Cómo resolver la autenticación lenta de SSL VPN con el servidor RADIUS MFA en Fortinet

Este artículo trata sobre el problema de la lentitud en el proceso de autenticación con SSL VPN al utilizar un servidor RADIUS MFA y por qué es importante resolverlo. La autenticación lenta puede afectar la productividad de los usuarios y la eficiencia de la red. A continuación, se detallarán los pasos para diagnosticar y solucionar este problema en dispositivos FortiGate.

Índice

1 Descripción del problema
2 Alcance
3 Diagnóstico paso a paso
4 Solución recomendada
5 Comandos CLI utilizados
6 Buenas prácticas y recomendaciones
7 Notas adicionales

Descripción del problema

Los usuarios experimentan retrasos en la autenticación MFA al conectarse a la VPN SSL usando FortiClient, quedándose estancados en un 45% durante un tiempo considerable. Este problema afecta la experiencia del usuario y puede llevar a interrupciones en el trabajo diario.

Alcance

Este artículo se centra en dispositivos FortiGate.

Diagnóstico paso a paso

Al ejecutar el comando fnbamd debug en FortiGate, se observan los siguientes registros de depuración:

FGT1# diagnose debug reset
FGT1# diagnose debug application fnbamd -1
FGT1# diagnose debug enable

Los registros obtenidos muestran lo siguiente:

[1916] handle_req-Rcvd auth req 54100917 for xxx in opt=00200421 prot=11
[475] __compose_group_list_from_req-Group 'xxx', type 1
[616] fnbamd_pop3_start-xxx
[587] __fnbamd_cfg_get_radius_list_by_group-Loading RADIUS server 'xxx' for usergroup 'xxx' (3)
[342] fnbamd_create_radius_socket-Opened radius socket 13
[342] fnbamd_create_radius_socket-Opened radius socket 14
[1396] fnbamd_radius_auth_send-Compose RADIUS request
[1353] fnbamd_rad_dns_cb-10.100.0.7->10.100.0.7
[1325] __fnbamd_rad_send-Sent radius req to server 'xxx': fd=13, IP=10.100.0.7(10.100.0.7:1812) code=1 id=240 len=124 user="xxx" using PAP
[319] radius_server_auth-Timer of rad 'xxx' is added
[754] auth_tac_plus_start-Didn't find tac_plus servers (0)
[1034] __fnbamd_cfg_get_ldap_list_by_group-
[1150] fnbamd_cfg_get_ldap_list-Total ldap servers to try: 0
[491] ldap_start-Didn't find ldap servers
[642] create_auth_session-Total 1 server(s) to try
[2781] receive_parse_radius_check_response-No response from the RADIUS server.

Al revisar la configuración de RADIUS, se concluye que el servidor primario no puede conectarse, mientras que el secundario sí. Este es el motivo del retraso, ya que la autenticación se envía al primario primero. Esta configuración se puede encontrar en Usuario y Autenticación -> Servidores RADIUS.

Solución recomendada

Cambiando el servidor secundario a primario, se elimina el retraso en el proceso de autenticación:

[1325] __fnbamd_rad_send-Sent radius req to server 'xxx': fd=17, IP=10.100.0.6(10.100.0.6:1812) code=1 id=9 len=162 user="xxx" using PAP
[1215] send_radius_challenge_rsp-Timer of rad 'xxx' is added
[1360] fnbamd_auth_handle_radius_result-Timer of rad 'xxx' is deleted
[1805] fnbamd_radius_auth_validate_pkt-RADIUS resp code 2
[1385] fnbamd_auth_handle_radius_result-->Result for radius svr 'xxx' 10.100.0.6(1) is 0
[1658] fnbam_user_auth_group_match-req id: 54100939, server: xxx, local auth: 0, dn match: 0
[1627] __group_match-Group 'xxx' passed group matching
[1630] __group_match-Add matched group 'xxx'(3)
[286] find_matched_usr_grps-Passed group matching
[216] fnbamd_comm_send_result-Sending result 0 (nid 0) for req 54100939, len=2193

Luego de realizar este cambio, la autenticación se lleva a cabo sin ningún retraso adicional.

Comandos CLI utilizados

Los siguientes comandos CLI fueron empleados durante el diagnóstico:

diagnose debug reset – Resetea cualquier depuración activa.
diagnose debug application fnbamd -1 – Inicia la depuración para el proceso RADIUS.
diagnose debug enable – Habilita la depuración.

Buenas prácticas y recomendaciones

Asegúrese de que su servidor RADIUS primario esté siempre accesible para evitar retrasos en la autenticación.
Realice pruebas regulares de conectividad entre la FortiGate y los servidores RADIUS.
Mantenga actualizadas las configuraciones de los servidores y dispositivos de red para mejorar la seguridad y la eficiencia.

Notas adicionales

Para una gestión eficiente de los servidores RADIUS, es recomendable contar con un plan de respaldo que incluya servidores secundarios siempre listos para asumir el control en caso de fallo del servidor principal.

¿Te ha resultado útil??

0 / 0

Mila y César

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.

¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!

Deja una respuesta 0

Otras preguntas sobre <a href="https://todoforti.net/fortigate/">FortiGate</a>

Sugerencia técnica: Cómo volver a activar la consola cuando se desactiva accidentalmente durante el arranque
Bienvenidos 👋, por aquí Mila Jiménez y hoy me apetecía escribir sobre: ⏬ Sugerencia técnica: Cómo volver a activar la consola cuando se desactiva accidentalmente durante el arranque Descripción Este artículo describe cómo volver a habilitar la salida de la consola en el menú de arranque si se desactivó accidentalmente y la salida de la Leer
Configuración de FortiGate y Microsoft NPS (Radius con autenticación AD)
Descripción Este artículo podrá guiar la configuración de un FortiGate con Radius usando autenticación AD. Aquí el servidor Radius configurado es el servidor Microsoft NPS. Alcance – FortiGate para utilizar el MS NPS como servidor Radius y referenciar el AD para la autenticación. – MS NPS debe unirse al dominio AD para la autenticación AD. Leer
Cómo resolver el problema de cambiar un clúster de Active-Active a Active-Pasive en Fortinet
En este artículo, abordamos un problema común relacionado con el cambio de modo de operación del clúster HA en dispositivos FortiGate. Este asunto es crucial porque, si el modo no se configura correctamente, puede afectar la disponibilidad y el rendimiento de la red. Este artículo te guiará a través de un proceso detallado para resolver Leer
Cómo solucionar las caídas intermitentes del módem LTE en dispositivos FortiGate-3G4G
Este artículo aborda la desconexión intermitente del módem LTE en dispositivos FortiGate-3G4G, específicamente aquellos que utilizan módems Sierra como el EM75xx. Este problema es crítico, ya que la conectividad inestable puede afectar la eficacia de la red y la experiencia del usuario. A continuación, se explicarán los pasos para diagnosticar y resolver este problema, asegurando Leer
Cómo permitir un sitio web y bloquear todos los demás
Descripción Este artículo proporciona un ejemplo de cómo bloquear todos los sitios web y permitir solo uno. Solución 1) Vaya a Perfil de seguridad > Filtro web. 2) Seleccione el perfil de filtrado web que se aplicará en la política de seguridad que se utiliza para el tráfico web. 3) Cree dos filtros de URL Leer