En este artículo, abordaremos un problema común con el motor de AntiVirus de FortiGate, que detecta archivos PDF como archivos BAT, provocando su bloqueo según las políticas configuradas. Este tema es crítico porque puede afectar la entrega y el acceso a documentos importantes. A través de este documento, proporcionaremos un diagnóstico detallado y soluciones recomendadas para resolver este inconveniente.
Índice
Descripción del problema
El motor de AntiVirus de FortiGate presenta un comportamiento erróneo al identificar archivos PDF como archivos BAT. Este falso positivo puede resultar en un bloqueo no deseado de archivos PDF en las comunicaciones de correo electrónico.
Alcance
Este problema se relaciona exclusivamente con dispositivos FortiGate que tienen habilitada la función de filtrado de archivos a través del motor de AntiVirus.
Diagnóstico paso a paso
Para diagnosticar el problema, los administradores pueden consultar los registros de filtrado de archivos. A continuación se muestra un ejemplo de un registro donde se puede observar que un archivo PDF ha sido bloqueado incorrectamente:
date=[REDACTED] time=[REDACTED] id=[REDACTED] itime=[REDACTED] euid=3 epid=[REDACTED] dsteuid=[REDACTED] dstepid=[REDACTED] logver=704032573 sfsid=[REDACTED] logid=1900064000 type=»utm» subtype=»file-filter» service=»SMTP» proto=6 srcip=[REDACTED] dstip=[REDACTED] eventtime=[REDACTED] srcport=[REDACTED] dstport=[REDACTED] policyid=[REDACTED] sessionid=[REDACTED] filesize=[REDACTED] srcintfrole=»wan» dstintfrole=»lan» direction=»outgoing» action=»blocked» level=»warning» msg=»File was blocked by file filter.» srcintf=[REDACTED] dstintf=[REDACTED] from=[REDACTED] to=[REDACTED] eventtype=»file-filter» sender=»[REDACTED] recipient=[REDACTED] subject=[REDACTED] profile=»File Blocked» filename=[REDACTED].pdf» filetype=»pdf» matchfiletype=»javascript» tz=»+0800″ attachment=»yes» srcuuid=[REDACTED] dstuuid=[REDACTED] policytype=»policy» srccountry=»Malaysia» dstcountry=»Reserved» poluuid=[REDACTED] devid=[REDACTED] vd=[REDACTED] csf=[REDACTED] dtime=[REDACTED] itime_t=[REDACTED] devname=[REDACTED] srcuuid_name=all dstuuid_name=»Email Server»
Solución recomendada
La detección incorrecta de archivos PDF como archivos BAT se debe a una coincidencia de firma en el motor de AntiVirus. Para resolverlo, se recomienda actualizar manualmente la base de datos de definiciones de virus o el motor de AntiVirus utilizando los siguientes comandos en la CLI:
diagnose debug application update -1
diagnose debug enable
execute update-now
Una vez que se observe el mensaje ‘UPDATE successful‘ en el debug, se puede desactivar el debug ejecutando ‘diagnose debug disable‘.
Para verificar la versión actual de las definiciones de virus, se puede utilizar:
diagnose autoupdate versions
Virus Definitions
———
Version: 92.18344 signed <<—–
Contract Expiry Date: Sun Oct 5 2025
Last Updated using manual update on Mon Oct 28 10:03:50 2024
Last Update Attempt: Mon Oct 28 10:03:50 2024
Result: Updates Installed
AV Engine
———
Version: 7.00031 signed <<——-
Contract Expiry Date: Tue Mar 10 2026
Last Updated using manual update on Fri Jul 12 05:01:00 2024
Last Update Attempt: Mon Nov 25 13:27:42 2024
Result: Updates Installed
Comandos CLI utilizados
A continuación, se presentan los comandos importantes utilizados durante el diagnóstico y la solución del problema:
- diagnose debug application update -1: Inicia la actualización del motor de AntiVirus.
- diagnose debug enable: Habilita el modo de depuración.
- execute update-now: Ejecuta la actualización inmediata del motor de AntiVirus.
- diagnose autoupdate versions: Muestra la versión actual de las definiciones de virus y el motor de AntiVirus.
Buenas prácticas y recomendaciones
Es aconsejable realizar actualizaciones periódicas del motor de AntiVirus para evitar problemas de detección de archivos. Mantener registros de las actualizaciones y de las configuraciones realizadas es crucial para un diagnóstico efectivo en el futuro. Además, se recomienda siempre probar los cambios en un entorno controlado antes de implementarlos en producción.
Notas adicionales
Si el problema persiste tras las actualizaciones, es recomendable abrir un ticket con el Soporte Técnico de Fortinet (TAC) y compartir el archivo PDF bloqueado para un análisis más detallado, así como activar el debug WAD en modo proxy.
diagnose debug disable
diagnose debug reset
diagnose debug console timestamp enable
diagnose wad debug enable level verbose
diagnose wad debug enable category all
diagnose sys scanunit debug all
diagnose wad filter src <source_IP> <–uno de los PCs donde se presenta el problema
diagnose debug enable
Después de habilitar el debug, espere a que ocurra el problema y proporcione aquí la <source IP> para filtrar los resultados de los registros. Para desactivar el debug, utilice:
diagnose debug disable
diagnose debug reset
diagnose wad debug clear
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!