FortiGate: Nur Default UTM Profile sichtbar / Only default UTM profiles visible

Wir kriegen öfters Supportfälle, bei welchen FortiGate Administratoren nur die Default UTM Profile in Firewall Policies auswählen können.
Some FortiGate admins report problems with missing UTM profiles in firewall policies. They can only see and choose default profiles.

Continue reading ‘FortiGate: Nur Default UTM Profile sichtbar / Only default UTM profiles visible’

UDP Idle-timer für VoIP anpassen

Manche VoIP Provider verlangen auf den Firewalls, die den SIP Traffic routen, eine Anpassung des UDP Idle-timers.

Theoretisch gibt es im UDP (User Datagram Protocol) keine Sessions, da es sich um ein verbindungsloses Protokoll handelt. Der Absender eines UDP Pakets versendet dieses, ohne eine Rückmeldung über dessen Verbleib zu erhalten. Der Empfänger des Pakets wird dem Absender – im Gegensatz zu TCP – keine Empfangsbestätigung zukommen lassen. Continue reading ‘UDP Idle-timer für VoIP anpassen’

“Finger weg von HTTPS?” – Ist SSL Interception fahrlässig?

Kürzlich wurden wir von einem Reseller zu unserer Meinung zu folgendem Heise-Artikel gefragt: Sicherheitsforscher an AV-Hersteller: “Finger weg von HTTPS”.

Der Artikel klingt zugegebenermassen wirklich nicht gerade vertrauenserweckend. Die Fortigates sind im Artikel namentlich nicht benannt. Und eine Konfigurationsmöglichkeit haben wir auf der Fortigate hierfür auch nicht gefunden. So stellt sich natürlich die Frage, wie die Fortigate sich bei der SSL Interception genau verhält. Ist es “fahrlässig” die SSL Interception (“deep inspection”) der Fortigate zu aktivieren? Führt diese Konfiguration zu “dramatischen Sicherheitsproblemen”?

Continue reading ‘“Finger weg von HTTPS?” – Ist SSL Interception fahrlässig?’

Traffic Shaping auf der Fortigate v5.4

Viele Supportanfragen hinsichtlich des Traffic Shapings auf der Fortigate haben uns dazu bewogen einen eigenen Blogartikel hierfür zu schreiben.

Die grössten Irrtümer

Traffic Shaper werden genutzt, um eine gewisse Bandbreite zu garantieren, darüber hinaus dem Traffic eine Priorität zuzuordnen und eine maximale Bandbreite zu setzen.

Aber Vorsicht:

Continue reading ‘Traffic Shaping auf der Fortigate v5.4’

Mehrsprachige Nutzungsbedingungen für das FortiGate Captive-Portal realisieren

Administratoren von Landes- und Sprachgrenzen überschreitenden Infrastrukturen kennen das Problem, dass die Sprachen von Webseiten je nach Standort und Sprache des Benutzers dessen Präferenzen angepasst werden müssen.

Je nach System gestaltet sich dies sehr einfach. Beispielsweise könnte auf einem Webserver mit PHP Integration die Sprache des Systems ausgelesen und die Sprache der Seite auf die jeweilige Sprache angepasst werden. In sicherheitsrelevanten Umgebungen wie der FortiGate oder anderen Firewalls gestaltet sich diese Herausforderung ein bisschen schwierig. Aufgrund der fehlenden serverseitigen Scriptsprachen Integration kann keine solche Lösung integriert werden.

Was schlussendlich als sinnvolle Lösungen übrig bleiben, sind folgende Ansätze:

Continue reading ‘Mehrsprachige Nutzungsbedingungen für das FortiGate Captive-Portal realisieren’

Deaktivieren der Fortigate SIP Unterstützung für Swisscom SIP-Telefonie

Stellt man von der herkömmlichen Telefonie auf SIP um, wird man seitens der eigenen Firewall, welche den Internetanschluss sichert, meist vor einige Probleme gestellt. SIP birgt für die Firewall zwei grundsätzliche Probleme:

Zum einen übermittelt SIP die interne (meist private) IP des SIP-Telefons oder der PBX im Payload. Beim Source NAT an der Firewall wird aber nur die IP im IP-Header genattet, die IP im Payload bleibt unberührt. Der Empfänger sucht sich jetzt aber die IP aus dem Payload heraus und möchte darauf antworten. Da das aber immer noch die private IP ist, funktioniert das nicht wirklich. Ursache dieses Problems, dass SIP ursprünglich unter IPv6 entwickelt wurde und somit von Network Address Translation (NAT) noch recht wenig gehört hat.

Das zweite Problem ist, dass SIP für die Sprach-Übertragung typischerweise zwei RTP-Kanäle (für eingehende und ausgehende Sprach-Übertragung) öffnet und das auf zwei wahlfreien Ports. Will man die Firewall nicht auf allen Ports öffnen, so haben die RTP Kanäle es schwer zur Destination zu gelangen. Somit würde ein Anruf zwar über SIP (udp/5060) signalisiert werden, aber bei der Gegenseite kommt nicht an, was man sagt.

Continue reading ‘Deaktivieren der Fortigate SIP Unterstützung für Swisscom SIP-Telefonie’

Apple TV / Sonos / Streaming Geräte in FortiGate Wireless Netzen

In FortiGate Installationen mit LAN und Wireless Netzen kann es vorkommen, dass Streaming Geräte wie Apple TV oder Sonos Player im Wireless Netz oder LAN integriert werden, die Steuerung via Mobile Device, Software oder ähnlichem aus dem jeweils anderen Netz aber nicht möglich ist.

Das Problem liegt meistens darin, dass die Steuerung die Geräte mittels Multicast sucht. Ist die Steuerung aber im LAN und das Streaming Gerät im Wireless Netz oder umgekehrt, blockt die FortiGate diese Multicast Pakete. Damit dies funktioniert, müssen auf der FortiGate zwei Multicast Policies erstellt und das Multicast Routing erlaubt werden.

Als erstes wird via CLI das Multicast Routing erlaubt.

config system settings
     set multicast-forward enable
end

Danach wird ein Multicast Adressobjekt für das Streaming Gerät erstellt.
Für den Apple Dienst Bonjour / Apple TV ist dieses bereits definiert, für Sonos wurde ein neues erstellt.

Danach müssen Sie zwei Multicast Policies erstellen, damit der Multicast Verkehr zugelassen wird:

Mit dem Multicast Regeln werden die Streaming Geräte gefunden.
Allenfalls müssen zusätzliche Firewall Policies für reguläre Ports, je nach Anbieter, konfiguriert und geöffnet werden, damit auch die gesamte Steuerung funktioniert.

Boll USB <-> RJ45 Serial Konsolen Kabel ist da! Good News für Netzwerk & Security Administratoren

Es ist so weit. Unser Boll USB Konsolen Kabel ist ab sofort bestellbar!

Netzwerk & Security Administratoren kennen die Problematik. Um Zugriff auf eine serielle Konsole zu bekommen benötigt es ein Adapter, da kaum mehr ein Notebook einen alten DB9 (DE-9) Anschluss hat. Kein Hersteller liefert ein USB Konsolen Kabel direkt auf RJ45 Ports welche heute bei praktisch allen Netzwerk & Security Devices der Standard ist. Die nervigen Adapter und die teilweise mühsame Treiber Unterstützung hat uns bewogen ein eigenes Boll Konsolen Kabel entwickeln zu lassen. Folgende Bilder illustrieren das schön:

Konsolen Access früher:

Continue reading ‘Boll USB < -> RJ45 Serial Konsolen Kabel ist da! Good News für Netzwerk & Security Administratoren’

Hypervisor von Fortinet: FortiHypervisor-90E

Mit dem FortiHypervisor-90E erweitert Fortinet ihre Hypervisor Produkte-Linie, heute bestehend aus FHV-500D und FHV-2500E, um ein kostengünstiges Einstiegsmodell.

Frontanschlüsse, LED’s, Logdisk, CPU, ASIC’s, Memory

Auf der Vorderseite stehen zwei USB 3.0 Anschlüsse für Backup und Log-Transfer, sowie ein serieller Konsolen Anschluss zur Verfügung. Neben den 16 Ethernet-Status LEDs, gibt es weitere für Power, Appliance Status (STA)/Alarm und Harddisk Zugriff. Der atypische Form-Faktor ist dem einfachen Austausch der Harddisk, welche im unteren Teil des Gehäuses verbaut wurde, geschuldet. Der Harddisk Schacht ist frontseitig mit einer Blende abgedeckt. Diese kann durch lösen von 2 Schrauben auf der Gehäuseunterseite entfernt werden.

Bild 1: Frontseite – FHV-90E

Continue reading ‘Hypervisor von Fortinet: FortiHypervisor-90E’

FortiGate 30E & FortiExtender 40D mit 3G/4G LTE SIM: Mobile WAN Setup vereinfacht!

WAN Verbindungen mittels 3G/4G werden immer populärer. Sei es als Backup oder aber auch als primäre Internet Leitung für Niederlassungen, die keine oder schlechte kabelgebundene Internet Verbindungen haben. FortiGate Firewalls unterstützen schon seit Jahren USB 3G/4G Modems, welche direkt an eine FortiGate oder einen FortiExtender angeschlossen werden können. Dafür unterstützt FortiOS auch eine stattliche Anzahl Modems mittels entsprechenden Treiber. Da viele Provider aber häufig angepasste 3G/4G Modems mit entsprechend eigener Firmware ausliefern, kann es durchaus vorkommen, dass es zu Inkompatibilitäten führt. Zwar konnte dies teilweise umgangen werden indem vom  Modem Hersteller eine entsprechende nicht angepasste Firmware auf das Modem installiert wurde, doch dies ist häufig ein mühsames, respektive zeitraubendes Unterfangen. Mit der Veröffentlichung der neuen 3G/4G FortiGate/FortiWifi oder FortiExtender Modelle gibt es nun einen einfacheren Weg. Diese Modelle haben ein direkt integriertes Modem. Es benötigt also nur noch eine SIM Karte, was das ganze stark vereinfacht.

Das hat uns motiviert einen Test der zwei Geräte zu machen. Um es vorweg zu nehmen: Die neue FortiGate 30E 3G/4G und der FortiExtender 40D lässt sich ganz einfach konfigurieren und hat in unserem Test auf Anhieb funktioniert.

Ob nun eine FortiGate mit SIM Slot oder ein FortiExtender eingesetzt wird ist vor allem abhängig, ob die FortiGate an einem Ort installiert werden kann mit gutem Mobile Empfang. Wenn das nicht gegeben ist, wie es häufig in einem Rack der Fall ist, dann empfiehlt sich der Einsatz des FortiExtender. Dieser wird per Ethernet mit einer FortiGate verbunden. Das bietet die Möglichkeit den FortiExtender dort zu positionieren, wo der Mobile Empfang ideal ist.

FotiExtender40D-3G4G

 

Erkennung und Grundkonfiguration SIM Karte

Continue reading ‘FortiGate 30E & FortiExtender 40D mit 3G/4G LTE SIM: Mobile WAN Setup vereinfacht!’