Problema con tráfico ssl y regla
Publicado: 08 Oct 2009, 13:59
Buenas tardes
En primer lugar un saludo a todos, y gracias por adelantado por vuestra ayuda.
Tenemos montados dos Fortigate 620B en HA con el firm 3.00.
Hoy hemos creado una regla para una aplicación específica de un proveedor, que transmite tráfico ssl mediante el puerto 444. (no el 443 como cabe esperar)
Resulta que tras autorizar a una máquina del usuario para utilizar ese puerto de salida, el tráfico me aparece como denegado en los logs del Fortigate. En cambio, una regla mas arriba, tengo una regla de administrador con tráfico permitido completo. Desde un equipo de la red de administrador, conecto perfectamente.
He monitorizado la conexión y no utiliza ningún puerto intermedio para la negociación.
Este es el log de denegación.
Oct 8 13:32:37 date=2009-10-08 time=13: 35:15 devname=FG600B33333333 device_id=FG600B3333333333 log_id=0022013001 type=traffic subtype=violation pri=warning vd=root SN=1411818 duration=0 user=N/A group=N/A rule=45 policyid=45 proto=6 service=444/tcp app_type=N/A status=deny src=172.30.2.109 srcname=172.30.2.109 dst=XX.XX.XX.XX dstname=XX.XX.XX.XX src_int="port8" dst_int="port5" sent=0 rcvd=0 src_port=3080 dst_port=444 vpn="N/A" tran_ip=0.0.0.0 tran_port=0
Es como si ignorase la regla que autoriza la conexión, porque la regla que deniega el tráfico es el deny all del final de la lista.
Puede ser el IPS que esté detectando tráfico ssl por un puerto no habitual?
Gracias a todos de antemano.
En primer lugar un saludo a todos, y gracias por adelantado por vuestra ayuda.
Tenemos montados dos Fortigate 620B en HA con el firm 3.00.
Hoy hemos creado una regla para una aplicación específica de un proveedor, que transmite tráfico ssl mediante el puerto 444. (no el 443 como cabe esperar)
Resulta que tras autorizar a una máquina del usuario para utilizar ese puerto de salida, el tráfico me aparece como denegado en los logs del Fortigate. En cambio, una regla mas arriba, tengo una regla de administrador con tráfico permitido completo. Desde un equipo de la red de administrador, conecto perfectamente.
He monitorizado la conexión y no utiliza ningún puerto intermedio para la negociación.
Este es el log de denegación.
Oct 8 13:32:37 date=2009-10-08 time=13: 35:15 devname=FG600B33333333 device_id=FG600B3333333333 log_id=0022013001 type=traffic subtype=violation pri=warning vd=root SN=1411818 duration=0 user=N/A group=N/A rule=45 policyid=45 proto=6 service=444/tcp app_type=N/A status=deny src=172.30.2.109 srcname=172.30.2.109 dst=XX.XX.XX.XX dstname=XX.XX.XX.XX src_int="port8" dst_int="port5" sent=0 rcvd=0 src_port=3080 dst_port=444 vpn="N/A" tran_ip=0.0.0.0 tran_port=0
Es como si ignorase la regla que autoriza la conexión, porque la regla que deniega el tráfico es el deny all del final de la lista.
Puede ser el IPS que esté detectando tráfico ssl por un puerto no habitual?
Gracias a todos de antemano.