Cómo solucionar la creación de una firma personalizada en FortiGate WAF (Firewall de Aplicaciones Web)

Este artículo aborda cómo crear una firma personalizada para el WAF (Web Application Firewall) de FortiGate. La capacidad de establecer firmas personalizadas es crucial para controlar el acceso a ciertas URL y mejorar la seguridad de las aplicaciones web. Este documento proporcionará una guía paso a paso para llevar a cabo esta configuración, asegurando que puedas gestionar adecuadamente los falsos positivos y mejorar la protección de tus aplicaciones.

Índice

1 Descripción del problema
2 Alcance
3 Diagnóstico paso a paso
4 Solución recomendada
5 Ejemplo de firma personalizada
6 Configuración para bloquear un sub-path
7 Comandos CLI utilizados
8 Buenas prácticas y recomendaciones
9 Notas adicionales

Descripción del problema

Las firmas del WAF son cruciales para proteger las aplicaciones web de amenazas comunes. Sin embargo, puede haber ocasiones en las que los sistemas generen falsos positivos, bloqueando accesos que en realidad deberían ser permitidos. La creación de firmas personalizadas te permitirá definir reglas específicas para gestionar estas situaciones.

Alcance

Este artículo es relevante para usuarios de FortiGate que utilizan la funcionalidad de Web Application Firewall. La creación de firmas personalizadas es una técnica avanzada que permite un control más granular sobre el tráfico web que atraviesa el dispositivo FortiGate.

Diagnóstico paso a paso

Para crear una firma personalizada, primero necesitas habilitar la funcionalidad del WAF. Para ello, sigue estos pasos:

Accede a la interfaz de usuario de FortiGate.
Navega a System -> Feature Visibility -> Security Features -> Web Application Firewall y habilita la función.
Una vez activada, podrás configurar las firmas personalizadas que desees.

Solución recomendada

La configuración de la firma personalizada requiere el uso de la línea de comandos (CLI) de FortiGate. Aquí te mostramos un ejemplo básico para crear una firma que permita una URL específica.

config custom-signature
    edit <nombre>
        set status [enable|disable]
        set action [allow|block]
        set log [enable|disable]
        set severity [high|medium|...]
        set direction [request|response]
        set case-sensitivity [disable|enable]
        set pattern {cadena}
        set target {opcion1}, {opcion2}, ...    
    next
end

Nota: Las firmas personalizadas solo pueden crearse mediante la CLI, y no se pueden utilizar expresiones regulares para el valor de {cadena} en el comando set pattern.

Ejemplo de firma personalizada

Si deseas permitir el acceso a una URL específica como ‘community.fortinet.com’, puedes usar el siguiente ejemplo:

config custom-signature
    edit allow_fortinet
        set status enable
        set action allow
        set log enable
        set severity medium
        set direction request
        set case-sensitivity disable
        set pattern community.fortinet.com
    next
end

Las líneas clave aquí son:

set direction request
set pattern community.fortinet.com
set target req-header

Esta firma solo coincidirá con la parte de la dirección URL especificada.

Configuración para bloquear un sub-path

Si deseas bloquear el acceso a ‘FortiSIEM Community’, que es un sub-path en la URL https://community.fortinet.com/t5/FortiSIEM/gh-p/fortisiem, puedes usar el siguiente ejemplo:

config custom-signature 
    edit block_fortinet_fortiseim
        set status enable
        set action block
        set log enable
        set severity medium
        set direction request
        set case-sensitivity disable
        set pattern "t5/FortiSIEM/*"
        set target req-uri
    next
end

Las líneas más importantes aquí son:

set direction request
set pattern "t5/FortiSIEM/*"
set target req-uri

Habilitar el registro a nivel de firma te ayudará a verificar si las firmas personalizadas están coincidiendo con el tráfico adecuado.

Comandos CLI utilizados

A continuación, se listan los comandos CLI utilizados anteriormente en el artículo:

config custom-signature
edit [nombre]
set status [enable|disable]
set action [allow|block]
set log [enable|disable]
set severity [high|medium|...]
set direction [request|response]
set case-sensitivity [disable|enable]
set pattern {cadena}
set target {opcion1}, {opcion2}, ...
next
end

Buenas prácticas y recomendaciones

Al crear firmas personalizadas, ten en cuenta las siguientes recomendaciones:

Realiza pruebas exhaustivas para asegurar que las firmas funcionan como se espera.
Monitorea el tráfico para detectar patrones inesperados o falsos positivos.
Documenta todas las configuraciones personalizadas para futuras referencias.

Notas adicionales

Asegúrate de tener en cuenta las actualizaciones del sistema operativo de FortiGate, ya que pueden afectar la funcionalidad del WAF y la creación de firmas personalizadas. Mantente informado sobre las mejores prácticas de seguridad y las nuevas configuraciones disponibles.

¿Te ha resultado útil??

0 / 0

Mila y César

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.

¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!

Deja una respuesta 0

Otras preguntas sobre <a href="https://todoforti.net/fortigate/">FortiGate</a>

Sugerencia para la resolución de problemas: el clúster de problemas de sincronización de alta disponibilidad no está sincronizado
Descripción Este artículo describe cómo solucionar problemas de sincronización de alta disponibilidad cuando el clúster no está sincronizado. Solución Los siguientes son los comandos que se ingresan en el modo global de configuración. obtener el estado del sistema ha <– Muestra información detallada de HA y el motivo de la conmutación por error del clúster Leer
Cómo solucionar la conexión automática a VPN IPsec utilizando la sesión de inicio de Entra ID en políticas de firewall
En este artículo, abordamos cómo configurar la conexión automática a una VPN IPsec utilizando la información de sesión de inicio de Microsoft Entra ID, con el fin de permitir múltiples grupos de usuarios en las políticas de cortafuegos. Este enfoque es importante para mejorar la seguridad y la gestión de accesos en entornos empresariales, y Leer
Cómo solucionar el error ERR_ECH_NOT_NEGOTIATED en Fortinet
El artículo aborda un problema común en los dispositivos FortiGate relacionado con errores ECH (Encrypted Client Hello) que pueden impedir el acceso a ciertas páginas web. Este problema es importante porque puede afectar la seguridad y la funcionalidad de la navegación web. A continuación, se proporcionan pasos detallados para diagnosticar y resolver estos errores, mejorando Leer
Conmutador de hardware, conmutador de software, conmutador VLAN – Casos de uso, detalles compilados
Descripción Este artículo describe que la documentación sobre este tema es bastante escasa y muchas veces no hay nada para empezar. La mayoría de las preguntas se refieren a: ¿qué tipo de switch utilizar en mi topología? ¿Cómo permitir más VLANs en un switch, necesita un puerto troncal? Este artículo no es exhaustivo, no es Leer
Diferencia y comprensión entre NPU Vdom link, NPU Vdom link con VLAN y Vdom link
Descripción Este artículo describe la diferencia básica entre NPU vdom link, NPU vdom link con VLAN ID y Vdom link. Alcance FortiGate. Solución – NPU Vdom Link. Los enlaces NPU vdom están en construcción y en el momento que se habilita el modo multi vdom el nombre de la interfaz ‘npu0_vlink’ es visible en FortiGate Leer