Este artículo describe un problema conocido en FortiGate donde la configuración ‘fortiguard-anycast’ se desactiva automáticamente al navegar a la página de FortiGuard en la interfaz gráfica de usuario (GUI). Este problema puede afectar la conectividad de red y el funcionamiento óptimo de las funciones de seguridad de FortiGate. A continuación, se detalla un diagnóstico paso a paso y la solución recomendada para abordar esta situación.
Índice
Descripción del problema
Cuando se accede a la página de FortiGuard desde la GUI de FortiGate, la configuración ‘fortiguard-anycast’ se desactiva sin ninguna advertencia. Este cambio no genera un evento en el registro del sistema, lo que puede dificultar la identificación del problema.
Alcance
Este problema afecta a las versiones de FortiGate v7.4.5 y v7.6.1.
Diagnóstico paso a paso
Al diagnosticar el problema, es importante observar los registros para obtener información acerca de los errores relacionados con la verificación de certificados que ocurren cuando la configuración ‘fortiguard-anycast’ está deshabilitada. Se recomienda ejecutar los siguientes comandos para identificar la causa raíz del problema:
diagnose debug application updated -1
diagnose debug console timestamp enable
diagnose debug enable
<reproduce the issue>
diagnose debug reset
Estos comandos ayudarán a reproducir y capturar los errores que se generan en los registros del sistema.
Solución recomendada
Para mitigar temporalmente el problema, se puede habilitar de nuevo la configuración ‘fortiguard-anycast’. Sin embargo, es importante tener en cuenta que esta desactivación volverá a ocurrir al navegar de nuevo a la página de FortiGuard en la GUI de FortiGate, debido a un error conocido.
La desactivación de ‘fortiguard-anycast’ puede generar los siguientes errores en los registros de depuración:
Debugs:
2024-11-06 12:16:38 [362] __ssl_crl_verify_cb: Cert error 19, self-signed certificate in certificate chain. Depth 2
2024-11-06 12:16:38 [1421] SSL_dump_handshake_err: Certificate failed verification. Error: 19 (self-signed certificate in certificate chain), depth: 2, subject: /C=US/ST=Californ}
2024-11-06 12:16:38 [1063] ssl_connect: SSL_connect failes: error:0A000086:SSL routines::certificate verify failed
2024-11-06 12:16:38 [870] tcps_connect: 173.243.138.76:443 — ret -1, state 0x7(Failed) -> 0x7(Failed)
2024-11-06 12:16:38 [877] tcps_connect: tcps_connect failed: ssl_connect() failed: 0 (error:00000000:lib(0)::reason(0))
2024-11-06 12:16:38 [501] fds_https_connect: https_connect(173.243.138.76:443) failed: ssl_connect() failed: 0 (error:00000000:lib(0)::reason(0)).
2024-11-06 12:16:38 [667] fds_https_stop_server: 173.243.138.76:443
Eventos del sistema:
date=2024-11-06 time=12:16:47 eventtime=1730870206122770022 tz=»+0700″ logid=»0100038410″ type=»event» subtype=»system» level=»information» vd=»root» logdesc=»SSL connection failed» dstip=N/A dstport=N/A reason=»self-signed certificate in certificate chain» action=»info» status=»failure» msg=»Certificate is invalid, subject: /C=US/ST=California/L=Sunnyvale/O=Fortinet/OU=Certificate Authority/CN=fortinet-ca2/[email protected]»
date=2024-11-06 time=12:16:38 eventtime=1730870198817422451 tz=»+0700″ logid=»0100038410″ type=»event» subtype=»system» level=»information» vd=»root» logdesc=»SSL connection failed» dstip=N/A dstport=N/A reason=»self-signed certificate in certificate chain» action=»info» status=»failure» msg=»Certificate is invalid, subject: /C=US/ST=California/L=Sunnyvale/O=Fortinet/OU=Certificate Authority/CN=fortinet-ca2/[email protected]»
Este problema se ha resuelto en las siguientes versiones:
- v7.4.6 y posteriores (disponible en el Portal de Soporte de Fortinet).
- v7.6.2 y posteriores (disponible en el Portal de Soporte de Fortinet).
Comandos CLI utilizados
- Debugs:
Se requieren los siguientes comandos:
execute tac report
- Informe TAC:
Determina qué eventos necesitan ser registrados para la investigación.
- Archivo de configuración de FortiGate.
- Datos de la herramienta de soporte de Fortinet: Consejo de solución de problemas: Recopilar errores y lentitud en la GUI a través de la herramienta de soporte de Fortinet.
Buenas prácticas y recomendaciones
Es recomendable mantener siempre actualizadas las versiones del firmware para beneficiarse de las correcciones de errores y mejoras de seguridad. También, se sugieren revisiones periódicas en la configuración de FortiGate para asegurarse de que siga las mejores prácticas de seguridad, minimizando así la vulnerabilidad a problemas y errores como el discutido en este artículo.
Notas adicionales
Cualquier consulta adicional sobre este tema o asistencia técnica debe ser dirigida al soporte técnico de Fortinet.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!