Cómo solucionar problemas de sitios bloqueados por Cloudflare con la Inspección Profunda de Paquetes (DPI) en Fortinet

0
0
0

En este artículo, abordamos un problema que afecta el acceso a ciertos sitios web debido al protocolo «Encrypted Client Hello» (ECH) de Cloudflare. Este tema es crucial ya que puede bloquear el tráfico legítimo en firewalls FortiGate configurados con DPI (Deep Packet Inspection). A lo largo de este artículo, proporcionaremos un diagnóstico y una solución paso a paso para resolver este inconveniente.

Descripción del problema

Algunos sitios web pueden volverse inaccesibles durante el proceso de handshake TLS debido a la implementación del protocolo ECH por parte de Cloudflare. Este problema se intensifica en entornos que utilizan políticas de firewall para gestionar los dispositivos de origen, sobre todo cuando se integra el análisis profundo de paquetes (DPI).

Alcance

Este artículo es relevante para los dispositivos FortiGate que están configurados con DPI, ya que proporciona una solución específica para el problema mencionado.

Diagnóstico paso a paso

Para diagnosticar este problema, siga estos pasos:

  1. Verifique la configuración de su firewall FortiGate y asegúrese de que está habilitado el modo DPI.
  2. Identifique si el tráfico hacia los sitios bloqueados pasa por el firewall y si se registra alguna alerta relacionada con el protocolo ECH.
  3. Revise las políticas de firewall que podrían estar afectando el acceso a estos sitios web.

Solución recomendada

Si se determina que el problema se debe al protocolo ECH durante el handshake TLS, se recomienda eximir la dirección FQDN de Cloudflare relacionada con el ECH en el perfil SSL-SSH pertinente. Esto permitirá que el tráfico fluya sin ser bloqueado. A continuación se presentan los pasos para aplicar esta solución:


config firewall ssl-ssh-profile
    edit "nombre_del_perfil"
        config exemption
            edit 1
                set url "direccion_fqdn_de_cloudflare"
            next
        end
    next
end

Comandos CLI utilizados

Los comandos CLI presentados anteriormente son esenciales para configurar la exención en el perfil SSL-SSH. A continuación se explican:

  • config firewall ssl-ssh-profile: Inicia la configuración del perfil de SSL-SSH.
  • edit "nombre_del_perfil": Selecciona el perfil que desea modificar.
  • set url "direccion_fqdn_de_cloudflare": Establece la dirección FQDN que se exime del proceso de DPI.
Artículos relacionados  Cómo resolver los registros del filtro DNS con "Tipo de Consulta: Desconocido - Valor de Consulta: 65" en Fortinet

Buenas prácticas y recomendaciones

Al implementar esta solución, es recomendable:

  • Asegurarse de que las políticas de seguridad del firewall estén correctamente configuradas para permitir el tráfico de aplicaciones críticas.
  • Monitorizar de cerca los registros de tráfico para identificar cualquier comportamiento inusual post-cambio.
  • Considerar la actualización regular de las políticas de seguridad para adaptarse a las nuevas tendencias de ciberseguridad.

Notas adicionales

Si requiere más información sobre el protocolo «Encrypted Client Hello» y cómo manejarlo, visite el siguiente artículo de la base de conocimientos:

Consejo Técnico: Cómo bloquear TLS 1.3 Encrypted Client Hello (ECH) en firewalls FortiGate

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *