En este artículo, abordaremos cómo implementar una política de proxy web transparente en FortiGate que redirigirá todo el tráfico HTTPS/HTTP desde la red local a un servidor proxy remoto. Este problema es crítico ya que muchas organizaciones requieren supervisar y gestionar el tráfico web sin necesidad de configurar proxies individuales en cada cliente. La configuración adecuada asegurará que el tráfico se gestione de manera eficiente y segura.
Índice
Descripción del problema
Muchas empresas utilizan proxies para filtrar y supervisar el tráfico de Internet. Sin embargo, implementar un proxy en cada estación de trabajo puede ser complicado y poco práctico. Una solución más eficiente es utilizar un proxy web transparente, que permite redirigir todo el tráfico sin necesidad de modificar la configuración de los clientes.
Alcance
Esta guía se aplica a dispositivos FortiGate.
Diagnóstico paso a paso
A continuación, se describen los pasos necesarios para configurar un servidor proxy de reenvío en FortiGate:
-
Configurar un servidor proxy de reenvío a través de la CLI:
config web-proxy forward-server edit "ProxychainFTNT" set addr-type fqdn set fqdn "test.proxy.ftnt" set port 8080 next end -
Configurar o editar la política LAN a WAN con lo siguiente:
- Modo de inspección configurado como proxy.
- Aactivado ‘http-policy-redirect’.
- Establecer ‘deep-inspection’ en el perfil SSL/SSH.
- Especificar el servidor ‘webproxy-forward-server’ creado.
- Desactivar el resto de los perfiles UTM, ya que la inspección será realizada por el servidor proxy externo.
Ejemplo de configuración:
config firewall policy edit 0 set name "LAN->Internet" set srcintf "port5" <--- LAN set dstintf "port1" <--- WAN set action accept set srcaddr "LAN_Subnet" set dstaddr "all" set schedule "always" set service "ALL" set inspection-mode proxy set http-policy-redirect enable set ssl-ssh-profile "deep-inspection" set logtraffic all set webproxy-forward-server "ProxychainFTNT" set nat enable next end -
Configurar una política de proxy transparente especificando el servidor proxy:
config firewall proxy-policy edit 0 set name "proxy-policy-transparent" set proxy transparent-web set srcintf "port5" set dstintf "port1" set srcaddr "LAN_Subnet" set dstaddr "all" set service "webproxy" set action accept set schedule "always" set webproxy-forward-server "ProxychainFTNT" next end
Solución recomendada
La solución recomendada consiste en seguir los pasos anteriores para garantizar que todo el tráfico de la red se redirija correctamente a través del proxy sin complicaciones adicionales para los usuarios finales.
Comandos CLI utilizados
Aquí están los comandos utilizados en la configuración:
config web-proxy forward-server: Para configurar el servidor proxy de reenvío.config firewall policy: Para definir la política de entrada y salida del firewall.config firewall proxy-policy: Para establecer la política del proxy transparente.
Buenas prácticas y recomendaciones
– Asegúrate de que tu firewall esté actualizado para evitar vulnerabilidades.
– Revisa las políticas de firewall periódicamente para garantizar que cumplan con los requisitos de seguridad.
– Monitorea el tráfico que pasa a través del proxy para detectar posibles problemas.
Notas adicionales
Para optimizar el rendimiento del servidor proxy, considera implementar políticas de caché y revisar los registros de tráfico con regularidad. Además, asegúrate de que las excepciones y las configuraciones de seguridad se evalúen según las necesidades de tu organización.
¿Te ha resultado útil??
0 / 0

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!