Cómo resolver bloqueos administrativos para usuarios de API en FortiGate

Este artículo aborda el comportamiento de FortiOS al aplicar el bloqueo administrativo tras múltiples intentos fallidos de API desde la misma dirección IP. Este tema es crucial ya que el aumento continuo en la duración del bloqueo puede afectar el acceso de administradores y usuarios de API, lo que provoca interrupciones en la gestión de la red. A través de este artículo, se presentará un diagnóstico detallado y se ofrecerán soluciones adecuadas para mitigar estos bloqueos.

Índice

1 Descripción del problema
2 Alcance
3 Diagnóstico paso a paso
4 Solución recomendada
5 Comandos CLI utilizados
6 Ejemplo de diagnóstico de bloqueo desde sesión SSH
7 Buenas prácticas y recomendaciones
8 Notas adicionales

Descripción del problema

Cuando un firewall FortiGate recibe múltiples intentos fallidos de autenticación a través de la API desde una dirección IP específica, se activa un mecanismo de bloqueo administrativo. Este bloqueo tiene como objetivo proteger el dispositivo de accesos no autorizados, mientras que la duración del bloqueo se incrementa con cada intento erróneo adicional, creando así un potencial de bloqueo prolongado que podría llevar a problemas operativos.

Alcance

Este artículo se aplica a dispositivos FortiGate que utilizan FortiOS.

Diagnóstico paso a paso

Los esfuerzos de autenticación para administradores de firewall y usuarios de API REST están sujetos a bloqueos de acuerdo con la configuración de bloqueo administrativo en config system global.

Para usuarios de API únicamente, la duración del bloqueo administrativo no es estática. La primera vez que se bloquea la IP, será por el valor configurado en admin-lockout-duration. Los bloqueos subsecuentes para la misma dirección IP duplican la duración del bloqueo anterior.

Solución recomendada

Se recomienda revisar y ajustar la configuración de bloqueo administrativo según las necesidades de autenticación del entorno. Algunos ajustes relevantes son:

API_TEST # config system global
API_TEST (global) # set admin-lockout?
admin-lockout-duration    < ----- Tiempo en segundos que una cuenta de administrador está bloqueada después de alcanzar el umbral de bloqueo administrativo por intentos fallidos de inicio de sesión.
admin-lockout-threshold    < ----- Número de intentos fallidos de inicio de sesión antes de que una cuenta de administrador sea bloqueada durante la duración de bloqueo administrativo.

Durante un bloqueo, el FortiGate rechazará la solicitud de API sin verificar el token del usuario de API. Los intentos de API durante el bloqueo no contribuirán a contar como éxitos o fracasos.

Comandos CLI utilizados

API_TEST (global) # set admin-lockout-duration ?
admin-lockout-duration    < ----- Introduzca un valor entero de <1> a <2147483647> (por defecto = <60>).

API_TEST (global) # set admin-lockout-threshold ?
admin-lockout-threshold    < ----- Introduzca un valor entero de <1> a <10> (por defecto = <3>).

Ejemplo de diagnóstico de bloqueo desde sesión SSH

diagnose debug application httpsd -1
diagnose debug console timestamp enable
diagnose debug enable
2024-12-06 12:45:47 [httpsd 516 - 1733445947 info] fweb_debug_init[531] -- Nueva solicitud GET para "/api/v2/monitor/system/current-admins" desde "10.255.254.200:50578"
2024-12-06 12:45:47 [httpsd 516 - 1733445947 info] fweb_debug_init[533] -- User-Agent: "curl/8.0.1"
...

En el ejemplo proporcionado, se puede observar cómo el sistema registra un intento fallido de inicio de sesión por parte de la dirección IP bloqueada, lo que lleva a un mensaje que indica el bloqueo?

Buenas prácticas y recomendaciones

Asegúrese de establecer configuraciones razonables para admin-lockout-duration y admin-lockout-threshold de acuerdo con las operaciones de su organización. Esto minimizará la posibilidad de bloqueos prolongados que afecten el acceso a la API. Además, considere la posibilidad de implementar soluciones de monitoreo que avisen a los administradores sobre intentos de acceso fallidos para poder actuar de manera proactiva.

Notas adicionales

Es posible que, en algunos casos, se necesite generar una nueva clave API para resolver un código de error 403. Además, si no es posible esperar el tiempo restante de bloqueo, es mejor utilizar una dirección IP diferente para las solicitudes API.

¿Te ha resultado útil??

0 / 0

Mila y César

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.

¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!

Deja una respuesta 0

Otras preguntas sobre <a href="https://todoforti.net/fortigate/">FortiGate</a>

Cómo solucionar el tráfico de respuesta IKE-SAML que sale por una interfaz diferente en Fortinet
En este artículo, abordaremos un problema relacionado con las conexiones IKE-SAML en dispositivos FortiGate, donde el tráfico de respuesta se envía a través de una interfaz diferente a la utilizada para el tráfico inicial. Esto puede ocasionar problemas intermitentes de conectividad en VPN. Es vital resolver esta situación para garantizar la seguridad y eficacia en Leer
Enrutamiento dinámico (BGP) sobre túnel ipsec
Descripción Este artículo contiene la configuración necesaria para habilitar el enrutamiento dinámico (BGP aquí) a través de un túnel estático IPsec Solución Los comandos ‘ip’ y ‘remote-ip’ deben configurarse para ambas interfaces de túnel (consulte el diagrama a continuación). Estas direcciones IP se utilizan para terminar la conectividad IP del túnel a fin de Leer
Cómo resolver el problema de sincronización en FortiGate HA tras un cambio de configuración en la unidad principal
Este artículo aborda un problema común en los sistemas de alta disponibilidad (HA) de FortiGate, donde el sistema se desincroniza tras un cambio de configuración y permanece en ese estado por un periodo prolongado. Esto es crítico ya que afecta la continuidad operativa y la gestión de seguridad de la red. A continuación, se ofrecerán Leer
Copia de seguridad del archivo de configuración desde la CLI utilizando FTP
Buenas, soy César Sánchez y me apetecía escribir sobre: Copia de seguridad del archivo de configuración desde la CLI utilizando FTP El comando para realizar la copia de seguridad de la configuración es el siguiente: # ejecutar copia de seguridad config ftp <nombre de archivo> <servidor ftp>[:ftp port] <username> <password> <nombre de archivo>: nombre de Leer
Aprobar espacios de trabajo de Slack a través de un perfil de proxy web
Buenas 👍, por si no me conocéis soy César Sánchez y vengo a contaros: ⬇️ Aprobar espacios de trabajo de Slack a través de un perfil de proxy web Descripción Este artículo describe cómo controlar el acceso a los espacios de trabajo de Slack mediante la inyección de encabezados HTTP. Alcance FortiGate ejecutando FortiOS 6.0 Leer