En la actualidad, la seguridad de las API es fundamental para proteger la información sensible de las organizaciones. Recientemente, Fortinet ha actualizado la forma en que se gestionan los parámetros de autenticación en las solicitudes de su API FortiGate. Este artículo describe cómo habilitar el parámetro ‘access_token’ en la URL para una solicitud API de FortiGate, y por qué es importante entender estas configuraciones para mantener la seguridad de su red.
Índice
Descripción del problema
A partir de la versión 7.4.5, las solicitudes API de FortiGate no permiten, por defecto, incluir el parámetro access_token en la URL. Este cambio se implementó para alinearse con las mejores prácticas de seguridad y evitar que información sensible sea expuesta o interceptada. En su lugar, es necesario incluir el access_token en los encabezados HTTP.
Alcance
Este artículo se centra en la API REST de FortiGate y aborda específicamente la configuración de seguridad relacionada con el parámetro access_token.
Diagnóstico paso a paso
Cuando una solicitud API falla y devuelve un error ‘401 Unauthorized’, los siguientes errores pueden aparecer en los registros de depuración HTTPS:
[httpsd 2513 - 1739308886 info] fweb_debug_init[531] -- Nueva solicitud GET para "/api/v2/monitor/system/time" desde "192.168.1.37:40424"
[httpsd 2513 - 1739308886 info] fweb_debug_init[533] -- User-Agent: "curl/7.81.0"
[httpsd 2513 - 1739308886 info] fweb_debug_init[535] -- Handler "api_monitor_v2-handler" asignado a la solicitud
[httpsd 2513 - 1739308886 warning] _extract_key_param[97] -- La clave de la API REST en los parámetros de la URL está deshabilitada.
[httpsd 2513 - 1739308886 info] fweb_debug_final[355] -- Solicitud GET completada para "/api/v2/monitor/system/time" (HTTP 401 Unauthorized)
Solución recomendada
Si es necesario utilizar el access_token como parámetro de URL, se puede ajustar la configuración para habilitar esta opción. A continuación se presentan los comandos requeridos:
config system global
set rest-api-key-url-query enable
endUna vez habilitado, se permitirá la inclusión del access_token dentro de los parámetros de la URL. Sin embargo, es importante evaluar cuidadosamente esta opción, ya que puede exponer la red a ciertos riesgos de seguridad.
Comandos CLI utilizados
Los siguientes comandos son fundamentales para modificar la configuración de la API en FortiGate:
config system global
set rest-api-key-url-query enable
endEl comando config system global permite acceder a la configuración global del sistema. La opción set rest-api-key-url-query enable habilita el uso del access_token en los parámetros de la URL.
Buenas prácticas y recomendaciones
Se recomienda no habilitar el uso del access_token como un parámetro en la URL de la API a menos que sea absolutamente necesario. En vez de ello, el uso de encabezados HTTP para autenticar las solicitudes es una práctica más segura. Además, es esencial mantener el sistema FortiGate actualizado y revisar regularmente las configuraciones de seguridad.
Notas adicionales
La configuración de seguridad de la API debe ser revisada periódicamente para adaptar las mejores prácticas a la evolución de las amenazas de seguridad. Mantenerse informado acerca de las actualizaciones de Fortinet y de las mejores prácticas del sector es clave para garantizar la seguridad de su infraestructura.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!