Descripción
De forma predeterminada, las unidades FortiGate no aceptan acceso administrativo remoto, excepto mediante conexiones HTTPS en el puerto TCP 443 a la interfaz de red interna predeterminada para ese modelo de FortiGate.
Restringir el acceso administrativo de forma predeterminada ayuda a garantizar que solo el usuario pueda cambiar la política del firewall y otras configuraciones de seguridad.
También mejora la seguridad de la propia unidad FortiGate al reducir la cantidad de puertos que los atacantes potenciales pueden descubrir mediante sondeos de red y escaneos de puertos, un método común para descubrir puertos abiertos para ataques de denegación de servicio (DoS).
El puerto TCP 113 (Ident/Auth) es una excepción a esta regla.
De forma predeterminada, las unidades FortiGate que reciben una solicitud de identificación en este puerto responden con un TCP RST, que restablece la conexión.
Esto evita el retraso que normalmente se produce si los hosts solicitantes esperaran a que se agote el tiempo de espera del intento de conexión.
Este puerto se usa con menos frecuencia en la actualidad.
Si no se utiliza este servicio y el usuario prefiere que FortiGate sea invisible para las sondas, las respuestas TCP RST se pueden deshabilitar para identificar solicitudes y someter esas solicitudes a políticas de firewall y, por lo tanto, cerrar este puerto.
Solución
Para deshabilitar las respuestas TCP RST a las solicitudes de identificación/autenticación.
En FortiGate, conéctese a la CLI.
Para cada interfaz de red que no deba responder a las solicitudes de identificación en el puerto TCP 113, ingrese los siguientes comandos CLI:
# config system interface
edit <nombre de la interfaz>
set ident-accept enable
next
end
ident-accept enable <—– Permitirá el tráfico a través de la interfaz del cortafuegos como tráfico normal.
ident-accept disabled <—– Enviará el RST para la solicitud y el tráfico terminará en la interfaz.
Por ejemplo, para deshabilitar las respuestas de identificación en una interfaz de red llamada port1, ingrese el siguiente comando:
# config system interface
edit <nombre de la interfaz>
set ident-accept enable
next
end
TCP 113 está cerrado.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!