FortiOSGuías técnicas

FortiOS: Detectar paquetes descartados

Los firewall Fortigate disponen de distintas capas que filtran tráfico y que pueden tirar paquetes en caso de ser necesario:

  1. Errores de interfaz o paquetes malformados.
  2. Paquetes que llegan sin poder ser enviados (antispoofing)
  3. Paquetes que han sido reseteados (rst del destinatario o sin ruta de vuelta el destinatario)
  4. Paquetes que no cumplen RFC.  (anti-replay)
  5. Paquetes que se bloquean por DoS. (DoS sensor y counters)
  6. Paquetes que se bloquean por política fw L4. (iprope)
  7. Paquetes que se bloquean por un perfil de seguridad L7. (drop by fw policy)
  8. Paquetes que se bloquean por implicit policy (habilitar log)

La gran mayoría de drops que se explican, se pueden ver en los logs habituales, pero los número 1 y 4 no son tan sencillos de ver y por defecto, pueden pasar desapercibidos. Para poder investigarlo, pueden hacerse los siguientes comandos de troubleshooting:

  1. Para ver paquetes que no cumplen RFC, puede activarse: set log-invalid-packet enable
    1. Esto incluye errores en paquetes de DNS, ICMP, no-session-matched y lo que no sea compliance con RFC792. https://help.fortinet.com/fos50hlp/54/Content/FortiOS/fortigate-firewall-52/Concepts/log-invalid-packet.htm
  2. Para ver si hay algún drop en el ASIC NP (NP6 en los equipos habituales), pueden hacerse dos opciones:
    1. Desactivar temporalmente la aceleración hardware.

            config firewall policy

            edit 1

              set auto-asic-offload disable

            end

  1. Comprobar los contadores de NP6: diagnose npu np6 sse-stats <np6-id>
  2. diagnose npu np6 dce <np6-id>

Con estas comprobaciones, ya se puede estar seguro que un paquete que entra al firewall o bien es permitido o bien observaremos un log o contador que lo registre.

Tags

Contenidos relacionados

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *