Soluciona problemas de inspección de la capa de aplicación

En esta página, se describe cómo solucionar problemas comunes que puedes encontrar cuando configuras la inspección de la capa de aplicación (capa 7) en tu red. Estos problemas pueden estar relacionados con perfiles de seguridad, grupos de perfiles de seguridad, extremos de firewall o políticas de firewall.

Pasos genéricos para la solución de problemas

Para solucionar problemas que traen los errores de configuración comunes relacionados con la inspección de la capa 7 en tu red, completa las tareas que se mencionan en las siguientes secciones.

Habilita el registro de reglas de políticas de firewall

Si deseas habilitar el registro para las reglas de firewall de inspección de capa 7 en las políticas de firewall, haz lo siguiente:

1. En la consola de Google Cloud, ve a la página Políticas de firewall.

   Ir a Políticas de firewall

2. Haz clic en el nombre de la política de firewall que tiene reglas de firewall de inspección de capa 7.

3. En la columna Prioridad, haz clic en la prioridad de la regla de política de firewall para la que deseas habilitar los registros.

4. Haz clic en Editar.

5. En Registros, selecciona Activar.

6. Haz clic en Guardar.

Repite los pasos anteriores para todas las políticas de firewall de red y las políticas de firewall jerárquicas que contienen reglas de firewall de inspección de capa 7.

Verifica la configuración de las reglas de la política de firewall

1. Asegúrate de que las políticas de firewall con las reglas de firewall de inspección de capa 7 estén asociadas con la red de nube privada virtual (VPC) en la que se encuentran tus cargas de trabajo de máquina virtual (VM). Para obtener más información, consulta Asocia una política con la red.
2. Verifica que los extremos de firewall estén asociados con la red de VPC en la que residen tus cargas de trabajo de VM.
3. Verifica el orden de aplicación de la regla para asegurarte de que las reglas aplicadas al tráfico estén en la secuencia correcta. Para obtener más información, consulta Orden de evaluación de políticas y reglas.
4. Verifica las reglas de firewall efectivas a nivel de instancia de red y de VM. Asegúrate de que las reglas de la política de firewall para las reglas de firewall de inspección de capa 7 tengan hits para el tráfico de red.

Se permiten o rechazan todas las conexiones, pero no se interceptan

Esta situación se produce cuando configuraste todos los componentes para las reglas de firewall de inspección de capa 7, pero el tráfico no se intercepta ni se inspecciona en busca de amenazas o actividad maliciosa.

Para resolver el problema, sigue estos pasos:

1. Verifica que el extremo de firewall y las cargas de trabajo de VM que se inspeccionarán estén en la misma zona.
2. Verifica que el registro esté habilitado para la regla de política de firewall. Para obtener más información, consulta la sección Habilita el registro de las reglas de políticas de firewall de este documento.

3. En la consola de Google Cloud, ve a la página Políticas de firewall.

   Ir a Políticas de firewall

4. Haz clic en la política de firewall que contiene la regla para la inspección de la capa 7.

5. En la columna Recuento de aciertos, ve la cantidad de conexiones únicas usadas para la regla de firewall.

6. Si el recuento de hits es cero, la regla no se aplica al tráfico. A fin de verificar si la configuración es correcta, consulta la sección Pasos genéricos para solucionar problemas de este documento.

7. Si el recuento de aciertos no es cero, haz clic en el recuento para ir a la página Explorador de registros y sigue estos pasos:

   1. Expande registros individuales para ver los detalles de connection, disposition y remote location.
   2. Si disposition no está configurado como intercepted ni fallback_action = ALLOW, consulta la sección Pasos genéricos para solucionar problemas de este documento a fin de verificar que la configuración es correcta.

La regla de la política de firewall de entrada no intercepta el tráfico entrante

Esta situación se produce cuando las reglas de firewall de inspección de capa 7 no se aplican al tráfico entrante. Esto sucede cuando el tráfico entrante coincide con las otras reglas de firewall antes de que alcance las reglas de la política de firewall de inspección de capa 7.

Para resolver el problema, sigue estos pasos:

1. Verifica que el registro esté habilitado para la regla de política de firewall con la inspección de la capa 7. Para obtener más información, consulta la sección Habilita el registro de las reglas de políticas de firewall de este documento.
2. Asegúrate de que la política de firewall con la regla de firewall de inspección de capa 7 esté asociada con la red de VPC en la que se encuentran las cargas de trabajo de VM. Para obtener más información, consulta Asocia una política con la red.
3. Verifica que los extremos de firewall estén asociados con la red de VPC en la que residen tus cargas de trabajo de VM.
4. Para verificar que se aplique la regla de firewall de inspección de capa 7, ejecuta las pruebas de conectividad según el origen y el destino que definiste en la regla. Si deseas obtener información para ejecutar pruebas de conectividad, consulta Crea y ejecuta pruebas de conectividad.
5. Verifica la secuencia en la que se aplican las reglas al tráfico entrante. Para cambiar esta secuencia, consulta Cambia el orden de evaluación de políticas y reglas.

No se detecta una amenaza en algunas o en todas las conexiones

Esta situación puede surgir cuando el tráfico está encriptado o cuando la política de prevención de amenazas no está configurada para detectar la amenaza.

Si el tráfico está encriptado, asegúrate de haber habilitado la inspección de seguridad de la capa de transporte (TLS) en tu red. Para obtener más información sobre cómo habilitar la inspección de TLS, consulta Configura la inspección de TLS.

Si la inspección de TLS está habilitada, distingue entre los mensajes vistos del cliente y los mensajes de error cuando el firewall de última generación de Cloud bloquea una amenaza. Para obtener más información, consulta Mensajes de error.

Asegúrate de que la política de prevención de amenazas esté configurada para detectar esta amenaza:

1. Revisa tu perfil de seguridad para identificar que las acciones de anulación de esta amenaza estén configuradas como se espera.
2. Agrega acciones de anulación a tus perfiles de seguridad para asegurarte de que se capture la amenaza.

Reglas de firewall del servicio de prevención de intrusiones mal configuradas

Esta situación ocurre cuando no hay un extremo de firewall válido o el extremo no está asociado con la red de VPC en la que se encuentran las cargas de trabajo de VM. Como acción de resguardo predeterminada, Cloud NGFW permite el tráfico y agrega apply_security_profile_fallback_action = ALLOW a los registros del firewall. Para ver los registros de firewall, consulta Visualizar registros.

Para resolver el problema, sigue estos pasos:

1. Para habilitar el registro de las reglas de la política de firewall de inspección de capa 7 en tu red, consulta la sección Habilita el registro de reglas de política de firewall de este documento.

2. Crea las métricas basadas en registros, las alertas basadas en registros o ambas con los siguientes filtros.

     jsonPayload.rule_details.action="APPLY_SECURITY_PROFILE_GROUP"
     jsonPayload.rule_details.apply_security_profile_fallback_action="ALLOW"
   

El filtro genera detalles de incidentes, que te ayudan a comprender la condición de coincidencia de registros, el límite de frecuencia de notificaciones, la duración del cierre automático de incidentes, las etiquetas de registro y la gravedad del registro con el resumen.

Mensajes de error

En esta sección, se describen los mensajes de error comunes que recibes cuando la confianza de TLS es inadecuada o Cloud NGFW bloquea una amenaza. Para obtener información sobre cómo configurar la inspección de TLS, consulta Configura la inspección de TLS.

La regla de la política de firewall está bloqueada

Recibiste un mensaje de error similar al siguiente de un cliente durante una sesión SSH.

      curl: (56) OpenSSL SSL_read: Connection reset by peer, errno 104

Para resolver este error, visualiza el registro y valídalo. Para obtener más información, consulta Usa el registro de reglas de firewall.

Confianza mal configurada

Recibiste un mensaje de error similar al siguiente de un cliente durante una sesión SSH.

      curl: (35) OpenSSL SSL_connect: Connection reset by peer in connection

Este error indica un problema de confianza mal configurada. Este problema se debe a una configuración incorrecta o a la ausencia de una autoridad certificadora (CA). Para resolver este error, habilita Certificate Authority Service.

¿Qué sigue?

• Para obtener información conceptual sobre el servicio de prevención de intrusiones, consulta Descripción general del servicio de prevención de intrusiones.
• Para obtener información conceptual sobre las reglas de política de firewall, consulta Reglas de política de firewall.
• Para determinar los costos, consulta Precios de Cloud NGFW.