En este artículo se describe un comportamiento conocido que puede ocurrir al habilitar FortiToken Mobile Push (también conocido como ‘FTM-Push’ y ‘FTM’ en la GUI/CLI) en una interfaz de red que utiliza el mismo puerto de escucha que la GUI web administrativa. Este problema es significativo ya que puede afectar la funcionalidad de la autenticación multifactor y el acceso web administrativo en dispositivos FortiGate. A continuación, se presentará un diagnóstico detallado y la solución recomendada para resolver este problema.
Índice
Descripción del problema
El comportamiento inesperado ocurre cuando se habilita FortiToken Mobile Push en una interfaz de red. Se pueden producir conflictos si este servicio utiliza el mismo puerto que la GUI administrativa por defecto, lo que puede dificultar el acceso adecuado a ambos servicios.
Alcance
FortiGate v7.x.
Diagnóstico paso a paso
Para comprender cómo surge este problema, se deben cumplir las siguientes condiciones:
- FortiToken Mobile Push debe estar habilitado en una interfaz de red (no está habilitado por defecto).
- En la GUI, se habilita editando la configuración de Acceso Administrativo para una interfaz en Red -> Interfaces y activando el interruptor ‘FTM’.
- El puerto HTTPS utilizado para la GUI Web Administrativa debe estar configurado en el mismo puerto de escucha que FortiToken Mobile Push.
- El puerto de escucha por defecto para FortiToken Mobile Push es TCP/4433.
- El Acceso Administrativo HTTPS debe estar deshabilitado en la misma interfaz que tiene habilitada la opción ‘Acceso FTM’.
Un ejemplo de lo que podría verse en la configuración en un estado problemático es el siguiente:
show full system global | grep admin-sport
set admin-sport 4433
show system ftm-push | grep server-port
set server-port 4433
show system interface port1
set ip 100.0.0.1 255.255.255.0
set allowaccess ping ftm
[…]
En el ejemplo anterior, se establece el puerto de escucha de FTM-Push en TCP/4433, lo que provoca un conflicto con el puerto utilizado para el acceso a la GUI web HTTPS. A pesar de que el acceso HTTPS no está habilitado en port1, es posible acceder a la GUI web utilizando la dirección 100.0.0.1 de port1.
Solución recomendada
Para resolver este problema, se recomienda deshabilitar el ‘FTM’ en la sección de Acceso Administrativo (también conocida como set allowaccess) para todas las interfaces que no se utilizan explícitamente para configuraciones de FortiToken Mobile Push. Alternativamente, asegúrese de que los puertos utilizados para el acceso administrativo HTTP/HTTPS a FortiGate no se superpongan con el puerto utilizado para FTM Push (predeterminado: TCP/4433).
Comandos CLI utilizados
Los siguientes comandos CLI son útiles para diagnosticar y confirmar el problema:
- show full system global | grep admin-sport: Muestra el puerto administrativo configurado.
- show system ftm-push | grep server-port: Muestra el puerto de servicio de FTM-Push configurado.
- show system interface port1: Muestra la configuración de la interfaz, incluyendo el acceso permitido.
Buenas prácticas y recomendaciones
Es importante revisar regularmente las configuraciones de acceso en las interfaces de FortiGate para evitar conflictos. Además, se sugiere monitorizar las actualizaciones de FortiOS, ya que los cambios en las versiones pueden introducir políticas nuevas o alteradas que pueden afectar la configuración del puerto administrativo.
Notas adicionales
Este escenario tiene una baja probabilidad de ocurrir debido a las condiciones requeridas. La situación más previsible será para administradores que configuran TCP/4433 para el acceso a su GUI web HTTPS sin utilizar FortiToken Mobile Push, y que accidentalmente habilitan FortiToken Mobile Push en una de sus interfaces.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!