En este artículo, abordaremos un problema común en dispositivos FortiGate: entradas que se añaden automáticamente a la tabla de vinculación IP/MAC. Este problema es relevante ya que puede generar confusiones en la administración de la red y afectar la seguridad al permitir que dispositivos no deseados obtengan direcciones IP. A través de este artículo, aprenderá a diagnosticar y resolver esta situación de manera efectiva.
Índice
Descripción del problema
Se ha observado que, a pesar de que solo se ha configurado una entrada en la tabla de vinculación IP/MAC, se generan entradas adicionales al listar las direcciones IP/MAC del firewall. Esto puede complicar la gestión de asignaciones de IP y también puede representar un riesgo de seguridad si se admiten dispositivos no autorizados.
Alcance
Este artículo se aplica a dispositivos FortiGate que utilizan la función de vinculación IP/MAC.
Diagnóstico paso a paso
Lo primero que debemos hacer es verificar la configuración de la tabla de vinculación IP/MAC. Para ello, utilizaremos los siguientes comandos CLI:
FGT_1 # config firewall ipmacbinding table
FGT_1 (table) # show
edit 1
set ip 192.168.6.10
set mac 00:0c:29:ba:6f:c6
set status enable
next
endSin embargo, se observan entradas adicionales al listar las direcciones IP/MAC del firewall:
FGT_1 # diagnose firewall ipmac list
List firewall IP/MAC address pairs:
ip=192.168.6.2 mac=00:0c:29:db:0a:bc act=01 flag=00
ip=192.168.6.10 mac=00:0c:29:ba:6f:c6 act=01 flag=00Solución recomendada
Este comportamiento se produce cuando configuramos el comando set ipmac enable en la interfaz que tiene habilitado el servidor DHCP. Todas las concesiones DHCP se añaden automáticamente a la base de datos IP/MAC. Para evitar este comportamiento, se pueden utilizar las «Reglas de Asignación de Dirección IP» para bloquear las solicitudes DHCP y asignar una IP solo al host de confianza.
Las «Reglas de Asignación de Dirección IP» se encuentran en System -> Interfaces: haga doble clic en la interfaz para editar y expanda la opción avanzada en la configuración DHCP.
Comandos CLI utilizados
Los comandos CLI utilizados en este análisis son:
config firewall ipmacbinding table: Accede a la configuración de la tabla de vinculación IP/MAC.show: Muestra la configuración actual de la tabla.diagnose firewall ipmac list: Lista las parejas de direcciones IP/MAC que están activas actualmente.
Buenas prácticas y recomendaciones
Para mantener una configuración segura y eficiente, se recomienda:
- Habilitar las «Reglas de Asignación de Dirección IP» para controlar las concesiones DHCP.
- Realizar auditorías regulares en la tabla de vinculación IP/MAC para detectar entradas no autorizadas.
- Documentar los cambios realizados en la configuración, especialmente en entornos productivos.
Notas adicionales
Verifique la concesión DHCP y la tabla IP/MAC nuevamente para asegurarse de que se haya aplicado la configuración correctamente.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!