El presente artículo aborda un problema relacionado con el filtro DNS en los dispositivos FortiGate, concretamente al utilizar una fuente de amenazas de dominio externo para bloquear ciertos nombres de dominio. Este problema es crítico ya que podría permitir la resolución de nombres de dominio en mayúsculas, a pesar de que deberían ser bloqueados. A continuación, se detallarían las soluciones y configuraciones recomendadas para resolver este inconveniente en un entorno de inspección basado en flujo.
Índice
Descripción del problema
Cuando el filtro DNS está configurado con una fuente de amenazas de dominio externo para bloquear dominios específicos, la resolución DNS puede continuar con éxito si el nombre de dominio en la fuente de amenazas está en mayúsculas, particularmente cuando la política de firewall está en el modo de inspección basado en flujo. En cambio, en el modo de inspección basado en proxy, la resolución DNS se bloquea correctamente.
Alcance
Este artículo aplica a FortiGate en la versión 7.2.8.
Diagnóstico paso a paso
Para diagnosticar el problema, se pueden utilizar los siguientes comandos CLI:
diagnose sys external-resource list Ext-Resource-Type-as-Domain-1 | grep fortineEstos comandos permiten verificar si el dominio en mayúscula está siendo procesado por el filtro DNS establecido. A continuación, puede realizarse una prueba de resolución DNS con un nombre de dominio en mayúsculas para observar el comportamiento:
diagnose debug app dnsproxy -1
diagnose debug enableEsto generará logs de las operaciones de resolución DNS y ayudará a entender si se invoca la acción de bloqueo adecuada.
Solución recomendada
Para resolver el problema, se recomienda modificar la configuración del filtro DNS de la siguiente manera:
config dnsfilter profile
edit "dnsfilter_ext"
config ftgd-dns
set options error-allow
config filters
edit 1
set category 194 # 194 Ext-Resource-Type-as-Domain-1
set action block
next
end
end
set log-all-domain enable
set block-action block
next
endCon esta configuración, el filtro debe comportarse como se espera, bloqueando nombres de dominio incluso si están en mayúsculas.
Comandos CLI utilizados
Los siguientes comandos se han utilizado para el diagnóstico y ajuste de la configuración:
diagnose sys external-resource list Ext-Resource-Type-as-Domain-1 | grep fortine
diagnose debug app dnsproxy -1
diagnose debug enableEl comando diagnose debug app dnsproxy -1 permitirá observar los logs detallados de las solicitudes DNS y la manera en que son manejadas por el filtro.
Buenas prácticas y recomendaciones
- Siempre realice pruebas exhaustivas después de las modificaciones en la política de firewall para garantizar que las configuraciones funcionen como se espera.
- Considere auditar regularmente las fuentes de amenazas de dominio externas para asegurarse de que estén actualizadas y efectivas.
- Utilice nombres de dominio en minúsculas en las listas de bloqueo para evitar discrepancias en el comportamiento de filtrado.
Notas adicionales
Este problema se ha resuelto en versiones posteriores de IPSE: 7.2.7:0342, 7.4.4:0542, 7.6.0:1013|1014. Si continúa experimentando problemas, se sugiere que actualice a la última versión disponible y verifique la configuración del modo de inspección del firewall.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!