WatchGuard Fireware Version 12.4

WatchGuard wird in den nächsten Tagen die neue Fireware Version 12.4. vorstellen. Wir haben hier die grössten Änderungen bereits dokumentiert.

SD-WAN

Fireware bietet bereits seit der Version 12.3. die Funktionalität SD-WAN an, welche die bisherige Funktion policy-based routing ersetzt. Mit SD-WAN ist es möglich, Interface Failover und Failback detailliert zu konfigurieren. Dabei ist es möglich, neu mit 12.4 auch interne Interfaces und BOVPN virtual Interface Tunnels in diese SD-WAN Aktionen miteinzubeziehen. So lassen sich jetzt zum Beispiel eine Aussenstelle mittels einem BOVPN und einer Mitleitung, welche intern geroutet wird, überwachen und bei Ausfall entsprechend zu reagieren. Auf den jeweiligen Interfaces lassen sich die Paketverlustrate, Latency und Jitter messen und anhand diesen Kriterien ein Failover veranlassen.


Quellenangabe: What’s New in Fireware v12.4, watchguard.centercode.com

Continue reading ‚WatchGuard Fireware Version 12.4‘

Anti-Spoofing mit FortiMail

Erhalten Sie gefälschte E-Mails von Ihrem Chef, in denen er Sie zu einem Geldtransfer auffordert? Und dies obwohl die implementierte Anti-Spam Lösung grundsätzlich funktioniert? Willkommen beim Thema Anti-Spoofing.

SMTP Protokoll

Um die Problematik zu verstehen, müssen wir uns den Aufbau des SMTP-Protokolls etwas genauer anschauen. Als Analogie dient hier der klassische Brief.

Sowohl beim Brief als auch beim Mail haben wir einen Umschlag (Envelope) und darin verpackt den Inhalt:

Der Briefträger (Mail Transfer Agent) kennt für die Zustellung nur den Empfänger (RCPT TO) auf dem Briefumschlag; der Absender ist beim Brief optional. Der Empfänger wiederum kann den Ursprung meist nur durch die Angaben im Briefkopf (Header From) verifizieren. Und da Papier bekanntlich vieles annimmt, kann man auch beim klassischen Brief einen fremden Briefkopf verwenden (Spoofing).

Nun aber zurück zum Mail: Im Gegensatz zum Brief ist hier der Absender (MAIL FROM) meistens bekannt. Dadurch könnte der Empfänger diesen mit den Angaben im Briefkopf vergleichen. Könnte, weil die meisten Mail Clients diese Information in der Standardansicht schlicht nicht anzeigen.

Und somit ist es ein einfaches, ein Mail von der Mailbox chef@spam.com (MAIL FROM) zu versenden, welches beim Benutzer als chef@boll.ch (Header From) erscheint.

Natürlich kann man auch den gesamten Umschlag fälschen, aber in diesem Beitrag konzentriere ich mich auf den Header.

Header Spoofing

Nachfolgend zeige ich verschiedene Möglichkeiten, wie wir auf der FortiMail Anti-Spoofing einrichten können. Bei allen Varianten empfehle ich, diese zuerst mit der Action «None» zu aktivieren. Dadurch erhält man Log-Einträge, ohne dass der Mailflow gestört wird.

Eigene Maildomain schützen

Klassisch steht die eigene Domain nur dann im Header From, wenn es sich um ein ausgehendes E-Mail handelt. Diese Tatsache nutzen wir bei folgenden Konfigurationen.

Enable sender block list checking (Session Profile)

Falls noch nicht vorhanden, muss für ausgehende Sessions eine separate IP-Policy erstellt werden:

Anschliessend wird die Sender Block List im Inbound Session Profile konfiguriert. Diese Black-/Whitelisten werden sowohl mit dem MAIL FROM als auch dem Header From verglichen. Erstellt man eine Blacklist für seine eigene Domain, kann niemand mehr eine interne Mailadresse für die eingehende Kommunikation verwenden. Beim Einsatz von Cloud-Services müssen allerdings entsprechende Ausnahmen konfiguriert werden.

Stand FortiMail 6.0.4: Leider lässt sich dieser Check mit einem modifizierten Header relativ einfach umgehen. Als Workaround bietet sich nachfolgende Variante an.

Dictionary (Anti-Spam Profile)

Mit einem Dictionary Eintrag im Anti-Spam Profil lässt sich die eigene ebenfalls Domain schützen. Hier wird die erfasste Zeichenfolge mit dem Mail Header und/oder Body verglichen.

Im Admin-Guide findet sich folgende RegEx als Beispiel: from: .*@example.com.*

Die FortiMail wendet Regular Expressions ohne Berücksichtigung der Gross-/Kleinschreibung an.

Inbound Disclaimer

Der Vollständigkeit halber noch eine Variante von Fortinet. Dabei werden gleich sämtliche eingehende Mails als extern gekennzeichnet:
https://cookbook.fortinet.com/fortimail-configuring-inbound-message-warnings/

Fremde Absender verifizieren

<Fortsetzung folgt>

 

FortiAnalyzer Cheat Sheet

Just like for FortiGate releases we created and publish here a collection of CLI commands for troubleshooting the FortiAnalyzer appliances.

FortiAnalyzer Version 6.0

Autodoc – Firewall Configuration Report Generator – NEW for PaloAlto Networks

Autodoc is a software developed by Boll Engineering AG, which makes it possible to automatically generate detailed reports from firewall configuration files. The reports are clearly displayed on the screen and can be exported as PDF or HTML reports or printed out as PDF reports. In addition to the existing firewall manufacturers Watchguard, Fortinet and SonicWALL, we have recently added support for Palo Alto Networks.

Continue reading ‚Autodoc – Firewall Configuration Report Generator – NEW for PaloAlto Networks‘

CheatSheet – FortiOS v6.0

This week we start with the update of the cheatsheet for version 6.0.

The Tech-Team of BOLL Engineering wishes you happy troubleshooting!

FortiGate GUI „Addresses“ Seite wird nicht angezeigt

Wir haben vermehrt die Meldung bekommen, dass unter FortiOS 5.2 und 5.4 im WebUI die Seite „Addresses“ unter „Policy & Objects“ nicht mehr angezeigt werden kann.

Der Header der Seite wird angezeigt, mehr allerdings nicht:

Nach Abklärungen mit Fortinet handelt es sich dabei um einen Bug in verschiedenen Releases.

Continue reading ‚FortiGate GUI „Addresses“ Seite wird nicht angezeigt‘

Basic Stuff: MTU-Grösse mit ping testen

Die MTU ist immer wieder ein Thema beim Troubleshooten von Netzwerkproblemen. Oft herrscht jedoch Unklarheit darüber wie man die genaue MTU zwischen zwei Endpunkten herausfinden kann.

Natürlich ist der „ping“-Befehl hier das Mittel der Wahl, aber mit welcher Ping-Grösse habe ich welche MTU? Continue reading ‚Basic Stuff: MTU-Grösse mit ping testen‘

Problem beim Service-Transfer von Trade-Up Geräten

In unserer Supportabteilung werden wir oft mit dem Problem konfrontiert, dass Trade-Up Fortinet-Geräte falsch registriert werden und damit wertvolle Services verloren gehen.

Zugegeben – das Ganze ist auch etwas kompliziert und deshalb möchten wir hier ein paar Infos zur Situation und zur Lösung des Problems geben:

Trade-Up Programm:

Fortinet-Kunden haben die Möglichkeit, End-of-order Geräte mit einem sehr netten Rabatt gegen ein neues Gerät einzutauschen. Hinsichtlich der FortiGuard-Services gibt es dabei zwei Varianten:

Continue reading ‚Problem beim Service-Transfer von Trade-Up Geräten‘

FortiClient nicht automatisch mit Windows starten

Anleitung, wie der FortiClient so angepasst werden kann, damit dieser nicht automatisch mit Windows startet.

Continue reading ‚FortiClient nicht automatisch mit Windows starten‘