En este artículo, abordaremos un problema que surge cuando los usuarios finales detrás de un FortiGate intentan acceder a la interfaz gráfica (GUI) o a otros sitios web utilizando una dirección IP, como https:10.1.x.x:9443. Este problema ocurre cuando el perfil de seguridad aplicado tiene un Filtro Web, y el sitio web está categorizado como «sin clasificar». Identificar y resolver este inconveniente es crucial para garantizar un acceso seguro y eficiente a los recursos necesarios. A continuación, presentaremos soluciones detalladas para abordar esta situación.
Índice
Descripción del problema
Este problema se presenta en casos donde los usuarios intentan acceder a recursos a través de una dirección IP en vez de un nombre de dominio, y se topan con restricciones de acceso debido a la categorización del sitio web. La falta de clasificación puede impedir que los usuarios accedan a la GUI y a otros recursos importantes, afectando la operatividad de los sistemas asociados al FortiGate.
Alcance
Este problema afecta a todas las versiones de FortiOS en dispositivos FortiGate.
Diagnóstico paso a paso
Para diagnosticar este problema, es importante verificar cómo están configurados los perfiles de seguridad y las políticas de acceso dentro de FortiGate. Asegúrate de identificar si el sitio web al que intentan acceder los usuarios está realmente categorizado como «sin clasificar» en el filtro web aplicado.
Solución recomendada
Existen varias soluciones para sortear este problema relacionado con la categorización «sin clasificar» para el acceso basado en IP:
- Crear un filtro URL estático para eximir esa URL particular. Esto se puede hacer de la siguiente manera: Filtro Web -> Predeterminado (perfil relevante que se aplicó a la política) -> Filtro URL Estático -> Filtro URL.
- Si el filtro URL estático no funciona, crear una expresión regular que exima esa URL: Filtro Web -> Predeterminado (perfil relevante que se aplicó a la política) -> Filtro URL Estático -> Filtro de Contenido.
- Mover la URL a otra categoría que permita la conexión (por ejemplo, mover la URL a Interés General -> Negocios -> Negocios): Reemplazo de clasificación web -> crear nuevo -> pegar la URL en la búsqueda de clasificación y reemplazar a la categoría permitida relevante.
Comandos CLI utilizados
Para llevar a cabo las configuraciones mencionadas, pueden utilizarse los siguientes comandos CLI en el FortiGate:
config webfilter
edit "default"
set status enable
config static-url
edit "<URL_a_eximir>"
set action exempt
next
end
endBuenas prácticas y recomendaciones
Para evitar problemas recurrentes con el acceso basado en IP, se recomienda:
- Utilizar nombres de dominio en lugar de direcciones IP en las políticas de acceso siempre que sea posible.
- Revisar periódicamente las categorizaciones de los sitios web y los filtros web aplicados.
- Implementar un sistema de monitoreo que pueda alertar sobre accesos no autorizados o problemas de categorización.
Notas adicionales
Es aconsejable mantenerse actualizado con las últimas versiones de FortiOS, ya que pueden incluir mejoras y soluciones a problemas conocidos. Se recomienda consultar la documentación oficial de Fortinet para obtener información adicional sobre configuraciones avanzadas y funciones disponibles.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!