En este artículo, abordaremos una situación común en la que los usuarios de FortiGate enfrentan dificultades para activar FortiTokens debido a que el dispositivo se encuentra en un entorno «air-gapped», es decir, sin conexión a Internet. Este problema es relevante ya que afecta la seguridad al implementar la autenticación de dos factores (2FA). A continuación, proporcionaremos una guía paso a paso para resolver esta dificultad y garantizar una correcta activación de FortiTokens.
Índice
Descripción del problema
La activación de FortiTokens requiere de un código de activación, que generalmente se envía a los usuarios por correo electrónico. Sin embargo, en un entorno sin conexión a Internet, esta comunicación no es posible, lo que puede llevar a frustraciones y vulnerabilidades en la seguridad.
Alcance
Este artículo se aplicará principalmente a dispositivos FortiGate que operan en entornos aislados de la red.
Diagnóstico paso a paso
Para acceder al contenido del correo electrónico que el FortiGate intenta enviar, incluso sin conexión a Internet, debes configurar una dirección de correo electrónico no válida. Aunque no importa qué dirección se utilice, es esencial que el FortiGate acepte esta configuración.
Utiliza los siguientes comandos de depuración para visualizar el contenido del correo electrónico que el FortiGate envía:
diagnose debug resetdiagnose debug console timestamp enablediagnose debug application alertmail -1diagnose debug enable
Para detener la depuración, ejecuta los siguientes comandos:
diagnose debug disablediagnose debug reset
Solución recomendada
Después de enviar el correo electrónico, podrás ver la salida de la depuración, donde el código de activación será visible. Este código debe ser ingresado en la aplicación FortiToken para completar la activación.
Además, el código de activación también se puede obtener de los registros de eventos del sistema, ya que FortiGate registra la acción y el contenido del envío de activación de FortiToken al usuario final.
Comandos CLI utilizados
Los comandos utilizados son esenciales para la depuración y recuperación del código de activación. Aquí hay una breve descripción de cada uno:
diagnose debug reset: Resetea el estado de depuración para comenzar una nueva sesión.diagnose debug console timestamp enable: Habilita las marcas de tiempo en la consola de depuración para una mejor identificación de eventos.diagnose debug application alertmail -1: Configura el FortiGate para mostrar detalles sobre el correo electrónico de alerta que se intenta enviar.diagnose debug enable: Activa la depuración para la recopilación de datos.diagnose debug disable: Desactiva la depuración y detiene la recopilación de datos.
Buenas prácticas y recomendaciones
Es importante seguir buenas prácticas al manejar configuraciones en FortiGate:
- Asegúrate de que todas las configuraciones de correo electrónico sean seguras y estén correctamente validadas.
- Realiza respaldos regulares de tu configuración FortiGate para evitar la pérdida de datos importantes.
- Mantén el firmware del dispositivo actualizado para beneficiarte de las últimas mejoras de seguridad y funcionalidad.
Notas adicionales
Recuerda que trabajar en un entorno «air-gapped» puede requerir pasos adicionales para garantizar que la seguridad no se vea comprometida. Siempre verifica que la sincronización de tus configuraciones y la activación de dispositivos se realicen de manera adecuada para mantener la integridad de la red.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!