Solucionar problemas de inspección de la capa de aplicación

En esta página se describe cómo solucionar problemas habituales que pueden surgir al configurar la inspección de la capa de aplicación (capa 7) en su red. Estos problemas pueden estar relacionados con los perfiles de seguridad, los grupos de perfiles de seguridad, los endpoints de firewall o las políticas de firewall.

Pasos genéricos para solucionar problemas

Para solucionar errores de configuración habituales relacionados con la inspección de la capa 7 en tu red, completa las tareas que se mencionan en las siguientes secciones.

Habilitar el registro de reglas de políticas de cortafuegos

Para habilitar el registro de las reglas de cortafuegos de inspección de capa 7 en tus políticas de cortafuegos, haz lo siguiente:

1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

   Ir a Políticas de cortafuegos

2. Haga clic en el nombre de la política de cortafuegos que tenga reglas de cortafuegos de inspección de capa 7.

3. En la columna Prioridad, haz clic en la prioridad de la regla de la política de cortafuegos para la que quieras habilitar los registros.

4. Haz clic en Editar.

5. En Registros, selecciona Activado.

6. Haz clic en Guardar.

Repita los pasos anteriores para todas las políticas de cortafuegos de red y las políticas de cortafuegos jerárquicas que contengan reglas de cortafuegos de inspección de capa 7.

Verificar la configuración de las reglas de la política de cortafuegos

1. Asegúrate de que las políticas de cortafuegos con las reglas de cortafuegos de inspección de capa 7 estén asociadas a la red de nube privada virtual (VPC) en la que se encuentren tus cargas de trabajo de máquina virtual. Para obtener más información, consulta Asociar una política a la red.
2. Verifica que los endpoints de firewall estén asociados a la red de VPC en la que residen tus cargas de trabajo de VM.
3. Comprueba el orden de aplicación de las reglas para asegurarte de que las reglas aplicadas al tráfico están en la secuencia correcta. Para obtener más información, consulta el orden de evaluación de las políticas y las reglas.
4. Consulta las reglas de cortafuegos efectivas a nivel de red e instancia de VM. Asegúrate de que las reglas de la política de cortafuegos para las reglas de cortafuegos de inspección de capa 7 se aplican al tráfico de red.

Se permiten o se deniegan todas las conexiones, pero no se interceptan

Este caso se da cuando has configurado todos los componentes de las reglas de firewall de inspección de capa 7, pero el tráfico no se intercepta ni se inspecciona para detectar amenazas o actividad maliciosa.

Para solucionar este problema, sigue estos pasos:

1. Comprueba que el endpoint del cortafuegos y las cargas de trabajo de la VM que se van a inspeccionar estén en la misma zona.
2. Comprueba que el registro esté habilitado en la regla de la política de cortafuegos. Para obtener más información, consulta la sección Habilitar el registro de reglas de políticas de cortafuegos de este documento.

3. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

   Ir a Políticas de cortafuegos

4. Haga clic en la política de cortafuegos que contenga la regla de inspección de la capa 7.

5. En la columna Número de coincidencias, consulte el número de conexiones únicas utilizadas en la regla de cortafuegos.

6. Si el recuento de hits es cero, la regla no se aplica al tráfico. Para comprobar si la configuración es correcta, consulta la sección Pasos generales para solucionar problemas de este documento.

7. Si el recuento de hits no es cero, haz clic en el recuento para ir a la página Explorador de registros y sigue estos pasos:

   1. Despliega los registros individuales para ver los detalles de connection, disposition y remote location.
   2. Si el disposition no está configurado como intercepted y el fallback_action = ALLOW, consulta la sección Pasos generales para solucionar problemas de este documento para comprobar si la configuración es correcta.

La regla de política de cortafuegos de entrada no intercepta el tráfico entrante

Esta situación se produce cuando las reglas de cortafuegos de inspección de capa 7 no se aplican al tráfico entrante. Esto ocurre cuando el tráfico entrante coincide con otras reglas de cortafuegos antes de llegar a las reglas de la política de cortafuegos de la capa 7.

Para solucionar este problema, sigue estos pasos:

1. Verifica que el registro esté habilitado en la regla de la política de cortafuegos con inspección de capa 7. Para obtener más información, consulta la sección Habilitar el registro de reglas de políticas de cortafuegos de este documento.
2. Asegúrate de que la política de cortafuegos con la regla de cortafuegos de inspección de capa 7 esté asociada a la red de VPC en la que se encuentran tus cargas de trabajo de VM. Para obtener más información, consulta Asociar una política a la red.
3. Verifica que los endpoints de firewall estén asociados a la red de VPC en la que residen tus cargas de trabajo de VM.
4. Para verificar que se ha aplicado la regla de cortafuegos de inspección de capa 7, haz pruebas de conectividad basadas en el origen y el destino que hayas definido en la regla. Para saber cómo ejecutar pruebas de conectividad, consulta el artículo Crear y ejecutar pruebas de conectividad.
5. Comprueba la secuencia en la que se aplican las reglas al tráfico entrante. Para cambiar esta secuencia, consulta Cambiar el orden de evaluación de las políticas y las reglas.

No se ha detectado ninguna amenaza en algunas o en todas las conexiones

Este escenario puede darse cuando el tráfico está cifrado o cuando la política de prevención de amenazas no está configurada para detectar la amenaza.

Si tu tráfico está cifrado, asegúrate de haber habilitado la inspección de Seguridad en la capa de transporte (TLS) en tu red. Para obtener más información sobre cómo habilitar la inspección TLS, consulta el artículo Configurar la inspección TLS.

Si la inspección de TLS está habilitada, distingue entre los mensajes que ve el cliente y los mensajes de error cuando Cloud Next Generation Firewall bloquea una amenaza. Para obtener más información, consulta el artículo Mensajes de error.

Asegúrate de que la política de prevención de amenazas esté configurada para detectar esta amenaza:

1. Revisa tu perfil de seguridad para comprobar que las acciones de anulación de esta amenaza se han definido correctamente.
2. Añade acciones de anulación a tus perfiles de seguridad para asegurarte de que se detecta la amenaza.

Reglas de cortafuegos del servicio de detección y prevención de intrusiones mal configuradas

Este escenario se produce cuando no hay ningún endpoint de cortafuegos válido o cuando el endpoint no está asociado a la red de VPC en la que se encuentran tus cargas de trabajo de VM. Como acción de reserva predeterminada, Cloud NGFW permite el tráfico y añade apply_security_profile_fallback_action = ALLOW a los registros del cortafuegos. Para ver los registros del cortafuegos, consulte Ver registros.

Para solucionar este problema, sigue estos pasos:

1. Para habilitar el registro de las reglas de la política de cortafuegos de inspección de capa 7 de tu red, consulta la sección Habilitar el registro de reglas de la política de cortafuegos de este documento.

2. Crea métricas basadas en registros, alertas basadas en registros o ambas mediante los siguientes filtros.

     jsonPayload.rule_details.action="APPLY_SECURITY_PROFILE_GROUP"
     jsonPayload.rule_details.apply_security_profile_fallback_action="ALLOW"
   

El filtro genera detalles del incidente, lo que le ayuda a comprender la condición de coincidencia de registros, el límite de frecuencia de notificaciones, la duración del cierre automático del incidente, las etiquetas de registro y la gravedad del registro con el resumen.

Mensajes de error

En esta sección se describen los mensajes de error habituales que se muestran cuando la confianza de TLS es incorrecta o Cloud NGFW bloquea una amenaza. Para saber cómo configurar la inspección TLS, consulta el artículo Configurar la inspección TLS.

Se bloquea la regla de política de cortafuegos

Has recibido un mensaje de error similar al siguiente de un cliente durante una sesión SSH.

      curl: (56) OpenSSL SSL_read: Connection reset by peer, errno 104

Para resolver este error, consulta el registro y valídalo. Para obtener más información, consulta Usar el almacenamiento de registros de reglas de cortafuegos.

Confianza mal configurada

Has recibido un mensaje de error similar al siguiente de un cliente durante una sesión SSH.

      curl: (35) OpenSSL SSL_connect: Connection reset by peer in connection

Este error indica un problema de confianza mal configurado. Este problema se debe a una configuración incorrecta o a la ausencia de una autoridad de certificación (CA). Para solucionar este error, habilita Servicio de autoridad de certificación.

Las políticas de endpoint se ignoran

Solo se evalúan las reglas de la política de cortafuegos y el tráfico no se replica en Sistema de Detección de Intrusos de Cloud para inspeccionarlo mientras se usan las políticas de inspección de nivel 7 de Cloud Next Generation Firewall.

Para solucionar este problema, debe asegurarse de que sus políticas de inspección de nivel 7 de Cloud NGFW (reglas con la acción apply_security_profile_group) no se apliquen a los paquetes que necesite inspeccionar con Cloud IDS.

Siguientes pasos

• Para obtener información conceptual sobre el servicio de detección y prevención de intrusiones, consulta el resumen del servicio de detección y prevención de intrusiones.
• Para obtener información conceptual sobre las reglas de políticas de cortafuegos, consulta Reglas de políticas de cortafuegos.
• Para determinar los costes, consulta los precios de Cloud NGFW.