Este artículo aborda un problema común en la topología de Security Fabric de Fortinet, específicamente al configurar la sincronización de configuraciones. Este tema es crucial para la gestión eficiente de dispositivos FortiGate, FortiAnalyzer y FortiManager, ya que una mala configuración puede afectar la recopilación de logs y la gestión de políticas de seguridad. A continuación, se presentan detalles, diagnósticos y soluciones recomendadas para optimizar la sincronización de configuraciones en su red.
Índice
Descripción del problema
Cuando se establece ‘set configuration-sync’ a «local», se producen impactos en la infraestructura de Security Fabric que pueden afectar la gestión de logs y políticas de seguridad en la red. Esto es especialmente relevante cuando se trata de un FortiGate raíz con dispositivos FortiGate en cascada que son gestionados por FortiManager.
Alcance
Este artículo se aplica a los dispositivos FortiGate, FortiAnalyzer y FortiManager, proporcionando un contexto claro sobre cómo la configuración afectada puede influir en la operatividad de estos equipos en una topología de red.
Diagnóstico paso a paso
Al habilitar la función Security Fabric, todos los eventos se registran, sin importar si hay logging habilitado en la configuración de la política de firewall. Sin embargo, si se requiere centralizar la gestión del logging a través de FortiManager, se puede lograr mediante la siguiente configuración:
config system csf
set configuration-sync local
endLas consecuencias de configurar ‘set configuration-sync local’ en un dispositivo FortiGate en cascada son las siguientes:
- Todo el tráfico que pasa a través de las políticas de firewall de FortiGate será registrado.
- Las políticas reflejarán los cambios de logging enviados desde FortiManager.
- La conexión entre el FortiGate en cascada, FortiAnalyzer y FortiManager permanecerá establecida.
- Los objetos de Fabric sincronizados se mantendrán como objetos creados localmente en el FortiGate en cascada.
- Los logs del dispositivo en cascada seguirán siendo guardados en FortiAnalyzer.
Solución recomendada
En el FortiGate en cascada, deberías observar lo siguiente:
En FortiAnalyzer, la conexión estará activa y los logs se almacenarán:
La capacidad de gestión en el dispositivo FortiManager seguirá intacta:
Comandos CLI utilizados
Los comandos presentados a continuación son cruciales para entender y resolver el problema:
------- Start to retry --------
chewbacca-kvm62 $ config firewall address
chewbacca-kvm62 (address) $ delete "192.168.10.10/32"
Cannot delete fabric object in non-root Security Fabric member.
command_cli_delete:6944 delete table entry 192.168.10.10/32 unset oper error ret=-160
Command fail. Return code -160
chewbacca-kvm62 (address) $ end
---> generating verification report
( firewall address )
delete "192.168.10.10/32"
<--- done generating verification report
install failedBuenas prácticas y recomendaciones
Para evitar conflictos entre la sincronización de Security Fabric y FortiManager, es fundamental asegurar que ‘configuration-sync’ esté configurado como ‘local’. Esto permite que FortiManager administre la sincronización de todos los objetos entre todos los FortiGates dentro del mismo ADOM.
Notas adicionales
Si la opción ‘configuration-sync’ no se configura como ‘local’ en todos los FortiGates en cascada, los objetos de Fabric sincronizados desde el FortiGate raíz no se modificarán. En ciertos escenarios donde el FortiGate en cascada no raíz recibe objetos sincronizados sin que FortiManager esté al tanto, puede haber intentos fallidos de eliminación de esos objetos, provocando errores en la gestión.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!