En este artículo, abordaremos un problema común en la configuración de FortiGate relacionado con el control de aplicaciones. Específicamente, aprenderemos a bloquear el comando traceroute mientras se permite el uso de ping. Este es un tema relevante para la seguridad de redes, ya que el traceroute puede revelar información sensible sobre la infraestructura de red. A continuación, se presentará una solución paso a paso para implementar esta configuración de manera efectiva.
Índice
Descripción del problema
El comando traceroute, al utilizar ICMP, puede ser problemático en entornos de red donde se desea restringir el acceso a información de la topología de la red. Sin embargo, se requiere permitir el comando ping para pruebas de conectividad. Por ello, es crucial establecer políticas que bloqueen el uso de traceroute sin afectar la funcionalidad del ping.
Alcance
Esta solución es aplicable a las versiones de FortiGate v6.4.X y v7.X.
Diagnóstico paso a paso
Asegúrate de revisar las siguientes configuraciones para implementar correctamente el bloque de traceroute sin afectar el ping:
- Crear un perfil de aplicación que permita traceroute y bloquee ping.
- Crear una política de firewall que haga referencia al perfil de control de aplicaciones creado en el paso anterior.
Solución recomendada
Para bloquear traceroute (cuando utiliza ICMP en lugar de UDP) y permitir ping, es necesario utilizar un objeto de servicio junto con una política de firewall. A continuación, se describen los pasos necesarios:
- Crear un perfil de aplicación que permita traceroute y bloquee ping:
En CLI:
config application list
edit «Block-Traceroute»
set comment «Allow ping but block trace»
set other-application-log enable
set unknown-application-log enable
config entries
edit 1
set application 32304
set log disable
next
edit 2
set application 24466
set action pass
set log disable
next
end
next
end
- Crear una política de firewall que haga referencia al perfil de control de aplicaciones creado del paso 1:
config firewall policy
edit 1
set name «Allow-Ping»
set srcintf «port3»
set dstintf «port1»
set action accept
set srcaddr «all»
set dstaddr «all»
set schedule «always»
set service «ALL_ICMP»
set utm-status enable
set ssl-ssh-profile «certificate-inspection»
set application-list «Block-Traceroute»
set nat enable
next
end
Comandos CLI utilizados
Para ayudar en la depuración y verificación, utilice los siguientes comandos:
Juara-kvm30 # diagnose ips debug enable all
Juara-kvm30 # diagnose debug enable
Juara-kvm30 # diagnose debug console timestamp enable
Estos comandos activan el registro detallado y ayudarán a identificar el flujo de tráfico en la configuración de FortiGate.
Buenas prácticas y recomendaciones
Es importante probar la configuración después de realizar cambios. Asegúrate de que el ping funcione correctamente y que el traceroute esté bloqueado. Asimismo, considera revisar las configuraciones de NAT si deseas ocultar las direcciones IP de los interfaces FortiGate.
Notas adicionales
El primer salto puede aparecer como si el tráfico fuera tratado como local por el FortiGate. Es recomendable usar políticas de firewall de interfaz para ocultar la dirección IP de FortiGate al mostrar resultados de traceroute.
Ocultar la dirección IP de la interfaz de FortiGate en los resultados de traceroute cuando está en modo NAT.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!