ICM / conectividadtitle_li=seguridad / Reset túnel IPSec Fortinet

Reset túnel IPSec Fortinet

29 junio 2017 | Pablo Gómez

Como ya sabéis, cuando queremos hacer un reset de un túnel IPsec en un Fortinet, no hay forma humana de hacerlo por GUI. Desde la consola gráfica solo podemos hacer un “bring down” y “bring up”. Esta acción no siempre resulta útil para arreglar un problema de errores en los túneles IPSec, ya que las sesiones, con sus correspondientes SA (Security Association), no se regeneran.

¿Cómo hacer el reset a un túnel IPsec?

La forma de realizar un reset a un túnel IPsec es un poco rara. Consiste en ir al túnel, al apartado “network” donde está definida la dirección IP del equipo remoto y cambiamos el primer octeto con un “10.”. De esta manera, convertimos esa dirección IP en una 10.x.x.x, asegurándonos que no llegará al peer remoto y al grabar reseteamos el túnel. Volvemos a la configuración, cambiamos el octeto por su valor original y al grabar, en teoría ya hemos reseteando el túnel y se reinician los SA’s.

Es una forma que puede ser efectiva, aunque dudosa en algunas ocasiones ya que no sabemos que ocurre en la memoria interna del equipo. Si se guardan o no las SA’s antiguas por un tiempo y vuelven a aparecer a posteriori.

La forma correcta de hacer un reset a un túnel IPSec es, como no, a través de consola. Hay dos comandos para hacer el reset de una forma elegante.

  1. diag vpn tunnel flush <phase1 name>: Este comando nos permite hacer un reset de las sesiones SA’s, pero no hace un reinicio total del túnel. Es muy útil. Sería la primera opción a realizar en caso de que un túnel se queda en un estado extraño y no reconnecta. Es muy importante fijarse en poner el nombre de la fase1 correspondiente, ya que si lo obviamos, haríamos un flush de todos los túneles y eso sería un problema de disrupción de servicio (unos 10 segundos), a todos los clientes.
  2. diag vpn tunnel reset <phase1 name>:  Y esta otra opción nos permite hacer un reset completo del túnel. Por tanto lo tira abajo, borra todas las sesiones completas de ese túnel y lo reinicia. Lo mismo comentado anteriormente, si no fijamos el nombre de la fase1, tiraremos abajo todos los túneles y aquí afectamos de una manera importante al resto de clientes. Ya no serían segundos y probablemente en algún peer remoto deberían resetear los túneles también, ya que los concentradores de túneles suelen guardarse los SA’s durante algún tiempo.

Asociaciones de Seguridad IPSec (SA’s)

El concepto de una asociación de seguridad (SA) es fundamental para IPSec. Una SA es una relación entre dos o más entidades que describe la forma de comunicarse de forma segura. IPSec ofrece muchas opciones para realizar el cifrado y la autenticación de la red.

Cada conexión IPSec puede proporcionar cifrado, integridad y autenticidad. Cuando se inicia la conexión de un túnel IPSec, los dos peer’s deben determinar exactamente qué algoritmos utilizar (por ejemplo, DES o 3DES para el cifrado, MD5 o SHA-1 para la integridad). Después de decidir los algoritmos a utilizar, los dos dispositivos deben compartir claves de sesión, que negocian de forma segura los dos peer’s.

Las SA’s son unidireccionales para IPSec, de modo que el peer1 (extremo IPSec A), ofrecerá al peer2 (extremo IPSec B), una política determinada. Si peer2 acepta esta política, enviará esa política nuevamente a peer1 y se estableceran dos SA’s unidireccionales entre los dos peer’s. La comunicación bidireccional consta de dos SA, una para cada dirección.

Cada SA consta de valores como dirección de destino, un índice de parámetros de seguridad (SPI), las transformaciones IPSec utilizadas para esa sesión, las claves de seguridad y otros atributos, como la vida útil de IPSec.

Las SA de cada túnel tienen valores SPI únicos que se registrarán en la base de datos de parámetros de seguridad de cada dispositivo. La base de datos de parámetros de seguridad se queda almacenada en la RAM del equipo y contiene valores de parámetros para cada SA.

Por esa razón, cuando hay problemas de conexión de IPSec, nos podemos encontrar con que los túneles no levanten porque sigue aprovechando en un extremo el SA (con el SPI correspondiente), cuando en el otro extremo todavía está esperando a la negociación. Tendrá que esperarse a cumplir el timelife para renegociar o bien hacer un reset del túnel.