Cómo solucionar el proxy transparente con encadenamiento de proxies en Fortinet

En este artículo, abordaremos cómo implementar una política de proxy web transparente en FortiGate que redirigirá todo el tráfico HTTPS/HTTP desde la red local a un servidor proxy remoto. Este problema es crítico ya que muchas organizaciones requieren supervisar y gestionar el tráfico web sin necesidad de configurar proxies individuales en cada cliente. La configuración adecuada asegurará que el tráfico se gestione de manera eficiente y segura.

Descripción del problema

Muchas empresas utilizan proxies para filtrar y supervisar el tráfico de Internet. Sin embargo, implementar un proxy en cada estación de trabajo puede ser complicado y poco práctico. Una solución más eficiente es utilizar un proxy web transparente, que permite redirigir todo el tráfico sin necesidad de modificar la configuración de los clientes.

Alcance

Esta guía se aplica a dispositivos FortiGate.

Diagnóstico paso a paso

A continuación, se describen los pasos necesarios para configurar un servidor proxy de reenvío en FortiGate:

  1. Configurar un servidor proxy de reenvío a través de la CLI:

    config web-proxy forward-server
    edit "ProxychainFTNT"
    set addr-type fqdn
    set fqdn "test.proxy.ftnt"
    set port 8080
    next
    end
    
  2. Configurar o editar la política LAN a WAN con lo siguiente:

    • Modo de inspección configurado como proxy.
    • Aactivado ‘http-policy-redirect’.
    • Establecer ‘deep-inspection’ en el perfil SSL/SSH.
    • Especificar el servidor ‘webproxy-forward-server’ creado.
    • Desactivar el resto de los perfiles UTM, ya que la inspección será realizada por el servidor proxy externo.

    Ejemplo de configuración:

    config firewall policy
    edit 0
    set name "LAN->Internet"
    set srcintf "port5" <--- LAN
    set dstintf "port1" <--- WAN
    set action accept
    set srcaddr "LAN_Subnet"
    set dstaddr "all"
    set schedule "always"
    set service "ALL"
    set inspection-mode proxy
    set http-policy-redirect enable
    set ssl-ssh-profile "deep-inspection"
    set logtraffic all
    set webproxy-forward-server "ProxychainFTNT"
    set nat enable
    next
    end
    
  3. Configurar una política de proxy transparente especificando el servidor proxy:

    config firewall proxy-policy
    edit 0
    set name "proxy-policy-transparent"
    set proxy transparent-web
    set srcintf "port5"
    set dstintf "port1"
    set srcaddr "LAN_Subnet"
    set dstaddr "all"
    set service "webproxy"
    set action accept
    set schedule "always"
    set webproxy-forward-server "ProxychainFTNT"
    next
    end
    

Solución recomendada

La solución recomendada consiste en seguir los pasos anteriores para garantizar que todo el tráfico de la red se redirija correctamente a través del proxy sin complicaciones adicionales para los usuarios finales.

Artículos relacionados  Cómo solucionar problemas con FSSO en Fortinet: Guía práctica para entender y resolver errores comunes

Comandos CLI utilizados

Aquí están los comandos utilizados en la configuración:

  • config web-proxy forward-server: Para configurar el servidor proxy de reenvío.
  • config firewall policy: Para definir la política de entrada y salida del firewall.
  • config firewall proxy-policy: Para establecer la política del proxy transparente.

Buenas prácticas y recomendaciones

– Asegúrate de que tu firewall esté actualizado para evitar vulnerabilidades.

– Revisa las políticas de firewall periódicamente para garantizar que cumplan con los requisitos de seguridad.

– Monitorea el tráfico que pasa a través del proxy para detectar posibles problemas.

Notas adicionales

Para optimizar el rendimiento del servidor proxy, considera implementar políticas de caché y revisar los registros de tráfico con regularidad. Además, asegúrate de que las excepciones y las configuraciones de seguridad se evalúen según las necesidades de tu organización.

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *