En este artículo, abordaremos un problema común relacionado con la configuración de FortiGate, donde los registros de logs que involucran direcciones IP de origen y destino 127.0.0.1 y el puerto UDP 12121 pueden ser confusos. Es crucial comprender este comportamiento para evitar malentendidos sobre el tráfico de red. A lo largo de este artículo, proporcionaremos un diagnóstico detallado y una solución recomendada para ayudar a los administradores a optimizar su configuración.
Índice
Descripción del problema
Cuando se visualizan los registros en FortiGate, es posible encontrar entradas donde tanto la dirección IP de origen como la de destino es 127.0.0.1, utilizando el puerto UDP 12121. Esto puede causar inquietud entre los administradores de red, ya que pueden pensar que se trata de un tráfico no deseado o un error de configuración.
Alcance
Este artículo se centra en el proceso de diagnóstico y comprensión de los registros generados en un dispositivo FortiGate, específicamente en relación con la configuración del log tap-device y sus implicaciones. El público objetivo incluye administradores de red y personal técnico que gestionan los dispositivos FortiGate.
Diagnóstico paso a paso
Los siguientes registros pueden aparecer cuando se usa la IP de origen y destino 127.0.0.1 con el puerto UDP 12121:
Solución recomendada
Cuando FortiGate está configurado como se indica a continuación, un suscriptor de logs llamado ‘tap-device’ envía los registros miglogd a un puerto UDP local 12121 para su uso con WebSocket:
Configuración recomendada:
config log tap-device
edit «custom»
set status enable
set port 12121
set format json
next
end
La dirección 127.0.0.1 siempre apunta a localhost, lo que significa que el tráfico permanece dentro de FortiGate y no sale del dispositivo, creando un bucle interno. Estos registros no causan problemas operativos y son parte del funcionamiento normal del sistema.
Comandos CLI utilizados
Los comandos CLI que se han utilizado para la configuración anterior son:
config log tap-device
edit «custom»
set status enable
set port 12121
set format json
next
end
Estos comandos permiten al administrador habilitar el registro de eventos y establecer el formato necesario para su uso en análisis y herramientas de monitoreo.
Buenas prácticas y recomendaciones
Es recomendable que los administradores de red mantengan una revisión periódica de los logs generados por FortiGate. Asegúrese de que la configuración de los registros sea apropiada para su entorno y de que se estén utilizando herramientas adecuadas para interpretar y analizar los datos de los logs. Además, mantener el firmware actualizado puede ayudar a prevenir errores y a mejorar la funcionalidad del dispositivo.
Notas adicionales
Al utilizar la configuración de tap-device, los administradores deben estar al tanto de la naturaleza del tráfico que se registra y tener en cuenta que el uso de la dirección IP localhost es normal en estos casos. Siempre se debe tener un plan de respuesta para abordar cualquier actividad inusual detectada en los registros, garantizando que la seguridad de la red no se vea comprometida.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!