Cómo resolver la desincronización en HA por un desajuste en la configuración del sensor IPS

0
0
0

En este artículo, abordaremos un problema común que muchos administradores de FortiGate enfrentan: la desincronización del clúster de alta disponibilidad (HA) debido a un desajuste en los checksums de la tabla ‘ips.sensor’. Esta cuestión es crítica, ya que puede afectar la continuidad del servicio y la seguridad de la red. A lo largo de este documento, proporcionaremos un diagnóstico paso a paso y soluciones recomendadas para resolver esta situación.

Descripción del problema

El error de ‘No Sincronizado’ en un clúster HA se produce cuando hay discrepancias en la configuración de las instancias de FortiGate. En este caso específico, se ha identificado que la tabla ‘ips.sensor’ es la responsable del desajuste. Este problema, si no se corrige, puede llevar a una falla en la seguridad y en el rendimiento del sistema.

Alcance

Este artículo está dirigido a usuarios y administradores de dispositivos FortiGate que utilizan configuraciones de alta disponibilidad.

Diagnóstico paso a paso

Para diagnosticar el problema, sigue estos pasos:

  1. Accede a la interfaz de usuario de tu FortiGate y navega a System -> HA.
  2. Pasa el cursor sobre el firewall secundario que muestra el error ‘No Sincronizado’.
  3. Revisa el tooltip que indica que la tabla ‘ips.sensor’ es la causa del problema de sincronización.

Solución recomendada

Para resolver este desajuste, puedes realizar un pequeño cambio en uno de los Perfiles de Seguridad de Prevención de Intrusiones. Este cambio generará una sincronización de configuración desde el FortiGate Primario al Secundario, corrigiendo así el error de desincronización del HA.

Artículos relacionados  Cómo solucionar el cambio de ubicación geográfica en FortiGate

En algunos casos, reiniciar la unidad secundaria también puede ser suficiente para resolver este problema sin necesidad de realizar cambios adicionales.

A continuación, se explica cómo hacer un cambio pequeño en el Perfil de Prevención de Intrusiones por defecto para detectar archivos EICAR (archivos que se pueden usar para probar antivirus).

Ve a Security Profiles -> Intrusion Prevention y edita el perfil por defecto.

Añade una firma para detectar, por ejemplo, el archivo EICAR.

Selecciona OK y guarda el perfil. Después de unos minutos, el error de HA debería desaparecer.

En un entorno multi-vDOM, localiza el VDOM donde el checksum no coincide y realiza los cambios necesarios en ese VDOM.

Comandos CLI utilizados

Utilizando la línea de comandos (CLI), puedes obtener la salida del sensor IPS tanto de las unidades primaria como secundaria para comparar y hacer coincidir:

config ips sensor
show

Buenas prácticas y recomendaciones

Para evitar problemas de desincronización en el futuro, considera las siguientes prácticas:

  • Realiza cambios menores y monitorea su impacto en la sincronización del HA.
  • Documenta todas las configuraciones y cambios realizados en los perfiles de seguridad.
  • Mantén tus dispositivos FortiGate actualizados con las últimas versiones de firmware.
  • Realiza auditorías periódicas del estado del clúster HA para detectar desajustes de manera proactiva.

Notas adicionales

En el ejemplo siguiente, el VDOM Cust-A es donde el ‘ips.sensor’ no está sincronizado:

diag sys ha checksum cluster
================== FGVMXXXXXXXXXX ==================
is_manage_master()=1, is_root_master()=1
debugzone
global: 76 4c ae a9 c7 22 97 f3 e2 60 5d ba da 39 94 40
root: 6d 4d ac 94 36 54 50 20 a7 2b df e6 75 df 30 d8
Cust-A: cf e9 a0 cc 06 28 6c ab 01 ca ef fd a2 1c 52 60
all: e9 b1 a8 a5 23 1d 2b 38 e4 6e 8a 69 54 5f fe 4d

¿Te ha resultado útil??

Artículos relacionados  Cómo solucionar el bloqueo de archivos exe en Fortinet permitiendo URL específicas sin activar otros perfiles UTM

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *