Cómo se comporta fortigate cuando el enrutamiento asimétrico está habilitado

Descripción

Este artículo pretende explicar qué sucede con los paquetes TCP, UDP e ICMP cuando llegan como flujos asimétricos en un FortiGate.

Puede verse que los hosts en algunas redes no pueden llegar a otras redes. Esto puede ocurrir cuando los paquetes de solicitud y respuesta siguen caminos diferentes y no cruzan el mismo firewall. Este comportamiento se conoce como enrutamiento asimétrico. Si un FortiGate recibe los paquetes de respuesta, pero no las solicitudes, por defecto bloquea los paquetes como no válidos.

Si por alguna razón específica, se requiere que la unidad FortiGate permita el enrutamiento asimétrico, se puede configurar utilizando los siguientes comandos CLI por VDOM:

config vdom
    edit <vdom_name>
    config configuración del sistema
        establecer asymroute enable
    end
end

Solución

Cuando el enrutamiento asimétrico está habilitado, el firewall se comportará globalmente de la siguiente manera.

Para paquetes TCP

1) Si el paquete es SYN, FortiGate crea la sesión, verifica las políticas de firewall y aplica la configuración de la política de coincidencia (inspección UTM, NAT, modelado de tráfico, etc.). Los paquetes subsiguientes de la sesión se pueden descargar (exactamente como cuando el enrutamiento asimétrico está deshabilitado).

2) Si el paquete no es un SYN pero la sesión ya existe en el firewall, entonces FortiGate deja pasar el tráfico (exactamente como lo haría cuando el enrutamiento asimétrico está deshabilitado).

3) Si el paquete no es un SYN y la sesión no existe (enrutamiento asimétrico), todos los paquetes se pasan a la CPU y FortiGate no busca políticas de firewall coincidentes. Dado que no coincide ninguna política, el paquete simplemente se reenvía en función de la tabla de enrutamiento y el cortafuegos actúa como un enrutador que solo toma decisiones de enrutamiento. No se realizará ninguna inspección de seguridad:

53.147018 WAN en 1.1.1.2.80 -> 10.255.130.210.18929: syn 2874238539 ACK
2874127433 53.147237 DMZ OUT 1.1.1.2.80 -> 10.255.130.210.18929: syn 2874238539 ACK 2874127433
ID = 20085 trace_id = 6 FUNC = PRUPT_PKT_DETAIL LINE =4471 msg=»vd-root recibió un paquete (proto=6, 1.1.1.2:80->10.255.130.210:18929) de wan. flag [S.], seq 2874238539, ack 2874127433, win 32768″
id=20085 trace_id = 6 FUNC = VF_IP4_ROUTE_INPUT LINE = 1596 MSG = «Encuentre una ruta: Flags = 00000000 GW-10.255.130.210 VIA DMZ»
53.155221 WAN en 1.1.1.2.80 -> 10.2.255.130.210.18929: PSH 2874238540 ACK
2874127673 53.155364 DMZ OUT 1.1.1.2.80 -> 10.255.130.210.18929: psh 2874238540 acuse de recibo 2874127673

Artículos relacionados  Cómo permitir un sitio web y bloquear todos los demás


Para paquetes ICMP

Para paquetes ICMP la regla es la misma que para paquetes TCP. Cuando el enrutamiento asimétrico está habilitado, si el paquete ICMP no es una solicitud y la sesión no existe en FortiGate, la respuesta ICMP se enrutará si existe una ruta en la tabla de enrutamiento sin inspección de seguridad.

Para paquetes

UDP, el paquete UDP se verifica mediante la tabla de sesión, independientemente del enrutamiento asimétrico. El enrutamiento asimétrico no afecta el paquete UDP. Para permitir UDP, se necesita una política para permitirlo.

id=20085 trace_id=12 func=print_pkt_detail line=4471 msg=»vd-root recibió un paquete (proto=17, 1.1.1.2:53->10.255.130.210:1024) de wan».
id=20085 trace_id=12 func =init_ip_session_common line=4624 msg=»asignar una nueva sesión-0003db5e»
id=20085 trace_id=12 func=vf_ip4_route_input line=1596 msg=»encontrar una ruta: flags=00000000 gw-10.255.130.210 a través de dmz»
id=20085 trace_id= 12 func=fw_forward_handler line=561 msg=»Denegado por verificación de política de reenvío (política 0)»
68.235893 wan en 1.1.1.2.53 -> 10.255.130.210.1024: udp 52
71.228558 wan en 1.1.1.2.53 -> 10.255. 130.210.1024: udp 52
74.228675 wan en 1.1.1.2.53 -> 10.255.130.210.1024: udp 52


La razón por la que no se recomienda el enrutamiento asimétrico es por el punto 3 de TCP e ICMP. Sin embargo, la función podría usarse en algunos casos en los que realmente se requiere; sin embargo, es importante tener en cuenta las restricciones cuando la función está habilitada (sin búsqueda de políticas ni inspección de UTM).

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *