Soluciona problemas de inspección de la capa de aplicación

En esta página, se describe cómo solucionar problemas comunes que puedes encontrar cuando configuras la inspección de la capa de aplicación (capa 7) en tu red. Estos problemas pueden estar relacionados con los perfiles de seguridad, los grupos de perfiles de seguridad, los extremos de firewall o las políticas de firewall.

Pasos genéricos para solucionar problemas

Para solucionar problemas que traen los errores de configuración comunes relacionados con la inspección de la capa 7 en tu red, completa las tareas que se mencionan en las siguientes secciones.

Habilita el registro de reglas de política de firewall

Para habilitar el registro de las reglas de firewall de inspección de la capa 7 en tus políticas de firewall, haz lo siguiente:

  1. En la consola de Google Cloud, ve a la página Políticas de firewall.

    Ir a Políticas de firewall

  2. Haz clic en el nombre de la política de firewall que tiene reglas de firewall de inspección de capa 7.

  3. En la columna Priority, haz clic en la prioridad de la regla de la política de firewall para la que deseas habilitar los registros.

  4. Haz clic en Editar.

  5. En Registros, selecciona Activar.

  6. Haz clic en Guardar.

Repite los pasos anteriores para todas las políticas de firewall de red y las políticas de firewall jerárquicas que contienen reglas de firewall de inspección de capa 7.

Verifica la configuración de las reglas de la política de firewall

  1. Asegúrate de que las políticas de firewall con las reglas de firewall de inspección de capa 7 estén asociadas con la red de nube privada virtual (VPC) en la que se encuentran las cargas de trabajo de máquina virtual (VM). Para obtener más información, consulta Asocia una política con la red.
  2. Verifica que los extremos del firewall estén asociados con la red de VPC en la que residen las cargas de trabajo de tu VM.
  3. Verifica el orden de aplicación de reglas para asegurarte de que las reglas aplicadas al tráfico estén en la secuencia correcta. Para obtener más información, consulta Orden de evaluación de reglas y políticas.
  4. Verifica las reglas de firewall vigentes a nivel de la red y la instancia de VM. Asegúrate de que las reglas de la política de firewall para las reglas de firewall de inspección de la capa 7 se vean afectadas por el tráfico de red.

Se permiten o rechazan todas las conexiones, pero no se interceptan

Esta situación se produce cuando configuraste todos los componentes para las reglas de firewall de inspección de la capa 7, pero el tráfico no se intercepta ni se inspecciona en busca de amenazas ni actividad maliciosa.

Para resolver el problema, sigue estos pasos:

  1. Verifica que el extremo del firewall y las cargas de trabajo de la VM que se inspeccionarán estén en la misma zona.
  2. Verifica que el registro esté habilitado para la regla de política de firewall. Para obtener más información, consulta la sección Cómo habilitar el registro de reglas de políticas de firewall de este documento.

  3. En la consola de Google Cloud, ve a la página Políticas de firewall.

    Ir a Políticas de firewall

  4. Haz clic en la política de firewall que contiene la regla para la inspección de la capa 7.

  5. En la columna Recuento de aciertos, ve la cantidad de conexiones únicas usadas para la regla de firewall.

  6. Si el recuento de hits es cero, la regla no se aplica al tráfico. Para verificar que la configuración sea correcta, consulta la sección Pasos genéricos para solucionar problemas de este documento.

  7. Si el recuento de hits no es cero, haz clic en el recuento para ir a la página Explorador de registros y sigue estos pasos:

    1. Expande los registros individuales para ver los detalles connection, disposition y remote location.
    2. Si disposition no está configurado como intercepted ni fallback_action = ALLOW, consulta la sección Pasos genéricos para solucionar problemas de este documento a fin de verificar que la configuración es correcta.

La regla de política de firewall de entrada no intercepta el tráfico entrante

Esta situación se produce cuando las reglas de firewall de inspección de la capa 7 no se aplican al tráfico entrante. Ocurre cuando el tráfico entrante coincide con las otras reglas de firewall antes de llegar a las reglas de la política de firewall de inspección de la capa 7.

Para resolver el problema, sigue estos pasos:

  1. Verifica que el registro esté habilitado para la regla de política de firewall con la inspección de la capa 7. Para obtener más información, consulta la sección Cómo habilitar el registro de reglas de políticas de firewall de este documento.
  2. Asegúrate de que la política de firewall con la regla de firewall de inspección de capa 7 esté asociada con la red de VPC en la que se encuentran las cargas de trabajo de VM. Para obtener más información, consulta Asocia una política con la red.
  3. Verifica que los extremos del firewall estén asociados con la red de VPC en la que residen las cargas de trabajo de tu VM.
  4. Para verificar que se aplique la regla de firewall de inspección de la capa 7, ejecuta las pruebas de conectividad basadas en la fuente y el destino que definiste en la regla. Para obtener información sobre cómo ejecutar pruebas de conectividad, consulta Crea y ejecuta pruebas de conectividad.
  5. Verifica la secuencia en la que se aplican las reglas al tráfico entrante. Para cambiar esta secuencia, consulta Cambia el orden de evaluación de políticas y reglas.

No se detecta una amenaza en algunas o todas las conexiones

Esta situación puede ocurrir cuando tu tráfico está encriptado o la política de prevención de amenazas no está configurada para detectar la amenaza.

Si el tráfico está encriptado, asegúrate de que habilitaste la inspección de seguridad de la capa de transporte (TLS) en tu red. Para obtener más información sobre cómo habilitar la inspección de TLS, consulta Configura la inspección de TLS.

Si la inspección de TLS está habilitada, distingue entre los mensajes que se ven desde el cliente y los mensajes de error cuando Cloud Next Generation Firewall bloquea una amenaza. Para obtener más información, consulta Mensajes de error.

Asegúrate de que la política de prevención de amenazas esté configurada para detectar esta amenaza:

  1. Revisa tu perfil de seguridad para identificar que las acciones de anulación de esta amenaza estén configuradas como se espera.
  2. Agrega acciones de anulación a tus perfiles de seguridad para asegurarte de que se capture la amenaza.

Reglas de firewall del servicio de prevención de intrusiones mal configuradas

Esta situación ocurre cuando no hay un extremo de firewall válido o cuando este no está asociado con la red de VPC en la que se encuentran las cargas de trabajo de tu VM. Como acción de resguardo predeterminada, Cloud NGFW permite el tráfico y agrega apply_security_profile_fallback_action = ALLOW a los registros del firewall. Para ver los registros de firewall, consulta Visualizar registros.

Para resolver el problema, sigue estos pasos:

  1. Para habilitar el registro de las reglas de política de firewall de inspección de la capa 7 en tu red, consulta la sección Habilita el registro de reglas de política de firewall de este documento.

  2. Crea las métricas basadas en registros, las alertas basadas en registros o ambas con los siguientes filtros.

      jsonPayload.rule_details.action="APPLY_SECURITY_PROFILE_GROUP"
  jsonPayload.rule_details.apply_security_profile_fallback_action="ALLOW"

El filtro genera detalles del incidente, que te ayuda a comprender la condición de coincidencia de registro, el límite de frecuencia de notificaciones, la duración del cierre automático de incidentes, las etiquetas de registro y la gravedad del registro con el resumen.

Mensajes de error

En esta sección, se describen los mensajes de error comunes que recibes cuando la confianza de TLS es inadecuada o Cloud NGFW bloquea una amenaza. Para obtener información sobre cómo configurar la inspección de TLS, consulta Configura la inspección de TLS.

La regla de política de firewall está bloqueada

Recibiste un mensaje de error similar al siguiente error de un cliente durante una sesión SSH.

      curl: (56) OpenSSL SSL_read: Connection reset by peer, errno 104

Para resolver este error, consulta el registro y valídalo. Para obtener más información, consulta Usa el registro de reglas de firewall.

Confianza mal configurada

Recibiste un mensaje de error similar al siguiente error de un cliente durante una sesión SSH.

      curl: (35) OpenSSL SSL_connect: Connection reset by peer in connection

Este error indica un problema de confianza mal configurada. Este problema se debe a una configuración incorrecta o a la ausencia de una autoridad certificadora (CA). Para resolver este error, habilita Certificate Authority Service.

¿Qué sigue?