Este artículo aborda un problema común relacionado con los certificados en las notificaciones Push de tokens móviles en FortiGate. La falta de conexión segura SSL puede dificultar las operaciones de autenticación y comprometer la seguridad del sistema. Aquí se explicará cómo diagnosticar el problema y se ofrecerán soluciones efectivas para restaurar la funcionalidad deseada.
Índice
Descripción del problema
El problema se presenta cuando, tras la configuración de los ajustes de FTM-Push, el usuario experimenta fallos de conexión segura SSL. Esto se debe a que se utiliza un certificado autogenerado en FortiGate, el cual no es confiable para la autenticación TLS.
Alcance
Este artículo es relevante para los dispositivos FortiGate y la implementación de FortiToken en entornos móviles.
Diagnóstico paso a paso
Para diagnosticar el problema, es crucial verificar los ajustes de configuración y ejecutar ciertos comandos de depuración en FortiGate. Los siguientes pasos se deben seguir:
- Confirme que se ha habilitado el proxy y que el puerto del servidor está correctamente definido.
- Ejecute los siguientes comandos de depuración en la consola:
- diagnose debug app ftm-push -1
- diagnose debug enable
Esto generará salidas que indicarán si la conexión SSL falló y por qué:
SSL secure connection failed, failed to validate cert <cert-name>
Solución recomendada
Para resolver este problema, es necesario cambiar el certificado por defecto que se utiliza. A continuación se presenta el comando para verificar la configuración actual:
iron-kvm37 # config sys ftm-push
iron-kvm37 (ftm-push) # sh full
config system ftm-push
set proxy enable
set server-port 4433
set server-cert «Fortinet_GUI_Server»<—– Certificado por defecto no recomendado para ser instalado en endpoints.
set server »
Considerar el uso de un certificado confiable que se haya utilizado anteriormente en la configuración de SSL VPN. Esto garantizará una conexión segura y funcional.
En entornos en la nube, asegúrese de que el siguiente salto, donde la IP pública está disponible, pueda retransmitir el tráfico para el puerto 4433. También es posible personalizar puertos según los requerimientos del entorno.
Comandos CLI utilizados
Los siguientes comandos son clave para diagnosticar y solucionar el problema:
- diagnose debug app ftm-push -1: Este comando activa la depuración para la aplicación FTM-Push, mostrando más detalles sobre el estado de la conexión.
- diagnose debug enable: Activa la depuración general en FortiGate, lo cual es crucial para obtener información detallada.
Buenas prácticas y recomendaciones
Si bien este artículo se centra en la resolución de problemas con FTM-Push, se sugieren las siguientes buenas prácticas:
- Utilizar siempre certificados confiables y procedentes de una autoridad de certificación (CA).
- Revisar periódicamente la configuración de la red para asegurar que las rutas y puertos estén correctamente definidos.
- Mantener FortiGate y todos los componentes relacionados actualizados con los últimos parches de seguridad.
Notas adicionales
Cuando se trabaja con configuraciones avanzadas en FortiGate, es fundamental comprender cómo cada componente interactúa en el sistema. Asegúrese de consultar la documentación oficial de Fortinet para obtener detalles adicionales sobre características específicas como FTM-Push y su configuración.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!