En este artículo, abordaremos un problema importante con los dispositivos FortiGate de gama baja, específicamente aquellos con 2 GB de RAM, que pueden entrar en modo de conservación debido al uso elevado de memoria de ipshelper durante la actualización de FortiGuard. Este problema es crítico, ya que puede causar interrupciones en la red. A continuación, proporcionaremos una solución paso a paso para mitigar este problema.
Índice
Descripción del problema
Durante las actualizaciones de firmas de IPS de FortiGuard, los modelos de FortiGate con 2 GB de RAM pueden experimentar un uso elevado de memoria a través del proceso ipshelper. Esto puede llevar a que el dispositivo entre en modo de conservación, lo que puede ocasionar interrupciones en la conectividad de la red. La gestión eficaz de la memoria en estos dispositivos es esencial para mantener su rendimiento y funcionalidad adecuados.
Alcance
Este problema afecta a dispositivos FortiGate en v7.0 y versiones posteriores.
Diagnóstico paso a paso
Para diagnosticar el problema, revisaremos el estado del rendimiento del sistema y el uso de memoria del proceso ipshelper. A continuación, se presentan dos comandos que son útiles para este diagnóstico.
Comando: get system performance status
get system performance statusEste comando proporciona un resumen del estado del rendimiento del sistema, incluyendo el uso de CPU y memoria. El resultado muestra porcentajes de uso y estadísticas sobre la utilización de la red.
Ejemplo de salida:
CPU states: 13% user 2% system 0% nice 85% idle
Memory: 1957612k total, 1690808k used (86.4%), 119700k free (6.1%), 147104k freeable (7.5%)
Uptime: 3 days, 21 hours, 38 minutesComando: diag sys top-mem 30
diag sys top-mem 30Este comando muestra los procesos que están utilizando la memoria del sistema, permitiendo identificar el uso excesivo de memoria de ipshelper.
Ejemplo de salida:
ipshelper (192): 273509kB
Top-30 memory used: 869611kBSolución recomendada
Para mitigar el uso elevado de memoria durante las actualizaciones de FortiGuard, se sugiere deshabilitar la aceleración por hardware para el procesamiento de IPS. Esto reducirá el uso de memoria, aunque puede aumentar la carga de CPU de los procesos de IPS. Esta configuración es recomendada para la mayoría de los modelos de 2 GB.
config ips global
set cp-accel-mode none
endComandos CLI utilizados
Los comandos utilizados para el diagnóstico y la configuración son:
get system performance status: Muestra el estado del rendimiento del sistema.diag sys top-mem 30: Muestra los procesos que utilizan más memoria.config ips global: Inicia la configuración global de IPS.set cp-accel-mode none: Configura la aceleración de la CPU para que esté desactivada.end: Finaliza la configuración.
Buenas prácticas y recomendaciones
Es recomendable que los administradores de dispositivos FortiGate con 2 GB de RAM estén informados sobre el uso de memoria y realicen ajustes de configuración como deshabilitar la aceleración por hardware según sea necesario. Mantener los dispositivos actualizados con las últimas versiones de firmware también es crucial para garantizar un rendimiento óptimo.
Notas adicionales
Es importante señalar que aunque se han implementado algunas optimizaciones de memoria en las versiones recientes de FortiOS, se deberá seguir aplicando el workaround mencionado para los dispositivos con 2 GB de RAM, dado que la explosión en el uso de memoria de ipshelper durante las actualizaciones de IPS aún se espera.
Para más información sobre los modos de aceleración y sus efectos, consulte los siguientes documentos de soporte técnico:
¿Te ha resultado útil??
0 / 0

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!