En este artículo, abordaremos un problema común que puede surgir en dispositivos FortiGate: la búsqueda de coincidencias de políticas que no selecciona la política correcta o que termina en la política implícita de denegación. Este problema es crucial porque puede afectar la seguridad y el funcionamiento de su red al permitir tráfico no deseado o bloquear tráfico legítimo. Aquí, proporcionaremos un análisis detallado del problema, pasos de diagnóstico y una solución recomendada.
Índice
Descripción del problema
Este artículo describe un escenario en el que la búsqueda de coincidencias de políticas no selecciona la política correcta. Este fallo puede llevar a que el tráfico deseado sea denegado o que el tráfico no deseado sea permitido, afectando así la seguridad de la red.
Alcance
El problema se aplica a dispositivos FortiGate, que son utilizados para gestionar políticas de seguridad en redes informáticas.
Diagnóstico paso a paso
Para diagnosticar el problema, utilice la herramienta de búsqueda de políticas disponible bajo Política & Objetos -> Política de Firewall -> Búsqueda de Políticas. Esta herramienta permite comprobar qué política se aplicará para permitir o denegar tráfico específico.
A continuación, se presenta un ejemplo práctico de política que utiliza una fuente específica, un destino y servicios concretos:
El servicio SFTP ha sido configurado para usar un puerto de origen específico. Si se utiliza la búsqueda de políticas sin especificar el puerto de origen utilizado en el servicio, el resultado será que se alcanzará la política Implicit_Deny:
Aunque se marca como «Opcional» en la interfaz gráfica del usuario (GUI), el servicio se ha configurado con un puerto de origen específico. Por lo tanto, la única forma de hacer coincidir el servicio es especificar un puerto de origen que esté dentro del rango asignado al servicio.
Solución recomendada
Para resolver este problema, es fundamental asegurarse de que se especifique correctamente el puerto de origen en las políticas de firewall. Además, revise las configuraciones para asegurarse de que todos los parámetros requeridos para los servicios configurados estén correctamente establecidos. Esto ayudará a evitar que se activen las reglas de denegación implícitas.
Comandos CLI utilizados
A continuación, se presentan algunos comandos CLI útiles que pueden ayudar en la verificación y solución de problemas:
config firewall policy
edit [policy_id]
set srcaddr [source_address]
set dstaddr [destination_address]
set action accept
set service [service_name]
end
Este bloque de comandos permite configurar una política de firewall donde se definen las direcciones de origen, destino y el servicio. Recuerde sustituir [policy_id], [source_address], [destination_address] y [service_name] por los valores correspondientes.
Buenas prácticas y recomendaciones
- Verifique siempre que las políticas de firewall estén ordenadas correctamente para que las coincidencias se realicen adecuadamente en base a la prioridad.
- Utilice descripciones claras en las políticas para facilitar su gestión y comprensión.
- Realice copias de seguridad de la configuración antes de realizar cambios significativos.
- Monitoree los logs de tráfico para detectar patrones anómalos que puedan indicar errores en la configuración.
Notas adicionales
Es crucial recordar que incluso los parámetros marcados como opcionales pueden tener un impacto significativo en la operación de las políticas de firewall. Por lo tanto, siempre analice cada configuración en detalle y testee después de realizar ajustes.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!