Este artículo aborda un problema común relacionado con el control de aplicaciones en FortiGate: la dificultad para bloquear un acceso completo a Google Chrome Remote Desktop, tanto en direcciones entrantes como salientes. Este asunto es crucial para garantizar la seguridad de la red, ya que permite a usuarios de redes externas acceder a máquinas internas. A continuación, proporcionaremos diagnósticos y soluciones para mitigar este riesgo.
Índice
Descripción del problema
Google Chrome Remote Desktop es una herramienta de software de escritorio remoto desarrollada por Google que permite a un usuario controlar el escritorio de otro computador de forma remota. Dada su funcionalidad, es esencial asegurarse de que su uso esté debidamente controlado a través de las medidas de seguridad de FortiGate.
Alcance
Este artículo es aplicable a dispositivos FortiGate.
Diagnóstico paso a paso
Antecedentes.
Como se muestra en la captura de pantalla a continuación, FortiGate cuenta con una firma de aplicación llamada ‘Chrome.Remote.Desktop’. Al aplicar esta firma en el perfil de control de aplicaciones, se pueden bloquear todas las conexiones de control remoto salientes desde esta aplicación. Sin embargo, las conexiones entrantes podrían no ser bloqueadas, lo que permitiría que usuarios de redes externas accedan a máquinas internas. En este caso, se debe realizar un análisis del tráfico de aplicaciones para identificar si es necesario bloquear otras aplicaciones.
Análisis del tráfico de aplicaciones.
Cuando se instala la aplicación, Windows ejecuta dos instancias del proceso ‘remoteing_host.exe’. Estas pueden encontrarse en el Administrador de tareas de Windows. Cada proceso tiene una conexión TCP a un servidor de Google, cuyos direcciones IP se pueden identificar en el Monitor de Recursos. Consulte las siguientes capturas de pantalla.
Análisis del handshake SSL.
Realice una captura de paquetes en el firewall filtrando las dos direcciones IP de los servidores. En el mensaje TLS «client hello», la sección de extensión ‘Server Name Indication’ (SNI) puede contener nombres de servidores tales como ‘www.googleapis.com‘ y ‘instantmessaging-pa.googleapis.com’ (resaltados en las siguientes capturas de pantalla en Wireshark).
SNI es también el campo en los paquetes que es inspeccionado por la inspección SSL del firewall para determinar con qué dominio o aplicación se asocia el tráfico.
Bloquear la aplicación ‘Google.Messaging’.
En los registros de tráfico de FortiGate, se pueden encontrar las aplicaciones ‘Google.Services’ y ‘Google.Messaging’ con las direcciones IP de los servidores de Google como destinos. Bloquear ‘Google.Messaging’ en el perfil de control de aplicaciones garantiza que la aplicación Google Remote Desktop quede completamente bloqueada para conexiones externas.
Solución recomendada
Para una configuración óptima, se recomienda aplicar el control de aplicaciones para ‘Chrome.Remote.Desktop’ y ‘Google.Messaging’. Esto asegurará la contención total del acceso a Google Chrome Remote Desktop desde redes externas. Además, realizar auditorías periódicas del tráfico y ajustes en la política de seguridad ayudará a mantener la red segura frente a accesos no autorizados.
Comandos CLI utilizados
config firewall policy
edit
set application-list "High-risk applications"
next
end
Buenas prácticas y recomendaciones
1. Mantener actualizadas las firmas de aplicaciones en FortiGate para asegurar un control eficaz.
2. Realizar auditorías regulares del tráfico de red para identificar aplicaciones no deseadas.
3. Implementar políticas de seguridad que restrinjan el acceso remoto no autorizado.
Notas adicionales
Asegúrese de revisar la documentación de Fortinet relacionada con el control de aplicaciones y la gestión de políticas para mantener prácticas óptimas de seguridad en su entorno.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!