Acceso web a Fortigate 60d

Para temas sobre el uso de las politicas de filtrado en los productos FortiGate.
Responder
Sat CMB
Mensajes: 31
Registrado: 14 May 2013, 09:59

Acceso web a Fortigate 60d

Mensaje por Sat CMB »

Hola a tod@s:

Hasta ayer siempre tenia acceso a mi Fortigate 60D via web sin problema, accediendo desde los navegadores (todos). Pero hoy me encuentro con el mensaje:
Firefox: "Ha ocurrido un error durante una conexión a 192.168.0.198. El otro extremo de la conexión SSL no puede verificar su certificado. (Código de error: ssl_error_bad_cert_alert) "
Chrome: "Error de autenticación basada en certificado ERR_BAD_SSL_CLIENT_AUTH_CERT"

El viernes me funcionaba todo bien pero hoy ya no, y no se ha cambiado nada del Fortigate... ¿Alguna idea?
cmendoza
Mensajes: 123
Registrado: 07 Abr 2007, 00:36
Ubicación: Burgos, España

Re: Acceso web a Fortigate 60d

Mensaje por cmendoza »

Hola.

Que versión de Firmware tienes en el FG? Has probado con otro navegador como el IE?

Hay unas versiones de firmware antiguas, que utilizan un tipo de protocolo SSL vulnerable, que los navegadores actuales bloquean... puede que te este ocurriendo eso.

Un saludo.
Sat CMB
Mensajes: 31
Registrado: 14 May 2013, 09:59

Re: Acceso web a Fortigate 60d

Mensaje por Sat CMB »

Hola cmendoza:

Tengo la versión 5.2.3, y los browsers son las ultimas versiones, tanto Chrome como Firefox o IE. Creo que por ahí van los tiros dado que he probado el acceso en un servidor que tengo con Chrome v.40 y alli me deja acceder sin problema, me da el mensaje de excepción, pero puedo acceder.

No se que hacer, dado que el acceso principal al FG lo debo hacer desde mi PC con Win 8.1 y las ultimas versiones de los browsers por seguridad.

Un abrazo y gracias por tus respuestas.
cmendoza
Mensajes: 123
Registrado: 07 Abr 2007, 00:36
Ubicación: Burgos, España

Re: Acceso web a Fortigate 60d

Mensaje por cmendoza »

Hola.

Entonces es posible que tengas que revisar el tipo de cifrado que utilizas para la web de administración.

a través del CLI, ejecuta

Código: Seleccionar todo

get system global

y fijate en el valor del parámetro admin-https-ssl-versions

lo mas seguro sería dejarlo así:

Código: Seleccionar todo

config system global
set admin-https-ssl-versions tlsv1-1 tlsv1-2
end

Un saludo.
Sat CMB
Mensajes: 31
Registrado: 14 May 2013, 09:59

Re: Acceso web a Fortigate 60d

Mensaje por Sat CMB »

Hola cmendoza:

He ejecutado el comando CLI get system global y el parámetro está como tu lo pones:

admin-https-ssl-versions: tlsv1-1 tlsv1-2

¿Alguna idea?
cmendoza
Mensajes: 123
Registrado: 07 Abr 2007, 00:36
Ubicación: Burgos, España

Re: Acceso web a Fortigate 60d

Mensaje por cmendoza »

Hola.

Prueba a cambiar el certificado de la web de administración...

Código: Seleccionar todo

config system global
    set admin-server-cert <string>
end

Donde <string> puede ser esto (o algún certificado que tengas instalado en él):
                                     Fortinet_CA_SSLProxy    local
                                     Fortinet_Factory        (certificado que se instala de fábrica)
                                     Fortinet_Firmware      (certificado que esta incluido en el firmware)
                                     Fortinet_SSLProxy       local
                                     Fortinet_Wifi   local



Un saludo.
Sat CMB
Mensajes: 31
Registrado: 14 May 2013, 09:59

Re: Acceso web a Fortigate 60d

Mensaje por Sat CMB »

Buenos días cmendoza:

Me he descargado desde el FG el certificado Fortinet_CA_SSLProxy y lo he reinstalado en todos los browsers (Chrome, Firefox e IE) y ahora aunque da un aviso de "excepción" me permite el acceso al FG. La verdad es que no se que ha podido pasar.

No obstante, actualizaré el Firmware del FG a la ultima versión, que creo que es la 5.2.4, y yo tengo la anterior 5.2.3.

Muchas gracias por tu estimable ayuda.

Un saludo cordial.
cmendoza
Mensajes: 123
Registrado: 07 Abr 2007, 00:36
Ubicación: Burgos, España

Re: Acceso web a Fortigate 60d

Mensaje por cmendoza »

Hola...

Estupendo... no te quería poner en el peor de los casos, ya que con cierto modelo en el que almacenaba bastantes logs en el disco interno del FG, al final se estropeó el disco y no dejaba entrar en la consola (en este caso era desde cualquier navegador)... al reiniciarlo, el FG dejó de funcionar, por lo que tuve que realizar el RMA con Fortinet para que procedieran a su sustitución.

El problema es que esto no me paso solo con uno, sino con 4 FG 100D, que aunque estaban en cluster, tuvimos la suerte de que solo se iban rompiendo uno de cada.

Un saludo.
Responder