Este artículo aborda un problema que afecta a los usuarios de FortiGate al recibir un alto volumen de solicitudes de inicio de sesión SAML a través de SSL VPN. Este inconveniente puede provocar caídas intermitentes del demonio SAML (samld), lo que resulta en desconexiones de VPN. A lo largo del artículo, se presentará un diagnóstico detallado y una solución recomendada, además de comandos útiles para la resolución de problemas y consideraciones adicionales a tener en cuenta.
Índice
Descripción del problema
Cuando FortiGate recibe numerosas solicitudes de inicio de sesión SAML de manera concurrente, el demonio samld puede fallar, lo que lleva a desconexiones de la VPN. Este problema surge debido a la falta de un parámetro crítico en la respuesta de inicio de sesión del Proveedor de Servicios (SP).
Alcance
Este problema afecta a las versiones de FortiGate v7.0.11 y v7.2.8.
Diagnóstico paso a paso
Para identificar la raíz del problema, se deben ejecutar una serie de comandos de diagnóstico. Los registros de errores son esenciales para el análisis: se recomienda los siguientes comandos.
- Ejecutar los siguientes comandos de diagnóstico:
diagnose debug application samld -1
diagnose debug application sslvpnd -1
diagnose debug timestamp enable
diagnose debug enable
<Reproducir el problema>
diag debug disable
- Generar un informe para TAC: execute tac report
- Recopilar el archivo de configuración del FortiGate.
Los registros de debug necesarios para ayudar al TAC de FortiGate en la investigación son cruciales.
Solución recomendada
Este problema se ha resuelto en las versiones FortiOS v7.2.9, v7.4.4 y v7.6.0. Es importante actualizar a una de estas versiones para evitar futuros inconvenientes relacionados con el demonio samld. Aquí proporcionamos los logs relevantes que el TAC de FortiGate puede necesitar durante la investigación:
diag debug crashlog read
10990: 2023-04-13 13:58:29 el demonio kill es /bin/samld: status=0xb
10991: 2023-04-14 06:58:28 el demonio kill es /bin/samld: status=0xb
10992: 2023-04-18 06:57:58 el demonio kill es /bin/samld: status=0xb
10993: 2023-04-18 07:21:01 el demonio kill es /bin/samld: status=0xb
10994: 2023-04-18 07:21:10 el demonio kill es /bin/samld: status=0xb
10995: 2023-04-18 07:21:11 el demonio kill es /bin/samld: status=0xb
Comandos CLI utilizados
Emplee los comandos indicados en la sección de diagnóstico para capturar información relevante que pueda ayudar a identificar y resolver el problema. Asegúrese de realizar pruebas después de cada cambio para verificar que el problema se haya resuelto.
Buenas prácticas y recomendaciones
Para mitigar problemas en el futuro, se recomienda seguir las siguientes buenas prácticas:
- Realizar actualizaciones periódicas del firmware de FortiGate.
- Monitorear el tráfico y el rendimiento de la VPN para identificar picos inusuales.
- Implementar medidas de seguridad adicionales para el acceso a la VPN.
- Consultar regularmente la documentación de Fortinet para estar al tanto de novedades y mejores prácticas.
Notas adicionales
Si experimenta problemas persistentes, considere mantener registrado el nivel de debug en FortiClient para ayudar a identificar problemas en los endpoints gestionados por EMS. Para habilitar el registro de debug, consulte los siguientes enlaces:
Registros de debug de FortiClient:
Consejo Técnico: Cómo habilitar los registros de debug en FortiClient
Consejo Técnico: Cómo habilitar el nivel de registro de debug en endpoints FortiClient gestionados por EMS.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!