Este artículo aborda un problema técnico relacionado con la configuración de certificados en FortiOS para la gestión de solicitudes DNS a través de TCP (DoT). La cuestión es esencial, ya que una configuración incorrecta puede comprometer la seguridad y la funcionalidad de la red. Aquí, proporcionaremos una guía detallada sobre cómo cambiar el certificado que FortiOS presenta a los clientes y asegurarnos de que la configuración sea la adecuada para un rendimiento óptimo.
Índice
Descripción del problema
Cuando se utilizan proxies de DNS en un dispositivo FortiGate, es posible que los administradores deseen modificar el certificado que FortiOS presenta a los clientes. Esto es especialmente relevante en situaciones donde los usuarios están configurados para verificar el certificado presentado durante la comunicación DNS. El certificado correcto es crucial para garantizar una comunicación segura entre los clientes y el servidor DNS.
Alcance
Este artículo aplica a las versiones de FortiOS v7.0, 7.2 y 7.6. Asegúrate de que tu dispositivo esté ejecutando una de estas versiones para aplicar adecuadamente las soluciones propuestas.
Diagnóstico paso a paso
A continuación, se presenta un ejemplo estándar de configuración para el proxy DNS que puede ser útil:
config system dns
set primary 8.8.8.8
set secondary 1.1.1.1
set protocol cleartext dot
set ssl-certificate "custom-certificate"
end
Es importante tener en cuenta que el parámetro ssl-certificate solo se utilizará como el certificado del cliente al comunicarse con el servidor DNS. Sin embargo, esto no cambia el certificado que se presenta al cliente en el caso de un proxy DNS.
Para validar esta configuración, considera un interfaz que escucha solicitudes DNS en la dirección 10.1.1.1. Ejecuta el siguiente comando:
user@server:~ $ openssl s_client 10.1.1.1:853
La salida esperada debería mostrar información sobre el certificado presentado, incluyendo la cadena de certificados y cualquier error de verificación.
Solución recomendada
La manera correcta de cambiar el certificado presentado por FortiOS se encuentra en la configuración del proxy web global, específicamente en la opción de ssl-cert. A continuación, los pasos a seguir:
config web-proxy global
set ssl-cert "custom-certificate"
end
Después de realizar este cambio, es recomendable volver a validar la configuración ejecutando el mismo comando anteriormente mencionado para asegurarte de que el certificado se ha actualizado correctamente.
Comandos CLI utilizados
Los comandos CLI mencionados son los siguientes:
config system dns: Para acceder a la configuración de DNS en FortiOS.set ssl-certificate "custom-certificate": Para asignar un certificado específico como el que debe usar FortiOS.config web-proxy global: Para acceder a la configuración global del proxy web.openssl s_client 10.1.1.1:853: Para verificar el certificado presentado por la interfaz en cuestión.
Buenas prácticas y recomendaciones
Al gestionar certificados en un entorno FortiGate, es vital seguir las siguientes buenas prácticas:
- Mantén un registro de los certificados utilizados y su fecha de expiración.
- Realiza comprobaciones regulares para asegurar la integridad de la comunicación entre el cliente y el servidor DNS.
- Documenta cualquier cambio en la configuración para futuras referencias y auditorías.
Notas adicionales
Es relevante mencionar que el parámetro ssl-cert también se superpone con el certificado que FortiOS presenta para el portal de autenticación. Actualmente, no hay un certificado separado para esta función, aunque podría cambiar en futuras actualizaciones de FortiOS.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!