Cómo resolver agrupación de servicios de Internet en Fortinet según la dirección

En este artículo, abordaremos cómo agrupar correctamente los objetos de servicio de Internet en FortiGate según su dirección y organizarlos en grupos de servicio de Internet. Este proceso es crucial para simplificar la creación de políticas en FortiGate, ya que permite manejar un único objeto en lugar de múltiples objetos individuales. La correcta configuración de estos grupos no solo mejora la gestión de políticas de seguridad, sino que también optimiza el rendimiento de la red.

Índice

1 Descripción del problema
2 Alcance
3 Diagnóstico paso a paso
4 Solución recomendada
5 Comandos CLI utilizados
6 Buenas prácticas y recomendaciones
7 Notas adicionales

Descripción del problema

La gestión de objetos de servicio de Internet en FortiGate puede volverse complicada si no se agrupan adecuadamente según su dirección. Esto puede llevar a configuraciones ineficaces y a una sobrecarga en la administración de políticas de seguridad.

Alcance

Este artículo es aplicable a dispositivos FortiGate.

Diagnóstico paso a paso

Para crear un grupo de servicio de Internet, es esencial entender cómo la dirección afecta el funcionamiento de estos objetos. La dirección de un servicio de Internet define cómo puede ser utilizado y se puede verificar en la GUI de FortiGate navegando a Política & Objetos -> Base de Datos de Servicios de Internet -> Buscando palabras clave de Servicios de Internet.

Es importante tener en cuenta las siguientes condiciones relacionadas con la dirección al crear un grupo de servicio de Internet:

Cuando la dirección del grupo se establece en ‘origen’, se pueden agregar miembros de objetos de servicio de Internet con direcciones establecidas en ‘origen’ o ‘ambos’.
Cuando la dirección del grupo se establece en ‘destino’, se pueden agrupar objetos de servicio de Internet con direcciones ‘destino’ o ‘ambos’.
Sin embargo, cuando la dirección del grupo de servicio de Internet se establece en ‘ambos’, solo se pueden incluir objetos de servicio de Internet con la dirección ‘ambos’.

Solución recomendada

Para simplificar la creación de políticas en FortiGate, se recomienda la creación de grupos de servicios de Internet. A partir de la versión 7.4, la creación de estos grupos solo era posible a través de la CLI, pero a partir de la versión 7.6.0 se puede hacer también desde la GUI.

A continuación, se muestra un ejemplo de configuración para crear grupos de servicios de Internet según su dirección:

config firewall internet-service-group
    edit "test-Source"
        set comment "Uso del grupo de servicio de Internet como ORIGEN"
        set direction source
        set member "Shodan-Scanner" "Google-Google.Bot" "Google-Gmail" "Microsoft-Skype_Teams"
    next
    edit "test-Destination"
        set comment "Uso del grupo de servicio de Internet como DESTINO"
        set direction destination
        set member "Microsoft-Office365" "Meta-Whatsapp" "Akamai-CDN" "Zoom.us-Zoom.Meeting"
    next
    edit "test-Both"
        set comment "Uso del grupo de servicio de Internet como AMBOS"
        set member "Shopify-Shopify" "GitHub-GitHub" "Apple-APNs"
    next
end

Comandos CLI utilizados

A continuación se describen los comandos usados en el proceso:

config firewall internet-service-group: Comando para acceder al modo de configuración del grupo de servicios de Internet.
edit «nombre-del-grupo»: Selecciona o crea un nuevo grupo de servicio de Internet.
set comment «comentario»: Establece un comentario descriptivo para el grupo.
set direction origen/destino/ambos: Define la dirección del grupo.
set member «nombre-del-objeto»: Agrega miembros al grupo.

Buenas prácticas y recomendaciones

Es recomendable utilizar grupos de servicio de Internet para reducir la complejidad en las políticas de seguridad. Además, asegúrese de seguir las reglas sobre las direcciones para evitar problemas en la aplicación de las políticas. También se sugiere documentar la configuración de los grupos para facilitar futuras revisiones y mantenimiento.

Notas adicionales

Para los grupos de servicio de Internet ‘test-Source’ y ‘test-Destination’, es posible mezclar los miembros del grupo con objetos de servicio de Internet que tienen la dirección ‘ambos’.

¿Te ha resultado útil??

0 / 0

Mila y César

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.

¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!

Deja una respuesta 0

Otras preguntas sobre FortiGate

Cómo solucionar problemas con reglas de firewall en FortiGate que utilizan múltiples IP pools para SNAT
Este artículo aborda un problema común en FortiGate relacionado con la asignación de NAT de salida (SNAT) cuando se configuran múltiples grupos de direcciones IP. Comprender cómo FortiGate maneja la sincronización y configuración de SNAT es esencial para garantizar una conectividad y un rendimiento óptimos de la red. A continuación, se proporcionarán soluciones y configuraciones Leer
Cómo solucionar el error 2221 del agente coleccionista FSSO en Fortinet
Este artículo aborda el error 2221 que aparece en los registros del agente del recolector FSSO. Este error es significativo ya que puede afectar la capacidad de la infraestructura para sincronizar correctamente la información del grupo de usuarios desde el controlador de dominio. En este documento, se ofrecerá una guía detallada para diagnosticar y resolver Leer
Cómo solucionar problemas al crear una VM de FortiGate en MacOS
En este artículo, abordamos el proceso de implementación de FortiGate en un sistema MacOS, utilizando imágenes de máquina virtual ARM. Este tema es importante porque garantizar un despliegue correcto de FortiGate asegura una protección eficaz de la red y optimiza el rendimiento. A continuación, se detallarán los pasos necesarios para llevar a cabo esta configuración Leer
Cómo solucionar los registros de negociación IPsec Fase 1 exitosos con direcciones IP de pares desconocidas en Fortinet
Este artículo aborda un problema técnico que se presenta en los dispositivos FortiGate, específicamente cuando los registros de eventos de VPN muestran el mensaje ‘success phase1 negotiate from unknown Peer’. Este problema es importante porque puede generar confusiones acerca del establecimiento de túneles VPN, pudiendo llevar a suposiciones erróneas sobre la seguridad de la red. Leer
Cómo resolver el problema del DHCP-Proxy en FortiGate que no reenvía la opción DHCP 119 con un servidor DHCP externo
En este artículo, abordaremos un problema relacionado con la funcionalidad de proxy DHCP en FortiGate, cuando se emplea un servidor DHCP externo. Este inconveniente afecta a los clientes IPsec remotos que utilizan solicitudes DHCP para obtener listas de búsqueda de dominio, especialmente en entornos donde se usan FortiClient en Windows y macOS. Aquí, explicaremos cómo Leer