Este artículo trata el problema de que el tráfico no coincide con la política recién creada en un dispositivo FortiGate, a pesar de que las rutas y la política están configuradas correctamente. Este tema es crucial porque la correcta configuración de políticas de seguridad es esencial para el funcionamiento seguro de la red. En este artículo, se presentarán pasos para diagnosticar y resolver esta situación.
Índice
Descripción del problema
Se presenta un problema donde el tráfico no se corresponde con la nueva política de seguridad que se ha configurado. El tráfico sigue siendo gestionado por la política previamente existente a pesar de que se han añadido rutas y se ha creado una nueva política en la jerarquía de las mismas. Esto puede resultar en problemas de conectividad y seguridad.
Alcance
Este artículo se aplica al uso de dispositivos FortiGate.
Diagnóstico paso a paso
Para diagnosticar el problema, sigue los pasos a continuación:
Verifica que la política de seguridad esté creada correctamente. Esto incluye la confirmación de las interfaces de origen y destino, así como el uso de herramientas que permitan comprobar el emparejamiento del tráfico con la nueva política.
Confirma que la dirección de la política sea la correcta. En este escenario, la política debe ser desde
port2haciaIPsec.Utiliza herramientas de búsqueda de políticas para asegurarte de que el tráfico coincida con la nueva política, lo que confirma que el orden de las políticas es correcto.
Verifica si existe alguna sesión activa que pueda estar causando el conflicto. Utiliza los siguientes comandos:
diag sys session filter src <source ip> diag sys session filter dst <destination ip> diag sys session list
Solución recomendada
Una vez que hayas completado el diagnóstico, sigue estos pasos para solucionar el problema:
- Si existen sesiones activas con una duración mucho mayor que la política creada, necesitarás limpiar esas sesiones. Usa los siguientes comandos:
diag sys session filter src <source ip>
diag sys session filter dst <destination ip>
diag sys session list --> Este comando listará las sesiones activas actuales que coinciden con el filtro anterior.
diag sys session clear --> Este comando limpiará únicamente la sesión que coincida con el filtro anterior.Después de limpiar la sesión, el tráfico debería poder coincidir con la nueva política creada.
Comandos CLI utilizados
Los siguientes comandos CLI son esenciales para el diagnóstico y la resolución del problema:
diag sys session filter src <source ip>– Filtra sesiones por dirección IP de origen.diag sys session filter dst <destination ip>– Filtra sesiones por dirección IP de destino.diag sys session list– Muestra las sesiones activas en la filtración actual.diag sys session clear– Limpia la sesión filtrada, permitiendo que el tráfico coincida con la nueva política.
Buenas prácticas y recomendaciones
Para evitar problemas futuros relacionados con políticas de seguridad en FortiGate:
- Asegúrate de revisar y limpiar regularmente las sesiones activas que no son necesarias.
- Ponte en práctica mantener una documentación clara sobre las configuraciones de políticas y rutas.
- Realiza pruebas periódicas para verificar el correcto funcionamiento de las políticas de seguridad implementadas.
Notas adicionales
Es importante estar al tanto de que los cambios en la configuración de las políticas de seguridad pueden no reflejarse de inmediato si hay sesiones activas. Por lo tanto, limpiar estas sesiones es clave para asegurar que el tráfico respete la nueva configuración de seguridad.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!