En este artículo, abordaremos un problema conocido relacionado con la función de prevención de intrusiones (IPS) en dispositivos FortiGate, donde las firmas IPS son detectadas pero no bloqueadas. Esto es crítico ya que resulta en una posible exposición a amenazas cibernéticas. A continuación, se detallan las razones por las que esto puede ocurrir y las soluciones recomendadas para asegurar una configuración adecuada del IPS.
Índice
Descripción del problema
Este artículo discute las razones posibles por las que una firma IPS no es bloqueada, sino que solo se detecta cuando se revisan los registros de IPS.
Alcance
FortiGate.
Diagnóstico paso a paso
- La acción respectiva de la firma IPS se establece en permitir o monitorizar en lugar de bloquear. Consulta este artículo para conocer la diferencia: Consejo Técnico: Acciones del perfil IPS y acciones correspondientes en los registros.
- La versión de IPS no está actualizada. Asegúrate de que la versión de IPS está actualizada. Esto se puede hacer asegurando que una de las políticas del firewall tenga IPS habilitado bajo los perfiles de seguridad y ejecutando el comando
execute update-nowposteriormente en la CLI. - Cambio en la acción predeterminada para la firma IPS correspondiente. Por ejemplo, consulta la historia de versiones del artículo en el enlace mencionado anteriormente.
- Verifica si deshabilitar la descarga automática de ASIC en la política del firewall ayuda. Las firmas personalizadas no son soportadas por ASIC en dispositivos FortiGate y generalmente requieren procesamiento complejo o condiciones específicas que no pueden ser manejadas por las capacidades de aceleración de hardware del ASIC. En tales casos, estas firmas son procesadas por la CPU en su lugar. Esto asegura que las firmas personalizadas aún puedan ser aplicadas efectivamente, incluso si no se descargan al ASIC. Si se necesita utilizar tales firmas personalizadas, asegúrate de que la CPU del FortiGate tenga suficientes recursos para manejar la carga de procesamiento adicional.
Ejemplo:
config firewall policy
edit 1
set auto-asic-offload disable
endConsulta el Consejo Técnico: FortiGate – deshabilitar la aceleración del hardware.
Solución recomendada
La acción predeterminada se cambió a «drop» desde «pass» el 3 de diciembre de 2024. Por esta razón, en los registros de IPS, la firma IPS fue detectada porque estos registros eran anteriores al cambio realizado. Antes del cambio, la acción era «pass», por lo que la acción de la firma se detectó en lugar de ser bloqueada.
Comandos CLI utilizados
Para confirmar la versión de IPS a través de la CLI, utiliza el siguiente comando:
diagnose autoupdate versions
Una vez que la versión de IPS esté en 29.914 o superior, los registros de IPS deberían mostrar un bloqueo para estas firmas si se utiliza la acción predeterminada.
Buenas prácticas y recomendaciones
Asegúrate siempre de que el sistema esté actualizado y revisa la configuración de las políticas del firewall para evitar configuraciones incorrectas que pueden comprometer la seguridad de la red. Utiliza el CLI para verificar el estado de las firmas y aplica las configuraciones necesarias de forma regular.
Notas adicionales
Ejemplo de registro:
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!