Cómo solucionar problemas de flujo de tráfico en la implementación de FortiGate con Gateway Load Balancer (GWLB)

En este artículo, abordaremos el flujo de tráfico norte-sur en la implementación de FortiGate con GWLB en la nube de AWS. Este es un aspecto crítico para la configuración adecuada de la seguridad en la nube y para garantizar que las aplicaciones y cargas de trabajo funcionen de manera eficiente. A lo largo del artículo, proporcionaremos un diagnóstico paso a paso y soluciones recomendadas para optimizar el tráfico entre las VPC.

Índice

1 Descripción del problema
2 Alcance
3 Diagnóstico paso a paso
4 Solución recomendada
5 Comandos CLI utilizados
6 Buenas prácticas y recomendaciones
7 Notas adicionales

Descripción del problema

El flujo de tráfico norte-sur se refiere a cómo los datos entran y salen de las redes en la nube. En un entorno en la nube, es fundamental que este flujo esté correctamente configurado para evitar problemas de conectividad y rendimiento. Un error en la configuración de este tráfico puede provocar interrupciones en las aplicaciones y un aumento en la latencia.

Alcance

Este artículo se enfoca en la implementación de FortiGate VM en entornos de AWS utilizando Gateway Load Balancer (GWLB). Analizaremos cómo se maneja el tráfico dentro y fuera de las Virtual Private Clouds (VPC).

Diagnóstico paso a paso

A continuación, proporcionamos un desglose del flujo de tráfico en un entorno típico con dos VPC: una para el usuario y otra para la seguridad, donde se despliega FortiGate.

Topología:

En la imagen, se pueden observar dos VPC: la VPC del Cliente y la VPC de Seguridad. La VPC del usuario aloja las cargas de trabajo y aplicaciones, con dos subredes: una para la aplicación y otra para GWLB, donde se despliega el endpoint del Gateway Load Balancer (GWLBe) para redirigir el tráfico a GWLB. La VPC de seguridad despliega el FortiGate.

Flujo de tráfico entrante (flechas rojas):

El tráfico llega al Internet Gateway de la VPC del usuario.
El Internet Gateway está asociado con una tabla de rutas de ingreso, que contiene una ruta para la subred de la aplicación a través del GWLBe. Así, el tráfico fluye desde IGW hacia el GWLBe.
Luego, el tráfico pasa a través de GWLB en la VPC de seguridad, donde se encapsula con GENEVE y se envía al FortiGate.
FortiGate inspecciona el tráfico y lo reenvía a las instancias de la aplicación.

Flujo de tráfico saliente (flechas azules):

La subred de la aplicación está asociada con la tabla de ruta de la aplicación, donde hay una ruta predeterminada a través del GWLBe. Así, el tráfico iniciado desde las aplicaciones fluye hacia el GWLBe.
Desde el GWLBe, el tráfico se reenviará al FortiGate en la VPC de seguridad a través de GWLB.
FortiGate inspecciona el tráfico y lo envía al Internet Gateway de la VPC del usuario.
Finalmente, el tráfico sale del Internet Gateway hacia el Internet público.

Nota: Es necesario establecer rutas estáticas para todos estos flujos de tráfico redireccionados después del despliegue.

Solución recomendada

Para asegurar un flujo óptimo de tráfico entre las VPC, se recomiendan las siguientes configuraciones:

Verifique las configuraciones de las tablas de rutas para asegurarse de que estén correctamente asociadas con las subredes apropiadas.
Implemente las configuraciones de FortiGate para la inspección de tráfico, asegurándose de que se utilicen las políticas apropiadas para el filtrado.
Confirme que las reglas de firewall están correctamente configuradas para permitir o denegar el tráfico según sea necesario.

Comandos CLI utilizados

show router static
show firewall policy
diag deb core show

Estos comandos son útiles para verificar las rutas estáticas y las políticas de firewall en la configuración de FortiGate. El comando show router static le permitirá visualizar todas las rutas configuradas, mientras que show firewall policy muestra las políticas actuales del firewall. El comando diag deb core show es esencial para depurar al ver el estado del núcleo del sistema.

Buenas prácticas y recomendaciones

Para asegurar una implementación exitosa y óptima de FortiGate en entornos AWS, se recomienda:

Realizar auditorías regulares de las configuraciones de red y seguridad.
Implementar sistemas de monitoreo para auditar el tráfico y la actividad del firewall.
Capacitar al personal sobre mejores prácticas en la gestión de seguridad en la nube.

Notas adicionales

Es crucial estar al tanto de las actualizaciones de FortiGate y las mejores prácticas de AWS para asegurarse de que la configuración y las políticas cumplan con los estándares más recientes.

¿Te ha resultado útil??

0 / 0

Mila y César

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.

¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!

Deja una respuesta 0

Otras preguntas sobre <a href="https://todoforti.net/fortigate/">FortiGate</a>

Cómo solucionar la configuración de NAT de origen ‘One-to-One’ en un cortafuegos NGFW basado en políticas
Este artículo aborda la configuración de grupos de IP en el modo de NGFW basado en políticas. Es fundamental para optimizar la asignación de direcciones IP en entornos de red, especialmente cuando necesitamos realizar NAT (traducción de direcciones de red) para múltiples usuarios. A continuación, se presentará cómo configurarlo eficazmente en un dispositivo FortiGate. Índice1 Leer
Cómo resolver el error de creación de usuarios en Fortinet: revisión de logs y seguimiento de cambios
En este artículo, abordaremos un problema común relacionado con la creación de usuarios locales en dispositivos FortiGate. La capacidad de rastrear quién creó un usuario y cuándo es crucial para la seguridad y la gestión de la configuración. A continuación, explicaremos cómo acceder a los registros necesarios para identificar esta información, asegurando así una correcta Leer
Cómo solucionar errores de SKU en los accesorios de rack de FortiGate (orejas y rieles de rack)
Este artículo aborda la correcta identificación de las SKU para los accesorios de montaje en rack de FortiGate, según el modelo que se esté utilizando. Comprender qué SKU corresponde a cada unidad es crucial para garantizar una instalación adecuada y evitar problemas de compatibilidad. A continuación, se presentará un análisis detallado de las SKU, así Leer
Cómo solucionar el problema de sobrescritura de archivos ComLog en Fortinet
En este artículo, abordamos un problema común que puede afectar a los dispositivos FortiGate: el tamaño máximo de los archivos ComLog. Este asunto es relevante ya que, al alcanzar este límite, los registros de la consola pueden ser sobrescritos, perdiendo información valiosa. Este artículo le guiará en el diagnóstico y la solución de este problema Leer
Cómo solucionar el bucle de estado SENT-IMAGE en la actualización de Alta Disponibilidad (HA) de FortiGate
En este artículo, abordaremos un problema común que puede ocurrir durante el proceso de actualización de un par de FortiGate en alta disponibilidad (HA). Cuando el dispositivo primario se atasca en el estado «SENT-IMAGE», puede causar interrupciones en el servicio y afectar la seguridad de la red. A continuación, proporcionaremos una guía detallada sobre cómo Leer