Descripción
Este artículo explica un nuevo parámetro CLI que se puede activar en una política para enviar un paquete TCP RST en el tiempo de espera de la sesión.
Hay casos de uso frecuentes en los que una sesión TCP creada en el cortafuegos tiene un TTL de sesión más pequeño que la PC cliente que inicia la sesión TCP o el dispositivo de destino.
El problema subyacente es que cuando la sesión TCP caduca en FortiGate, la PC del cliente no se da cuenta y podría intentar usar nuevamente la sesión existente anterior que todavía está viva de su lado.
Esto generará menos intentos y tráfico hasta que la PC cliente decida restablecer la sesión de su lado para crear una nueva.
Solución
Para evitar este comportamiento, configure FortiGate para enviar un paquete TCP RST al origen y al destino cuando la sesión TCP establecida correspondiente expire debido a la inactividad.
Se informará al cliente y al servidor que la sesión ya no existe en FortiGate y no intentarán reutilizarla sino que, en su lugar, crearán una nueva.
#config firewall policy
# edit <ID>
# set timeout-send-rst enable
Nota: Lea atentamente y comprenda los efectos de esta configuración antes de habilitarla globalmente. Se recomienda habilitar solo en la política requerida.
Para habilitar globalmente:
#config system global
#set reset-sessionless-tcp enable
#end
Habilitar esta opción puede ayudar a resolver problemas con un servidor problemático, pero puede hacer que la unidad FortiGate sea más vulnerable a los ataques de denegación de servicio.
Si reset-sessionless-tcp está habilitado, la unidad FortiGate envía un paquete RESET al originador del paquete. El originador del paquete finaliza la sesión actual, pero puede intentar establecer una nueva sesión.
Disponible solo en modo NAT/Ruta. El valor predeterminado es deshabilitar.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!