Publicado el

Conexión invalida certificado SSL Fortigate

Fortigate no permite conectar a sitios web

Descripción:

Fortigate bloquea los sitios web y los recursos que utilizan los certificados CA externos cuando se habilita la inspección SSL. Los síntomas comenzaron a ocurrir después del 30 de mayo de 2020 cuando expiraron los certificados de CA. Hay que tener en cuenta que este problema no es específico de ningún proveedor; más bien es una consecuencia esperada de un certificado CA raíz que expira.

El error que muestra del certificado (puede cambiar según la versión del navegador):

Solución:

Requisitos:

  • La inspección SSL profunda o la inspección de certificados está habilitada
  • Perfiles web, de correo electrónico, AV y / o DLP con inspección proxy habilitada y aplicada a una política de firewall

Causa del error:

  • Los certificados CA externos que fueron firmadas por la entidad certificadora CA de raíz externa expiraron el 30 de mayo de 2020
  • Algunos servidores web que utilizan certificados firmados por estas CA todavía incluyen las CA caducadas como parte de la cadena de certificación suministrada al cliente
  • FortiGate rechaza la conexión ya que la cadena de confianza no es válida; Se encuentra que los certificados CA están vencidos y muestra la página de bloqueo (depende de la configuración)

Opciones de solución alternativa:

Realice siempre una copia de seguridad de la configuración completa del sistema antes de realizar cualquier cambio de configuración. Se recomienda una ventana de mantenimiento o aislar los cambios en una estación de trabajo de prueba.

Solución 1: cambie la política de firewall afectada a Inspection Mode (Flow-based).

  • Es una buena opción si su configuración tiene políticas de firewall con filtrado web e inspección de certificados.

Nota: la inspección profunda o inspección basada en flujo aún puede encontrar el problema.

Navegue a Política y objetos -> Política IPv4:

Política y objetos

Edite la política de firewall en cuestión. Para el ” Inspection Mode”, seleccione Flow-based y seleccione ‘Aceptar’.

Opción Flow-based

Repita esto para las demás políticas de firewall afectadas.

Los usuarios pueden probar abriendo una nueva pestaña del navegador e intentando visitar el sitio en que genera el error.

Solución 2: sitios exentos que todavía están afectados por el descifrado SSL mediante el uso de una política de omisión de firewall.

Cree una política de “exclusión” sobre las políticas de firewall existentes para que surta efecto primero (primera posición). Coloque los destinos a los sitios web problemáticos como objetos FQDN. Revise periódicamente los sitios web y elimínelos de la política de omisión a medida que las cadenas de certificados se actualicen con el tiempo.

Objeto FQDN

Objeto FQDN

Política origen y destino (LAN A SD-WAN)

Política Firewall

Una buena opción si solo unos pocos sitios a los que acceden los usuarios se ven afectados.

Solución 3: permita el uso de certificados no válidos en el perfil de inspección SSL / SSH.

Un buen enfoque si tiene muchas políticas de firewall con filtrado web e inspección profunda.

Vaya a Perfiles de seguridad -> Inspección SSL / SSH y edite el perfil que se está utilizando en las políticas problemáticas del firewall (la columna “Ref.” Será un 1 o superior que indica que se hace referencia).

Desplácese hasta la parte inferior y asegúrese de que ‘Permitir certificados SSL no válidos’ esté activado. No está habilitado por defecto.

Nota: si no permite la activación o guardado de los cambios de esta opción puede clonar el SSL/SSH Inspection Profile y modificar y utilizar el objeto clonado.

SSL/SSH Inspection Profile

Selecciona ‘Aceptar’.

Los usuarios pueden probar abriendo una nueva pestaña del navegador e intentando visitar el sitio en cuestión.

Nota:

FortiOS 6.0.x, 6.2.x, 6.4.x deberían recuperar automáticamente un paquete de certificados actualizado a través de FortiGuard. Esto aliviará algunos casos presentados, sin embargo, la mayoría de los casos serán resueltos por los administradores del sitio web corrigiendo sus cadenas de certificados inválidas.
Para verificar si el nuevo paquete de certificados está presente, ejecute ‘get system auto-update versions’ y verifique la línea de versión ‘Certificate Bundle’.
Si se ha instalado el nuevo paquete, debe ser la versión 1.00017 o superior.

get system auto-update versions

Certificate Bundle

Version: 1.00017
Contract Expiry Date: n/a
Last Updated using scheduled update on Wed Jun 3 12:05:10 2020
Last Update Attempt: Wed Jun 3 14:04:36 2020
Result: No Updates
If the bundle is not 1.00017+ then run ‘execute update-now’ and check the bundle version again after 20 minutes.

Conoce nuestro catalogo de productos Fortigate

Sitio oficial del fabricante
https://kb.fortinet.com/kb/documentLink.do?externalID=FD49028

Publicado el

Secure SD-WAN de FortiGate

La transformación de la WAN con canales basados en la seguridad

El uso de aplicaciones como Microsoft Office 365, Microsoft SharePoint, Microsoft OneDrive, Azure y herramientas basadas en la nube como Facebook, YouTube, WhatsApp, Google Drive, criticas para su empresa, las cuales van en aumento de la productividad, las organizaciones con múltiples sucursales en todo el mundo tienen como modo de conexión las redes de área amplia (WAN) con un rendimiento limitado requieren un uso optimo del ancho de banda las WAN definidas por software (SD-WAN). La SD-WAN ofrece a las empresas el manejo de aplicaciones corporativas, rendimiento y ahorro en costos para las aplicaciones de software como servicio (SaaS), así como servicios de VoIP. Sin embargo, las SD-WAN cuentas con deficiencias, especialmente con respecto a la seguridad de como se conectar a internet.

Secure SD-WAN de FortiGate de Fortinet tiene las mejores características de la industria de Next-Generation Firewalls (NGFW), SD-WAN, enrutamiento avanzado y optimización de WAN, lo que brinda una transformación del perímetro en la conexión WAN en las redes basadas en la seguridad en un solo dispositivo. Fortinet es el único proveedor de NGFW que ofrece la SD-WAN nativa junto con una Advanced Threat Protection integrada. Fortinet obtuvo la segunda calificación “Recomendada” consecutiva de NSS Labs para redes de área amplia definidas por software (SD-WAN). La Secure SD-WAN de Fortinet presentó el costo total de propiedad (CTP) más bajo por Mbps entre los ocho proveedores.

Fortinet tienen un enfoque centrado al Cliente y el Partner que mejora el funcionamiento de su SD-WAN al permitir rápidamente optimizar el uso de aplicaciones en la nube a la vez de mantener la seguridad como una prioridad, A través de actualizaciones recientes del sistema operativo FortiOS que convierten a SD-WAN en un componente nativo de Fortinet Security Fabric y FortiGate Next-Generation Firewall. Fortinet ofrece herramientas adecuadas para la para someterse a la transformación digital sin comprometer la seguridad en ningún momento. Muchos de nuestros clientes satisfechos manifiestan que Fortinet tiene la experiencia en seguridad y redes para abordar los desafíos más difíciles de la industria en la implementación de SD-WAN.

Conoce nuestro catalogo de productos Fortigate