Descripción
Este artículo analiza la diferencia entre el enrutamiento asimétrico y la sesión auxiliar.
Alcance
FortiGate.
Solución
Enrutamiento asimétrico.
Si los hosts de una red no pueden comunicarse con los hosts de otras redes, existe la posibilidad de que los paquetes de solicitud y respuesta sigan caminos diferentes.
Si un FortiGate reconoce los paquetes de respuesta, pero no las solicitudes, bloquea los paquetes como no válidos.
Además, si un FortiGate reconoce los mismos paquetes repetidos en múltiples interfaces, bloquea la sesión como un posible ataque.
Este es el enrutamiento asimétrico. De forma predeterminada, un FortiGate bloquea paquetes o cancela la sesión cuando esto sucede.
FortiGate se puede configurar para permitir el enrutamiento asimétrico mediante los siguientes comandos CLI.
# config system settings
set asymroute enable
end
Si los VDOM están habilitados, este comando debe habilitarse por VDOM y no es una configuración global.
# config vdom
edit <vdom_name>
# config system settings
set asymroute enable
end
end
Si esto resuelve el problema del tráfico bloqueado, la causa es el enrutamiento asimétrico.
Pero permitir el enrutamiento asimétrico no es la mejor solución, porque reduce la seguridad de la red.
Para una solución a largo plazo o permanente, es mejor cambiar la configuración de enrutamiento o cambiar la forma en que FortiGate se conecta a la red.
Tenga en cuenta que si el enrutamiento asimétrico está habilitado, los sistemas antivirus y de prevención de intrusiones no serán efectivos.
FortiGate no estará al tanto de las conexiones y tratará cada paquete individualmente con la CPU.
Se convertirá en un cortafuegos sin estado. La descarga no será posible.
Sesión auxiliar
Cuando ECMP está habilitado, el tráfico TCP para la misma sesión puede salir e ingresar a FortiGate en diferentes interfaces.
Para permitir el paso de este tráfico, FortiOS crea sesiones auxiliares.
Permitir la creación de sesiones auxiliares se maneja con el siguiente comando.
# config system settings
set auxiliary-sessions {disable | enable}
end
De forma predeterminada, la opción de sesión auxiliar está deshabilitada.
Esto puede bloquear parte del tráfico TCP cuando ECMP está habilitado.
Si esto ocurre, habilitar la sesión auxiliar resuelve el problema.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!