que podrían ser interceptadas por usuarios no autorizados.
  • Almacenamiento Seguro: Si necesitas almacenar las contraseñas obtenidas, asegúrate de que se haga en un lugar seguro, utilizando cifrado si es posible.
  • Auditoría y Registro: Mantén un registro de cuándo y por quién se utiliza este parámetro, para asegurarte de que su uso esté justificado y se pueda rastrear en caso de incidentes de seguridad.

El uso del parámetro plain-text-password=1 en la API REST de FortiGate es una herramienta valiosa para administradores de red que necesitan acceso completo a la configuración de sus dispositivos. Sin embargo, como con cualquier herramienta poderosa, debe utilizarse con precaución y conciencia de los riesgos involucrados. Cuando se usa correctamente, este parámetro puede facilitar enormemente tareas de migración, auditoría y mantenimiento de la configuración de VPN IPsec en dispositivos FortiGate.


Scroll al inicio
WordPress Appliance - Powered by TurnKey Linux