Este artículo aborda un problema común en entornos de red donde se utiliza un Application Gateway (AGW) detrás de un dispositivo FortiGate. Cuando el AGW traduce las direcciones IP de origen al IP externo del AGW, FortiGate no puede identificar la IP real del cliente. Esto es esencial ya que afecta la capacidad de aplicar políticas de seguridad efectivas. Este artículo te ayudará a configurar FortiGate para aprender la IP del cliente a través del encabezado X-Forwarded-For y cómo aplicarla a las políticas de proxy.
Índice
Descripción del problema
Cuando el Application Gateway (AGW) está detrás de FortiGate y envía tráfico, todas las IPs de origen son traducidas por la IP externa del AGW. Esto hace que sea imposible para FortiGate identificar la IP real del usuario. Para resolver este problema, el AGW incluye un encabezado X-Forwarded-For que contiene la IP del cliente, enviando así el tráfico a FortiGate.
Alcance
Este artículo es aplicable a dispositivos FortiGate que están configurados para trabajar con un Application Gateway (AGW).
Diagnóstico paso a paso
- Diagrama.
- Todo el tráfico que proviene del AGW es traducido por 20.249.24.75.
- El AGW añade un encabezado XFF que incluye la IP del cliente y envía tráfico a los dos FortiGates, que son UTM1 y UTM2.
- FortiGates aprende la IP del cliente del encabezado XFF y toma decisiones en base a la IP del cliente aprendida.
- Si la IP del cliente está permitida, FortiGates realiza SNAT con la IP de P2 y reenvía el tráfico a INT NNB, que es 10.0.0.71.
- INT NLB realiza balanceo de carga hacia WEB 1 y WEB 2.
Configurar el proxy web para aprender la IP del cliente desde el XFF.
Configurar la política de firewall que redirige todo el tráfico HTTP a la política de proxy.
Las políticas de proxy se basan en la IP del cliente aprendida y toman una decisión.
- ‘policy_id 3’ permite que todas las direcciones srcaddr predefinidas sean reenviadas a ‘INT NLB’.
- ‘policy_id 1’ niega que todas las direcciones srcaddr predefinidas sean reenviadas a ‘INT NLB’.
- ‘policy_id 2’ permite que todas las srcaddr excepto las predefinidas sean reenviadas a ‘INT NLB’.
- El perfil de filtro web ‘X-Forwarded-For’ permite todo.
- El perfil de filtro web ‘X-Forwarded-Deny’ niega todo.
Verificar los registros para comprobar si FortiGates aprende la IP del cliente y toma una decisión.
Solución recomendada
Para que FortiGate pueda aprender la IP del cliente y aplicarla a la política del firewall, se requieren configuraciones adicionales. Asegúrate de que el AGW esté configurado para enviar el encabezado X-Forwarded-For correctamente, y que las políticas de firewall y de proxy estén establecidas según las indicaciones anteriores.
Comandos CLI utilizados
Los comandos específicos utilizados durante la configuración variarán según la situación y la estructura de tu red. Se recomienda revisar la documentación de FortiGate para obtener los comandos más relevantes y sus descripciones.
Buenas prácticas y recomendaciones
Es recomendable realizar pruebas exhaustivas después de implementar estos cambios para asegurarte de que las políticas de firewall funcionan como se espera. Mantén tu FortiGate actualizado y revisa regularmente los registros para monitorear actividades sospechosas.
Notas adicionales
Considera las implicaciones de seguridad de exponer la IP real de los usuarios. Asegúrate de que tu política de seguridad aborde estos aspectos y que la configuración de NAT esté alineada con las mejores prácticas de seguridad.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!