Cómo resolver el orden de inspección de los perfiles UTM/Security en el flujo de paquetes en Fortinet

El siguiente artículo aborda la gestión de paquetes en dispositivos FortiGate, centrándose en el orden de los filtros de UTM aplicados a los paquetes según el modo de inspección configurado en la política de firewall correspondiente. Comprender este tema es crucial para asegurar una adecuada protección de la red y maximizar la eficiencia de la configuración de seguridad. Este artículo ayudará a comprender cómo se manifiesta este proceso en las versiones de FortiGate a partir de la 6.4.

Índice

1 Descripción del problema
2 Alcance
3 Diagnóstico paso a paso
4 Solución recomendada
5 Comandos CLI utilizados
6 Buenas prácticas y recomendaciones
7 Notas adicionales

Descripción del problema

Los dispositivos FortiGate utilizan distintos modos de inspección para evaluar el tráfico de red. La correcta implementación y comprensión de estos modos es vital, ya que determina cómo se aplican los filtros de UTM, que son esenciales para la seguridad de la red. Dependiendo del modo de inspección configurado en la política de firewall, los paquetes pueden ser revisados de manera distinta, afectando así la respuesta ante diversas amenazas.

Alcance

Este artículo es aplicable a dispositivos FortiGate con versiones de firmware a partir de la 6.4. Es fundamental asegurarse de que se están utilizando las características y configuraciones correctas en esta versión para optimizar la defensa en la red.

Diagnóstico paso a paso

Para diagnosticar el comportamiento de los paquetes y el orden de los filtros que se aplican, primero es necesario identificar el modo de inspección seleccionado en la política de firewall. Esto se puede hacer a través de la interfaz gráfica o mediante comandos de la línea de comandos (CLI).

Los modos de inspección más comunes son:

Inspección basada en flujo: Cuando esta opción está activada, el motor IPS realiza una inspección de un solo pasaje para todos los paquetes.
Inspección basada en proxy: Este modo mezcla la inspección de flujo con la inspección proxy, permitiendo un análisis más profundo a través de múltiples pasajes.

Solución recomendada

En función del modo de inspección que se seleccione, se aplicarán diferentes filtros. A continuación se explican los procesos de inspección:

Inspección basada en flujo:

El motor IPS se encarga de inspeccionar los paquetes que coinciden con la política de firewall configurada, utilizando un enfoque de un solo pasaje. Todos los perfiles de UTM inspeccionan el paquete simultáneamente, incluyendo:

IPS
Control de Aplicaciones
Filtrado Web
DLP
Revisión de Botnets
Antivirus

Inspección basada en proxy:

En este modo, se genera una mezcla de inspección basada en flujo y proxy. El motor IPS sigue encargado del proceso de inspección de flujo, mientras que el proceso WAD asume la inspección proxy.

Los paquetes serán revisados por los perfiles de UTM que pueden ejecutar un proceso de inspección basado en flujo, independientemente del modo de inspección establecido en la política de firewall, incluyendo:

IPS de un solo pasaje
Revisión de Botnets
Control de Aplicaciones

Una vez que se completan estas verificaciones, los paquetes se inspeccionarán posteriormente con los perfiles de UTM que pueden ejecutar ambos procesos de inspección (basados en flujo o proxy), dependiendo del modo de inspección establecido en la política de firewall. Los perfiles disponibles solo para el modo de inspección proxy se aplican en el siguiente orden:

Inspección de VoIP
DLP
Filtro de Correo (Anti-Spam)
Filtrado Web
Antivirus
ICAP

Para más información, consulte el documento Procesamiento de Rutas Paralelas (Vida de un Paquete) en la página oficial de documentación de Fortinet. Esto es aplicable a las versiones 6.4 y superiores.

Comandos CLI utilizados

A continuación, se presentan algunos comandos importantes que pueden ser utilizados para verificar la configuración y el estado de los filtros de UTM en FortiGate:

get firewall policy
get system performance
diagnose firewall iprope list

Buenas prácticas y recomendaciones

Para optimizar la configuración en dispositivos FortiGate, se recomienda seguir estas buenas prácticas:

Verifique regularmente las políticas de firewall y los modos de inspección configurados.
Habilite solo las funciones UTM necesarias para evitar sobrecargar el dispositivo y reducir la latencia.
Realice pruebas periódicas en el entorno de laboratorio antes de aplicar cambios en producción.

Notas adicionales

Es importante tener en cuenta que el rendimiento de la inspección puede variar dependiendo de la configuración del hardware y la carga de tráfico en el dispositivo. Monitorear el rendimiento y realizar ajustes en la configuración de los perfiles UTM puede contribuir a mejorar la eficacia de la seguridad de la red.

¿Te ha resultado útil??

0 / 0

Mila y César

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.

¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!

Deja una respuesta 0

Otras preguntas sobre <a href="https://todoforti.net/fortigate/">FortiGate</a>

Cómo resolver problemas de certificado SSL en la VPN SSL de FortiClient desde la aplicación de Microsoft Store
Este artículo aborda los problemas relacionados con los certificados SSL VPN en la aplicación FortiClient de Microsoft Store. Es esencial entender estos problemas, ya que pueden afectar la conectividad de los usuarios a la VPN, comprometiendo así la seguridad y la funcionalidad de la red. A lo largo del artículo, se ofrecerán soluciones paso a Leer
Cómo solucionar el problema de que la clave de configuración fácil de Spoke no se muestra en la interfaz gráfica de Fortinet
Este artículo aborda un problema común en la configuración de VPN IPSec en dispositivos FortiGate, específicamente la ausencia de la tecla de configuración fácil para «Spoke» en la interfaz gráfica del Hub. Este problema es crucial, pues impide una configuración eficiente de la red, afectando la conectividad y sincronización entre los puntos de acceso. Aquí, Leer
Cómo solucionar problemas de rendimiento en FortiGate 180xF con soporte de 100Gbps
En este artículo, abordaremos un problema común encontrado en equipos FortiGate 180xF: la falta de soporte para la opción de velocidad de 100Gbps en versiones específicas de firmware. Este asunto es relevante porque afecta el rendimiento y la capacidad de conexión de estos dispositivos en entornos de red de alta demanda. A través de este Leer
Cómo solucionar el error ‘Modem failed to open’ en equipos Fortinet
En este artículo abordaremos un problema común que los usuarios de FortiGate pueden encontrar: el error «Modem failed to open». Este error indica que hay un fallo al intentar abrir el módem 3G/4G conectado al dispositivo FortiGate. Es importante resolver este problema, ya que puede afectar la conectividad de red. Aquí te proporcionaremos información detallada Leer
Cómo resolver problemas con los temporizadores BGP configurables en FortiGate
Este artículo aborda los temporizadores relacionados con BGP que pueden configurarse o ajustarse en FortiGate. La gestión correcta de estos temporizadores es esencial para garantizar una comunicación efectiva entre los pares BGP, mejorando la estabilidad y la eficiencia de la red. A lo largo de este documento, exploraremos los diferentes temporizadores, sus configuraciones y el Leer