Cómo solucionar problemas de conexión segura entre FortiGate y los servidores de FortiGuard

Este artículo aborda un problema común relacionado con la conexión entre FortiGate y los servidores de FortiGuard, que es crucial para la seguridad y funcionalidad de las soluciones de Fortinet. El establecimiento de una conexión segura garantiza la integridad de las actualizaciones y la comunicación segura del dispositivo. A continuación, se detallará qué pasos seguir para resolver cualquier inconveniente en este proceso.

Descripción del problema

El problema ocurre cuando la autenticación del servidor FortiGuard no se establece correctamente, lo que puede resultar en dificultades de conexión y en una falta de acceso a las actualizaciones necesarias para mantener la seguridad del dispositivo FortiGate. La correcta configuración y verificación de estos valores son esenciales para asegurar que las comunicaciones sean seguras.

Alcance

Este artículo se centra en la conexión entre FortiGate y los servidores de FortiGuard.

Diagnóstico paso a paso

Para diagnosticar problemas de conexión, es importante seguir el procedimiento de establecimiento de conexión mediante el protocolo TLS (Transport Layer Security). Los pasos involucrados incluyen la verificación de certificados y la autenticidad de la comunicación entre los dispositivos.

Solución recomendada

Para establecer una conexión con un servidor FortiGuard, es necesario verificar la autenticidad del servidor. Los servidores de FortiGuard utilizan un chequeo de protocolo de estado de certificado en línea (OCSP) durante el apretón de manos TLS. Un estado OCSP con sello de tiempo del certificado del servidor se añade a la respuesta TLS, lo que se puede visualizar mediante la captura de paquetes y los debugs del demonio de actualización.

Artículos relacionados  Se ha solicitado un servicio proxy incorrecto

Más información sobre OCSP se puede encontrar en esta página de glosario.

FGT_FGD.png

Estado OCSP de la solicitud del cliente SSL/TLS Hello:

FortiGate envía un mensaje ‘ClientHello’ que lista sus capacidades junto con una solicitud de estado OCSP.

[116] __ssl_cert_ctx_load: Added cert /etc/cert/factory/root_Fortinet_Factory.cer, root ca Fortinet_CA, idx 0 (default)
[497] ssl_ctx_use_builtin_store: Loaded Fortinet Trusted Certs
[517] ssl_ctx_use_builtin_store: Enable CRL checking.
[524] ssl_ctx_use_builtin_store: Enable OCSP Stapling.

Server Hello con un certificado y estado OCSP:

FortiGuard responde con un certificado del servidor y parámetros negociados basados en sus capacidades.

__upd_peer_vfy[334]-Server certificate OK.
__upd_peer_vfy[334]-Server certificate OK.
__upd_peer_vfy[334]-Server certificate OK.
__upd_peer_vfy[334]-Server certificate OK.
[399] __bio_mem_dump: OCSP status good

Información del Certificado del Cliente y Clave:

Basado en el método de intercambio de claves seleccionado en los dos pasos anteriores, el cliente generará una cadena aleatoria de bytes llamada ‘pre-master secret’, la encriptará con la clave pública del servidor y la enviará al servidor. La clave de sesión se genera y este mensaje indica al servidor que cambie a modo encriptado.

Verificación del Certificado, Finalizado (Cliente):

El mensaje ‘Certificate verify’ permite al servidor autenticar al cliente. El mensaje ‘Finished’ del cliente indica que el apretón de manos SSL se ha completado del lado del cliente.

Finalizado (Servidor):

El mensaje ‘Finished’ del servidor indica que el apretón de manos SSL se ha completado del lado del servidor.

Comunicación Encriptada:

La comunicación encriptada entre el cliente (FortiGate) y el servidor (FortiGuard) ha comenzado utilizando el algoritmo de encriptación/funciones hash negociadas durante el saludo del cliente/servidor y se ha intercambiado la clave secreta.

Comandos CLI utilizados

Para realizar diagnósticos y monitorear la conexión, puedes usar los siguientes comandos en la CLI de FortiGate:

get system performance status
get log memory status
diag debug flow filter addr (IP del FortiGuard)
diag debug flow trace start 100
diag debug enable

Buenas prácticas y recomendaciones

  • Verifica regularmente la configuración de los certificados y asegúrate de que estén actualizados.
  • Realiza capturas de paquetes para identificar problemas de conexión.
  • Mantén el firmware de FortiGate actualizado para garantizar las últimas correcciones de seguridad y rendimiento.
Artículos relacionados  Cómo resolver la configuración del túnel IPsec entre FortiGate y Cisco ASA mediante CLI

Notas adicionales

Es importante tener en cuenta que problemas de conectividad pueden ser causados por múltiples factores, incluyendo configuraciones de red y políticas de seguridad. Siempre se recomienda realizar un análisis exhaustivo de la red y de la configuración de FortiGate para identificar problemas subyacentes.

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *