Cómo solucionar el comportamiento del proxy explícito al añadir cabeceras X en Fortinet al utilizar la categoría 'ssl-exempt' del perfil 'ssl-ssh-profile'

Este artículo aborda un problema común en la configuración de FortiGate como proxy explícito, donde los encabezados HTTP como `header-x-forwarded-for` y `header-x-authenticated-user` no se añaden a ciertas solicitudes debido a la configuración incorrecta de la inspección profunda SSL. Comprender esta situación es crucial para asegurar que las solicitudes se manejen correctamente en entornos seguros, y este artículo proporcionará una guía paso a paso para resolver el problema.

Índice

1 Descripción del problema
2 Alcance
3 Diagnóstico paso a paso
4 Solución recomendada
5 Comandos CLI utilizados
6 Buenas prácticas y recomendaciones
7 Notas adicionales

Descripción del problema

Cuando se utiliza FortiGate como un proxy explícito, puede haber ocasiones en que los encabezados HTTP no se pasen correctamente a través de la configuración de inspección profunda SSL. Esto sucede, por ejemplo, cuando el sitio web coincide con la categoría ‘ssl-exempt’ del perfil de inspección profunda SSL asignado a la política correspondiente. Esto impide que se agreguen encabezados importantes que podrían ser relevantes para la autenticidad y el seguimiento de la información del cliente.

Alcance

Este artículo se aplica a dispositivos FortiGate configurados con un proxy explícito.

Diagnóstico paso a paso

Para diagnosticar el problema, es fundamental confirmar que los sitios web a los que se intenta añadir los encabezados no estén incluidos en la lista de excepciones SSL. Si están en esta lista, incluso configurando el perfil de inspección con la opción de inspección profunda, dichos sitios serán ignorados.

Para verificar si un sitio web está en la excepción SSL, se puede habilitar la opción ‘Log SSL exemption’ en el perfil de inspección profunda SSL. También se puede usar el comando WAD debug para ver si hay coincidencias en la categoría de excepcionalidad.

Solución recomendada

Para garantizar que los encabezados HTTP, como `header-x-forwarded-for` y `header-x-authenticated-user`, se añadan correctamente, es necesario configurar el perfil ‘ssl-ssh-profile’ para realizar una inspección profunda y asegurarse de que la política que maneja el tráfico HTTP tenga un ‘webproxy-profile’ configurado para agregar estos encabezados.

Ejemplo de configuración:

config firewall ssl-ssh-profile
    edit "ssl-deepinspection"
        config ssl
            set inspect-all deep-inspection
            set unsupported-ssl-version allow
            set untrusted-server-cert block
        end
        config https
        end
        config ssl-exempt
            edit 1
                set fortiguard-category 31
            next
        end
end

config web-proxy profile
    edit "XFF-add"
        set header-x-forwarded-for add
    next
end

Además, la política para el tráfico HTTP debe estar configurada de la siguiente manera:

config firewall proxy-policy
    edit 1
        set proxy explicit-web
        set dstintf "port3"
        set srcaddr "all"
        set dstaddr "all"
        set service "web"
        set action accept
        set schedule "always"
        set logtraffic all
        set users "localuser"
        set webproxy-profile "XFF-add"
        set ssl-ssh-profile "ssl-deepinspection"
    next
end

En el ejemplo anterior, cualquier sitio web que coincida con la categoría 31 (Finanzas y Banca) no añadirá el encabezado X-Forwarded-For debido a la configuración de excepción SSL.

Comandos CLI utilizados

A continuación, se detallan algunos comandos CLI que se pueden utilizar para diagnosticar y verificar la configuración:

diagnose wad filter clear
diagnose wad filter src <dirección IP del cliente que está enviando la solicitud http/https>
diagnose wad debug enable all
diagnose debug enable

El uso de estos comandos permitirá obtener una visión clara de la situación y ayudar en la identificación de problemas específicos en la configuración.

Buenas prácticas y recomendaciones

Es recomendable revisar y documentar regularmente las configuraciones de los perfiles de firewall y asegurarse de que estén actualizadas con las mejores prácticas de seguridad. Además, se debe considerar la actualización del firmware de FortiGate para aprovechar las últimas funcionalidades y correcciones de seguridad.

Notas adicionales

Los cambios en la configuración deben ser probados en un entorno controlado antes de ser implementados en producción. Se sugiere realizar copias de seguridad de las configuraciones existentes antes de aplicar nuevos cambios para evitar la pérdida de configuraciones importantes.

¿Te ha resultado útil??

0 / 0

Mila y César

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.

¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!

Deja una respuesta 0

Otras preguntas sobre <a href="https://todoforti.net/fortigate/">FortiGate</a>

Cómo solucionar el error al cambiar de Multi VDOM a No-VDOM en Fortinet
En este artículo abordaremos un problema común que enfrentan los administradores de firewall FortiGate: la imposibilidad de revertir la configuración de Multi-VDOM a No-VDOM. Este tema es crucial, ya que un error en la configuración puede afectar la seguridad y el rendimiento de la red. A través de este artículo, se proporcionarán pasos claros y Leer
Cómo resolver el bucle en la página de inicio de sesión SAML en Fortinet
En este artículo, abordaremos un problema común que enfrentan los usuarios de redes inalámbricas cuando intentan acceder a un portal cautivo utilizando SAML como método de autenticación con Azure como proveedor de identidad (IdP). El fallo se presenta como un bucle en la página de inicio de sesión de SAML, lo que impide que los Leer
Solucionar problemas con túneles IPsec configurados con un IPpool como puerta de enlace local
Bienvenidos, me llamo Mila Jiménez y hoy nos toca tratar con: Solucionar problemas con túneles IPsec configurados con un IPpool como puerta de enlace local La actualización del firewall a FortiOS 6.4.9 o 7.0.1 puede crear problemas con los túneles IPsec que utilizan un IPpool como puerta de enlace local. Esto está relacionado con el Leer
Cómo resolver el error de falta de ‘FortiView Source Interfaces by Bytes’ en los logs de Fortinet
En este artículo, abordaremos el problema de la falta de datos en los registros de ‘FortiView Source Interfaces by Bytes’, a pesar de que se especifique la interfaz wan1 como fuente. Este asunto es crucial porque impide una visibilidad clara del tráfico a través de la interfaz, complicando la administración y las decisiones de seguridad Leer
Configurar y editar el enrutamiento de salida local (Source-IP) utilizando la GUI para el tráfico auto-originado
Bienvenidos 🙌🏻, por si no me conocéis soy César Sánchez y hoy vamos a aprender sobre: 👇🏻 Configurar y editar el enrutamiento de salida local (Source-IP) utilizando la GUI para el tráfico auto-originado Descripción Este artículo proporciona los detalles sobre cómo configurar o editar el enrutamiento de salida local (IP de origen) utilizando la GUI Leer

Cómo solucionar el comportamiento del proxy explícito al añadir cabeceras X en Fortinet al utilizar la categoría ‘ssl-exempt’ del perfil ‘ssl-ssh-profile’