Este artículo aborda un problema común relacionado con la conexión entre FortiGate y los servidores de FortiGuard, que es crucial para la seguridad y funcionalidad de las soluciones de Fortinet. El establecimiento de una conexión segura garantiza la integridad de las actualizaciones y la comunicación segura del dispositivo. A continuación, se detallará qué pasos seguir para resolver cualquier inconveniente en este proceso.
Índice
Descripción del problema
El problema ocurre cuando la autenticación del servidor FortiGuard no se establece correctamente, lo que puede resultar en dificultades de conexión y en una falta de acceso a las actualizaciones necesarias para mantener la seguridad del dispositivo FortiGate. La correcta configuración y verificación de estos valores son esenciales para asegurar que las comunicaciones sean seguras.
Alcance
Este artículo se centra en la conexión entre FortiGate y los servidores de FortiGuard.
Diagnóstico paso a paso
Para diagnosticar problemas de conexión, es importante seguir el procedimiento de establecimiento de conexión mediante el protocolo TLS (Transport Layer Security). Los pasos involucrados incluyen la verificación de certificados y la autenticidad de la comunicación entre los dispositivos.
Solución recomendada
Para establecer una conexión con un servidor FortiGuard, es necesario verificar la autenticidad del servidor. Los servidores de FortiGuard utilizan un chequeo de protocolo de estado de certificado en línea (OCSP) durante el apretón de manos TLS. Un estado OCSP con sello de tiempo del certificado del servidor se añade a la respuesta TLS, lo que se puede visualizar mediante la captura de paquetes y los debugs del demonio de actualización.
Más información sobre OCSP se puede encontrar en esta página de glosario.

Estado OCSP de la solicitud del cliente SSL/TLS Hello:
FortiGate envía un mensaje ‘ClientHello’ que lista sus capacidades junto con una solicitud de estado OCSP.
[116] __ssl_cert_ctx_load: Added cert /etc/cert/factory/root_Fortinet_Factory.cer, root ca Fortinet_CA, idx 0 (default)
[497] ssl_ctx_use_builtin_store: Loaded Fortinet Trusted Certs
[517] ssl_ctx_use_builtin_store: Enable CRL checking.
[524] ssl_ctx_use_builtin_store: Enable OCSP Stapling.
Server Hello con un certificado y estado OCSP:
FortiGuard responde con un certificado del servidor y parámetros negociados basados en sus capacidades.
__upd_peer_vfy[334]-Server certificate OK.
__upd_peer_vfy[334]-Server certificate OK.
__upd_peer_vfy[334]-Server certificate OK.
__upd_peer_vfy[334]-Server certificate OK.
[399] __bio_mem_dump: OCSP status good
Información del Certificado del Cliente y Clave:
Basado en el método de intercambio de claves seleccionado en los dos pasos anteriores, el cliente generará una cadena aleatoria de bytes llamada ‘pre-master secret’, la encriptará con la clave pública del servidor y la enviará al servidor. La clave de sesión se genera y este mensaje indica al servidor que cambie a modo encriptado.
Verificación del Certificado, Finalizado (Cliente):
El mensaje ‘Certificate verify’ permite al servidor autenticar al cliente. El mensaje ‘Finished’ del cliente indica que el apretón de manos SSL se ha completado del lado del cliente.
Finalizado (Servidor):
El mensaje ‘Finished’ del servidor indica que el apretón de manos SSL se ha completado del lado del servidor.
Comunicación Encriptada:
La comunicación encriptada entre el cliente (FortiGate) y el servidor (FortiGuard) ha comenzado utilizando el algoritmo de encriptación/funciones hash negociadas durante el saludo del cliente/servidor y se ha intercambiado la clave secreta.
Comandos CLI utilizados
Para realizar diagnósticos y monitorear la conexión, puedes usar los siguientes comandos en la CLI de FortiGate:
get system performance status
get log memory status
diag debug flow filter addr (IP del FortiGuard)
diag debug flow trace start 100
diag debug enable
Buenas prácticas y recomendaciones
- Verifica regularmente la configuración de los certificados y asegúrate de que estén actualizados.
- Realiza capturas de paquetes para identificar problemas de conexión.
- Mantén el firmware de FortiGate actualizado para garantizar las últimas correcciones de seguridad y rendimiento.
Notas adicionales
Es importante tener en cuenta que problemas de conectividad pueden ser causados por múltiples factores, incluyendo configuraciones de red y políticas de seguridad. Siempre se recomienda realizar un análisis exhaustivo de la red y de la configuración de FortiGate para identificar problemas subyacentes.
¿Te ha resultado útil??
0 / 0

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!