En este artículo, abordaremos un problema técnico relacionado con los puertos TCP que FortiGate utiliza para las conexiones. Es importante entender cómo estos puertos funcionan y responden al tráfico, ya que esto puede afectar la seguridad y la performance de la red. Este artículo le proporcionará un diagnóstico detallado y soluciones recomendadas para gestionar adecuadamente estos puertos.
Índice
Descripción del problema
Este artículo describe la función de los diversos sockets TCP abiertos que FortiGate escucha, como se muestra en la salida del comando diagnose sys tcpsock, y determina si FortiGate responde al tráfico dirigido a esos puertos de escucha.
Alcance
FortiGate.
Diagnóstico paso a paso
El comando diagnose sys tcpsock lista únicamente la información sobre los sockets TCP y los puertos listados son los puertos de socket.
FortiGate# diagnose sys tcpsock
0.0.0.0:10400->0.0.0.0:0->state=listen err=0 socktype=4 rma=0 wma=0 fma=0 tma=0 inode=35053 process=206/authd
0.0.0.0:10401->0.0.0.0:0->state=listen err=0 socktype=4 rma=0 wma=0 fma=0 tma=0 inode=33870 process=328/authd
0.0.0.0:10402->0.0.0.0:0->state=listen err=0 socktype=4 rma=0 wma=0 fma=0 tma=0 inode=24433 process=329/authd
0.0.0.0:10403->0.0.0.0:0->state=listen err=0 socktype=4 rma=0 wma=0 fma=0 tma=0 inode=21499 process=330/authd
0.0.0.0:10404->0.0.0.0:0->state=listen err=0 socktype=4 rma=0 wma=0 fma=0 tma=0 inode=33893 process=331/authd
Los puertos (10400, 10401, 10402, 10403, 10404) son internos a FortiOS para redirigir las solicitudes de autenticación del portal cautivo de conexiones TELNET al daemon authd.
0.0.0.0:10500->0.0.0.0:0->state=listen err=0 socktype=4 rma=0 wma=0 fma=0 tma=0 inode=35059 process=206/authd
0.0.0.0:10501->0.0.0.0:0->state=listen err=0 socktype=4 rma=0 wma=0 fma=0 tma=0 inode=33876 process=328/authd
0.0.0.0:10502->0.0.0.0:0->state=listen err=0 socktype=4 rma=0 wma=0 fma=0 tma=0 inode=33909 process=329/authd
0.0.0.0:10503->0.0.0.0:0->state=listen err=0 socktype=4 rma=0 wma=0 fma=0 tma=0 inode=36868 process=330/authd
0.0.0.0:10504->0.0.0.0:0->state=listen err=0 socktype=4 rma=0 wma=0 fma=0 tma=0 inode=33899 process=331/authd
Los puertos (10500, 10501, 10502, 10503, 10504) son internos a FortiOS para redirigir las solicitudes de autenticación basadas en SAML de los clientes VPN IPsec de acceso remoto de FortiClient al daemon authd. El tráfico de autenticación SAML se recibirá primero en el puerto configurado en el sistema antes de ser redirigido internamente a los puertos TCP mencionados anteriormente.
Solución recomendada
Para mejorar la gestión de puertos en FortiGate, considere los siguientes pasos de configuración:
config system global
set auth-ike-saml-port <integer>
endAdicionalmente, hay varios puertos que están destinados para redirigir solicitudes, como los puertos (10000 a 10004) para el tráfico HTTP autenticado del portal cautivo y no responden al tráfico dirigido a estos puertos internos aunque el estado del socket indique que está escuchando.
Comandos CLI utilizados
diagnose sys tcpsockBuenas prácticas y recomendaciones
- Revise la configuración de los puertos internos regularmente para asegurarse de que están alineados con su política de seguridad.
- Utilice acceso basado en roles para gestionar quién puede modificar la configuración de los puertos.
- Realice auditorías periódicas de acceso a los puertos y revise los registros para detectar cualquier actividad sospechosa.
Notas adicionales
Es crucial recordar que aunque un puerto muestre un estado de «escuchando», no necesariamente significa que FortiGate acepta conexiones en ese puerto sin la configuración adecuada en el firewall.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!