Cómo solucionar errores de 'TCP reset from Server' en los registros LDAP de FortiSASE

En este artículo, abordaremos un problema común en arquitecturas configuradas con FortiSASE y FortiGate, donde se observan múltiples registros de «TCP reset from Server» en los logs de LDAP. Este fenómeno puede afectar la autenticación de los usuarios, generando retrasos o bloqueos en el acceso a los recursos. A través de este artículo, explicaremos en detalle las causas de este comportamiento, cómo diagnosticarlo y las soluciones recomendadas para resolverlo.

Índice

1 Descripción del problema
2 Alcance
3 Diagnóstico paso a paso
4 Solución recomendada
5 Comandos CLI utilizados
6 Buenas prácticas y recomendaciones
7 Notas adicionales

Descripción del problema

En entornos donde múltiples usuarios se autentican desde la misma dirección IP, es habitual observar registros de reinicios de TCP en los logs de LDAP. Esto puede ocurrir cuando demasiadas solicitudes se envían desde la misma dirección IP en un tiempo muy corto, lo que provoca que el servidor envíe una respuesta de reinicio TCP como medida de seguridad.

Alcance

Este artículo se centra en los dispositivos FortiSASE y FortiGate, y en cómo su configuración puede influir en los logs de LDAP y en el comportamiento de la autenticación.

Diagnóstico paso a paso

Para diagnosticar el problema de «TCP reset from Server», sigue estos pasos:

Accede a los logs de tráfico de FortiGate o FortiSASE.
Busca las entradas que contengan «server-rst». Esto indica que el servidor ha reiniciado la conexión.
Identifica si las entradas provienen de múltiples autenticaciones desde la misma IP en un intervalo corto.

Solución recomendada

Log en GUI:

Log en crudo:

date=2024-10-15 time=17:25:42 id=7426054899244204079 itime=»2024-10-15 17:25:42″ euid=1122 epid=1172 dsteuid=3 dstepid=101 logflag=1 logver=702086407 type=»traffic» subtype=»forward» level=»notice» action=»server-rst» policyid=1000 sessionid=182256341 srcip=10.212.128.26 dstip=10.10.2.5 transip=172.16.221.1 srcport=52628 dstport=389 transport=52628 trandisp=»snat» duration=5 proto=6 vrf=10 sentbyte=2479 rcvdbyte=894 sentpkt=7 rcvdpkt=7 logid=0000000013 user=»jwxxxxxx » unauthuser=»jwxxxx» service=»LDAP» app=»LDAP» appcat=»unknown» fctuid=»XXXXXXXXXXXXXX» srcintfrole=»undefined» dstintfrole=»undefined» policytype=»policy» eventtime=1729013142080571813 vwlid=1000 poluuid=»2d50da02-beec-51ee-84a9-c987d5fe7a20″ srccountry=»Reserved» dstcountry=»Reserved» srcintf=»ssl.root» dstintf=»hub1″ unauthusersource=»forticlient» authserver=»FORTISASE_SAML_SERVER-ext» applist=»internal-FFH_SPA_Default» vpntype=»ipsecvpn» policyname=»Allow-All_Private_Traffic» vwlquality=»Seq_num(101 hub1), alive, sla(0x1), gid(0), cfg_order(0), local cost(5), selected» direction=internal tz=»+0000″ srcdomain=»ffhl.intr» vwlname=»to_hub» devid=»FGVMXXXXX» vd=»root» dtime=»2024-10-15 17:25:42″ itime_t=1729013142 devname=»Toronto_Canada»

Explicación:

Cuando múltiples usuarios se autentican desde la misma dirección IP y envían varias solicitudes rápidamente, el servidor puede responder con un reinicio TCP como parte de sus medidas de seguridad, incluyendo la eliminación de paquetes. Si el SNAT está habilitado en las políticas de FortiSASE (comportamiento predeterminado), estos paquetes de reinicio [RST] son esperados del lado del servidor. El Controlador de Dominio envía estos reinicios para la conexión cuando múltiples usuarios intentan autenticar en un corto período, como parte de su mecanismo de defensa contra intentos maliciosos. Sin embargo, los intentos de autenticación subsiguientes suelen tener éxito.

Nota: Para las instancias de FortiSASE recién provisionadas, el SNAT está deshabilitado por defecto y no reflejará el mismo comportamiento. Las unidades provisionadas anteriormente pueden seguir mostrando esto si el SNAT no se desactivó previamente.

Comandos CLI utilizados

A continuación se presentan algunos comandos útiles para monitorizar y diagnosticar el problema:

diagnose debug enable – Habilita el modo de depuración de FortiGate.
diagnose debug flow show console enable – Muestra los flujos en la consola para facilitar el diagnóstico.
diagnose sniffer packet any 'port 389' 4 – Captura paquetes en el puerto LDAP para análisis.

Buenas prácticas y recomendaciones

Para evitar problemas similares en el futuro, se recomienda:

Implementar medidas de control de acceso que limiten el número de autenticaciones desde una misma IP en intervalos cortos.
Revisar y ajustar la configuración de SNAT según las necesidades de tu red.
Monitorear regularmente los logs de tráfico y autenticación para detectar patrones inusuales.

Notas adicionales

Es esencial mantener tu dispositivo FortiGate y FortiSASE actualizado para beneficiarte de las últimas mejoras en seguridad y rendimiento. Revisa la documentación oficial de Fortinet para más información sobre las mejores prácticas de configuración y mantenimiento continuo.

¿Te ha resultado útil??

0 / 0

Mila y César

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.

¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!

Deja una respuesta 0

Otras preguntas sobre <a href="https://todoforti.net/fortigate/">FortiGate</a>

Cómo solucionar el alto consumo de CPU del daemon ‘node’ al tener múltiples administradores conectados en la GUI de Fortinet
En este artículo abordaremos un problema que afecta a los dispositivos FortiGate, donde el daemon ‘node’ consume altos recursos de CPU al estar múltiples administradores conectados a dispositivos secundarios dentro de un Security Fabric. Este problema puede resultar en una carga lenta de las páginas de la GUI de FortiGate, lo cual es crítico para Leer
Alerta por correo electrónico cuando la interfaz WAN se cae
Hola amig@s 👏, soy César Sánchez y hoy os vengo a contar: ⤵️ Alerta por correo electrónico cuando la interfaz WAN se cae Configuración. 1) Activación de la automatización: Especifique el identificador de eventos de registro y es posible filtrar por una interfaz específica, por ejemplo: WAN1. 2) Acción de automatización: Especifica la acción tomada Leer
Cómo resolver el error de SSL VPN que asigna una dirección IP fuera del rango de la red del túnel
En este artículo, analizaremos un problema relacionado con la configuración de direcciones IP en un entorno de FortiGate, donde los clientes de una VPN SSL no reciben las direcciones IP esperadas de un rango predefinido. Esto es importante porque una configuración incorrecta puede afectar la conectividad y el acceso de los usuarios remotos a la Leer
Cómo solucionar el problema de bloqueo de resoluciones DNS en Fortinet DNS Filter con dominios en mayúsculas
El presente artículo aborda un problema relacionado con el filtro DNS en los dispositivos FortiGate, concretamente al utilizar una fuente de amenazas de dominio externo para bloquear ciertos nombres de dominio. Este problema es crítico ya que podría permitir la resolución de nombres de dominio en mayúsculas, a pesar de que deberían ser bloqueados. A Leer
Cómo solucionar problemas de tráfico multicast en FortiGate para pruebas relacionadas con multicast
En este artículo abordamos cómo generar tráfico multicast, una tarea esencial para pruebas de replicación de problemas o para pruebas previas a la implementación. Entender cómo manejar este tipo de tráfico es crucial, ya que no es tan directo como el tráfico unicast. A continuación, se explicarán opciones efectivas para realizar estas pruebas utilizando FortiGate. Leer

Cómo solucionar errores de ‘TCP reset from Server’ en los registros LDAP de FortiSASE