Cómo resolver el acceso HTTPS restringido a un puerto personalizado y a un país específico en Fortinet

En este artículo, abordaremos el problema de restringir el acceso HTTPS a un puerto HTTPS personalizado desde un país específico en dispositivos FortiGate. Este tema es crucial para optimizar la seguridad de la red y proteger los recursos de acceso remoto. A través de una guía paso a paso, este artículo le ayudará a configurar adecuadamente su sistema para cumplir con estos requisitos de seguridad.

Descripción del problema

Es esencial garantizar que solo los usuarios autorizados de ciertas regiones geográficas puedan acceder a los servicios disponibles a través de un puerto HTTPS específico. Esto ayuda a mitigar los riesgos de seguridad y evitar accesos no autorizados.

Alcance

Este artículo se aplica a dispositivos FortiGate y cubre los pasos necesarios para restringir el acceso HTTPS según la ubicación geográfica del usuario.

Diagnóstico paso a paso

A continuación se presentan los pasos detallados que debe seguir para configurar el puerto HTTPS y permitir acceso solo a un país específico.

Requisitos previos:

• El acceso HTTPS debe estar habilitado en la interfaz WAN.

CLI:

config system interface
edit «WAN»
set vdom «root»
set ip 10.15.15.1 255.255.255.0
set allowaccess https<-
set type physical
next
end

A continuación, debe determinar qué puerto se está utilizando como HTTPS:

En la interfaz gráfica (GUI):

Vaya a System -> Settings -> Administración Settings -> HTTPS port.

En CLI:

show full system global | grep admin-sport
set admin-sport 16443

• Tenga acceso a FortiGate desde la interfaz LAN o utilizando un cable de consola.

Solución recomendada

A continuación, se describen los pasos específicos para llevar a cabo la configuración necesaria.

1. Configurar una dirección de firewall para permitir un país específico.

En la GUI:

Vaya a Policy & Objects -> Addresses -> Crear nuevo:

Seleccione el tipo de Geografía y haga clic en Aceptar.

En CLI:

config firewall address
edit «Allow-Country»
set type geography
set country «CO»
next
end

2. Configurar un puerto HTTPS personalizado.

En la GUI:

Vaya a Policy & Objects -> Services -> Crear nuevo:

En CLI:

config firewall service custom
edit «Custom-HTTPS»
set tcp-portrange 16443
next
end

3. Crear una política de local-in (solo es posible en CLI):

config firewall local-in-policy
edit 1
set intf «wan1»
set srcaddr «Allow-Country»
set dstaddr «all»
set action accept
set service «Custom-HTTPS»
set schedule «always»
next
edit 2
set intf «wan1»
set srcaddr «all»
set dstaddr «all»
set service «Custom-HTTPS»
set schedule «always»
next

end

Comandos CLI utilizados

Los comandos CLI proporcionados son herramientas esenciales para llevar a cabo las configuraciones. A continuación se listan algunos de los más importantes:

• config system interface: Configura la interfaz WAN para habilitar el acceso HTTPS.
• config firewall address: Crea una dirección de firewall para permitir el acceso desde un país específico.
• config firewall service custom: Configura un servicio personalizado para el puerto HTTPS.
• config firewall local-in-policy: Crea o configura políticas de acceso que gestionen el tráfico entrante con base en criterios específicos.

Buenas prácticas y recomendaciones

Al implementar restricciones de acceso, es recomendable seguir ciertas prácticas para potenciar la seguridad:

• Verifique periódicamente los registros de acceso para detectar actividad sospechosa.
• Mantenga la configuración de las reglas de firewall actualizada ante cambios en la estructura geográfica de su organización.
• Utilice conexiones seguras y actualizadas para acceder a la gestión de su FortiGate.
• Realice copias de seguridad periódicas de la configuración para evitar pérdidas de información en caso de un fallo del sistema.

Notas adicionales

Asegúrese de consultar la documentación oficial de Fortinet para obtener más detalles y actualizaciones sobre las configuraciones y las mejores prácticas de seguridad.