En el ámbito de la ciberseguridad, es fundamental comprender cómo las configuraciones de acceso, como las etiquetas ZTNA (Zero Trust Network Access), impactan en el comportamiento del tráfico en un FortiGate. Este artículo aborda un problema específico que se presenta cuando se eliminan estas etiquetas y cómo gestionar las sesiones activas que pueden quedar bloqueadas si no se toman las medidas adecuadas. A continuación, se explicará detalladamente el problema, su alcance y cómo aplicar la solución recomendada.
Índice
Descripción del problema
Cuando se utiliza la telemetría ZTNA, las etiquetas y la aplicación de políticas, las etiquetas ZTNA se sincronizan en tiempo real con el FortiGate. Este dispositivo utiliza etiquetas para otorgar acceso basado en las etiquetas ZTNA aplicadas en la regla ZTNA. Sin embargo, en versiones anteriores a la 7.2.0, al eliminar una etiqueta ZTNA de un dispositivo, si existía una sesión activa (como un ping extendido, RDP o conexión SSH), la sesión original permanecía activa, independientemente de que la etiqueta se hubiera eliminado en el endpoint. Esto puede llevar a situaciones no deseadas en la gestión de la seguridad de la red.
Alcance
Este problema afecta a las versiones FortiGate v7.2.0 y posteriores, así como v7.4.0 y versiones superiores.
Diagnóstico paso a paso
El siguiente ejemplo ilustra el comportamiento de las sesiones y cómo puede llevarse a cabo un diagnóstico. Cuando un cliente (endpoint) se autentica, recibe las etiquetas ZTNA, actualizando así el objeto dinámico en FortiGate. En este caso, el tráfico del endpoint se permite correctamente de acuerdo con las reglas de etiqueta ZTNA. Sin embargo, si el cliente cierra sesión o se desconecta del servidor EMS, el objeto dinámico se actualiza de forma adecuada en el FortiGate, pero la dirección IP del endpoint puede seguir asociada al objeto dinámico.
A continuación, se presentan los comandos utilizados para diagnosticar la situación:
FW-FGT-VM # diag firewall dynamic list EMS_ZTNA_APP_SERVERS
CMDB name: EMS_ZTNA_APP_SERVERS
TAG name: APP_SERVERS
EMS_ZTNA_APP_SERVERS: ID(115)
ADDR(192.168.30.47)
ADDR(192.168.30.35)
ADDR(192.168.30.108) <---
ADDR(192.168.30.126)
Total IP dynamic range blocks: 0.
Total IP dynamic addresses: 4.Para visualizar las sesiones activas, se puede usar el siguiente comando:
FW-FGT-VM # get system session list | grep 192.168.30.108Al establecerse una sesión SSH, esta se mantiene activa incluso después de que la etiqueta se haya eliminado del endpoint. Esto puede constituir un riesgo de seguridad ya que la sesión no se bloquea automáticamente.
Solución recomendada
Para evitar este comportamiento y forzar al FortiGate a revalidar las sesiones activas cuando se produce una actualización de la dirección dinámica, se ha introducido el nuevo comando set dyn-addr-session-check. Este ajuste determina si las sesiones activas deben ser reiniciadas cuando se produce un cambio en una dirección dinámica (como un FQDN o un objeto basado en SDN). Este comando es esencial para gestionar las políticas con direcciones dinámicas, asegurando la seguridad al terminar sesiones obsoletas mientras permite flexibilidad en escenarios donde la continuidad de la sesión es crucial. Por defecto, el 'dyn-addr-session-check' está desactivado en FortiOS.
config system settings
set dyn-addr-session-check
enable <----- Habilitar la comprobación de sesiones sucias por cambios en direcciones dinámicas.
disable <----- Deshabilitar la comprobación de sesiones sucias por cambios en direcciones dinámicas.
endUna vez habilitada esta opción, cuando la etiqueta se elimine del endpoint y se actualice en FortiGate, la sesión anterior se marcará como 'sucia', y luego se cambiará a 'bloqueada' después de unos 10 segundos.
Comandos CLI utilizados
A continuación, se presentan los comandos utilizados para la gestión de la configuración:
FW-FGT-VM # diag firewall dynamic list EMS_ZTNA_APP_SERVERS
FW-FGT-VM # diag sys session list
FW-FGT-VM # get system session list | grep 192.168.12.99Buenas prácticas y recomendaciones
- Habilitar la opción de 'dyn-addr-session-check' en situaciones donde se gestionen direcciones dinámicas.
- Revisar las sesiones activas periódicamente y aplicar políticas para bloquear sesiones obsoletas.
- Documentar y auditar cambios en las configuraciones de ZTNA para mejorar la trazabilidad y seguridad.
Notas adicionales
La constante actualización y revisión de las configuraciones de seguridad es crucial para proteger la infraestructura de red de su organización. Estar al tanto de los cambios y adaptaciones en las políticas de acceso ayuda a mitigar riesgos y mantener un entorno seguro.
¿Te ha resultado útil??
0 / 0

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!