Cómo solucionar problemas del agente TS-FSSO en Fortinet

Este artículo aborda un problema común en entornos de Fortinet, específicamente la falta de eventos de inicio de sesión en un Agente de Recolección FSSO (FSSO CA) proveniente de un Agente TS. Este problema es crítico para la monitorización y seguridad del sistema, ya que la correcta comunicación entre estos componentes es esencial para el funcionamiento del FortiGate. A lo largo de este artículo, se detallarán los pasos para diagnosticar y resolver este problema.

Descripción del problema

La falta de eventos de inicio de sesión puede deberse a problemas de comunicación entre el FSSO CA y el Agente TS. Esto puede afectar la capacidad de supervisar y gestionar eventos de seguridad en tiempo real, lo que a su vez puede representar un riesgo para la infraestructura de red.

Alcance

Este artículo se centra en el Agente de Recolección FSSO y el Agente TS, proporcionando un enfoque sistemático para resolver problemas de comunicación entre ambos.

Diagnóstico paso a paso

1. Verificar la comunicación entre el FSSO CA y el Agente TS. Realizar un sniffer en el puerto entre ellos, siendo el puerto por defecto 8002, UDP. La conexión segura utiliza TLS sobre TCP.
2. Confirmar que no existe una política de firewall que esté bloqueando el tráfico entre los agentes.
3. Si el tráfico está permitido por las políticas de firewall, verificar desactivando el firewall del sistema operativo del servidor donde está instalado el Agente TS.
4. Comprobar que no haya un antivirus instalado en el host que esté impidiendo la comunicación entre los agentes. Intente desactivarlo y probar la comunicación.
5. Realizar los mismos pasos en el lado del FSSO CA: desactivar el firewall del sistema operativo y el antivirus para verificar la comunicación.
6. Ejecutar los siguientes comandos en la consola del host donde está instalado el Agente TS (ejecutar los comandos como administrador, haciendo clic derecho y seleccionando ‘ejecutar como administrador’):

netsh int ipv4 show dynamicport tcp
netsh int ipv4 show dynamicport udp
sc query fssota
msinfo32.exe    <—– Guardar salidas como archivo.

7. Reinstalar el Agente TS utilizando una cuenta de administrador.
8. Iniciar sesión en el servidor donde está instalado el Agente TS con un usuario de prueba, luego:

• Ejecutar el siguiente comando en la consola CMD del usuario que ha iniciado sesión, y verificar con los administradores de dominio sobre las GPOs aplicadas (si las hay):

gpresult /r

• Ejecutar el mismo comando utilizando una cuenta de administrador (mantener la sesión de inicio de sesión del usuario de prueba, ejecutando como administrador):

gpresult /r

9. Otra opción es instalar un nuevo Windows Server, configurar el Agente TS y comprobar la comunicación.
10. Si nada se resuelve, recopilar todas las salidas en el archivo y subirlas al ticket de TAC.

Solución recomendada

Se recomienda seguir el proceso descrito para asegurar el correcto funcionamiento del FSSO CA y el Agente TS. Cada paso es crucial para identificar y solucionar problemas de manera efectiva.

Comandos CLI utilizados

Utilizar los siguientes comandos en los momentos adecuados para diagnosticar y verificar la funcionalidad:

• netsh int ipv4 show dynamicport tcp
• netsh int ipv4 show dynamicport udp
• sc query fssota
• msinfo32.exe
• gpresult /r

Buenas prácticas y recomendaciones

Es importante asegurarse de que todos los componentes de Fortinet estén actualizados. Además, considere la implementación de políticas de seguridad que prevengan estos problemas, como la monitorización de tráfico y la revisión periódica de firewalls y configuraciones de antivirus.

Notas adicionales

Asegúrese de que todos los cambios en la configuración sean documentados y probados en un entorno de pruebas antes de llevarlos a producción. La comunicación eficiente entre el FSSO CA y el Agente TS es clave para una infraestructura de red segura y operativa.