Este artículo aborda el proceso de resolución de direcciones IP de destino a nombres de dominio en los registros de tráfico hacia adelante de FortiGate. Comprender esta función es crucial para la administración efectiva de la red, ya que permite a los administradores identificar claramente los sitios accedidos dentro de su infraestructura. Aquí, explicaremos cómo funciona este proceso y proporcionaremos pasos detallados para optimizar su configuración.
Descripción del problema
FortiGate, como herramienta de seguridad y gestión de tráfico, es responsable de registrar el tráfico que fluye a través de la red. Un aspecto importante de esta funcionalidad es la capacidad de resolver las direcciones IP de destino a sus respectivos nombres de dominio, lo cual es esencial para el análisis y la auditoría de la actividad de red.
Alcance
FortiGate.
Diagnóstico paso a paso
FortiGate genera registros de tráfico y UTM para el tráfico de paso a través. En la interfaz gráfica de usuario (GUI), los registros reflejan la dirección IP de destino junto con el nombre de dominio.
A continuación, se ilustra una topología de red en la que se ha desplegado FortiGate:
Cliente 172.30.18.94 <———-> puerto4 [FortiGate] puerto1 10.5.144.159 <——–> Internet
Servidor DNS: 8.8.8.8 Servidor DNS: 96.45.45.45
FortiGate tiene habilitada la configuración de registro con ‘resolve-ip’:
config log settings
set resolve-ip enable
end
Solución recomendada
- Cuando un usuario accede a cualquier sitio web, el sistema cliente realizará una búsqueda DNS para la dirección del sitio web.
- Este tráfico DNS llegará a FortiGate, que actúa como una puerta de enlace.
- FortiGate reenviará la solicitud al servidor, y la respuesta del servidor se reenviará de vuelta al cliente.
- Aquí, FortiGate aprenderá implícitamente el dominio y su dirección IP.
Por ejemplo, consideremos a un usuario accediendo a openssl.com.
Como el sistema no tiene un caché DNS local para openssl.com, generará una consulta DNS. La consulta DNS será exitosa, y el cliente obtendrá la dirección IP del nombre de dominio openssl.com.
- Con esta comunicación DNS, FortiGate aprende implícitamente el dominio y la información de su dirección IP para openssl.com.
date=2024-12-08 time=09:38:38 eventtime=1733679518610878273 tz=»-0800″ logid=»0000000013″ type=»traffic» subtype=»forward» level=»notice» vd=»root» srcip=172.30.18.94 srcname=»172.30.18.94″ srcport=58016 srcintf=»port4″ srcintfrole=»undefined» dstip=8.8.8.8 dstname=»dns.google» dstport=53 dstintf=»port1″ dstintfrole=»undefined» srccountry=»Reserved» dstcountry=»United States» sessionid=2429281 proto=17 action=»accept» policyid=2 policytype=»policy» poluuid=»f1a56c7a-b57b-51ef-77b2-44d9c62a17a5″ policyname=»ff» service=»DNS» trandisp=»snat» transip=10.5.144.159 transport=58016 duration=180 sentbyte=68 rcvdbyte=255 sentpkt=1 rcvdpkt=1 vwlid=0 appcat=»unscanned»
‘dnsproxy’ daemon muestra los siguientes registros de depuración:
2024-12-08 09:35:38 [worker 0] dns_visibility_log_hostname()-241: vd=0 pktlen=227
2024-12-08 09:35:38 [worker 0] wildcard_fqdn_response_cb()-951: vd=0 pktlen=227
2024-12-08 09:35:38 [worker 0] hostname_entry_insert()-143: af=2 domain=openssl.com
2024-12-08 09:35:38 [worker 0] handle_hostname_add_msg()-549
2024-12-08 09:35:38 [worker 0] batch_on_read()-3553
2024-12-08 09:35:38 [worker 0] unix_receive_request_stub()-3456
Esta información se añade a la caché DNS de FortiGate, que se puede verificar utilizando el comando ‘diagnose test application dnsproxy 13‘.
194.97.150.234 (domain=openssl.com, ttl=85277)
Cuando se accede a la página de registros, FortiGate miglogd escaneará la caché DNS local en busca de la dirección IP de destino, y luego el Dominio Resuelto reflejará el nombre de dominio de la IP.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!