Author Archive for mp

FortiGate: Nur Default UTM Profile sichtbar / Only default UTM profiles visible

Wir kriegen öfters Supportfälle, bei welchen FortiGate Administratoren nur die Default UTM Profile in Firewall Policies auswählen können.
Some FortiGate admins report problems with missing UTM profiles in firewall policies. They can only see and choose default profiles.

Continue reading ‘FortiGate: Nur Default UTM Profile sichtbar / Only default UTM profiles visible’

Apple TV / Sonos / Streaming Geräte in FortiGate Wireless Netzen

In FortiGate Installationen mit LAN und Wireless Netzen kann es vorkommen, dass Streaming Geräte wie Apple TV oder Sonos Player im Wireless Netz oder LAN integriert werden, die Steuerung via Mobile Device, Software oder ähnlichem aus dem jeweils anderen Netz aber nicht möglich ist.

Das Problem liegt meistens darin, dass die Steuerung die Geräte mittels Multicast sucht. Ist die Steuerung aber im LAN und das Streaming Gerät im Wireless Netz oder umgekehrt, blockt die FortiGate diese Multicast Pakete. Damit dies funktioniert, müssen auf der FortiGate zwei Multicast Policies erstellt und das Multicast Routing erlaubt werden.

Als erstes wird via CLI das Multicast Routing erlaubt.

config system settings
     set multicast-forward enable
end

Danach wird ein Multicast Adressobjekt für das Streaming Gerät erstellt.
Für den Apple Dienst Bonjour / Apple TV ist dieses bereits definiert, für Sonos wurde ein neues erstellt.

Danach müssen Sie zwei Multicast Policies erstellen, damit der Multicast Verkehr zugelassen wird:

Mit dem Multicast Regeln werden die Streaming Geräte gefunden.
Allenfalls müssen zusätzliche Firewall Policies für reguläre Ports, je nach Anbieter, konfiguriert und geöffnet werden, damit auch die gesamte Steuerung funktioniert.

Fortinet PowerPoint Icon Library

Fortinet stellt eine PowerPoint Icon Library für die Erstellung von Präsentationen zur Verfügung.

Sie können die Icon Library von unserem Doc-Server herunterladen:

 

März 2016
http://doc.boll.ch/virtual/1221/FTNT-IconLibrary-16-08-01.ppt

März 2016
http://doc.boll.ch/virtual/1186/FTNT-IconLibrary-16-03-01-Public.pptx

Dezember 2015
http://doc.boll.ch/virtual/1172/FTNT-IconLibrary-15-12-01-Public.pptx

September 2015
http://doc.boll.ch/virtual/1169/FTNT-IconLibrary-15-09-01-Public.pptx

August 2015
http://doc.boll.ch/virtual/1162/FTNT-IconLibrary-15-08-01-Public.pptx

Juli 2015
http://doc.boll.ch/virtual/1158/FTNT_IconLibrary_15_07_01_Public.ppt

Juni 2015
http://doc.boll.ch/virtual/1153/FTNT_IconLibrary_PUBLIC_15_06_01.pptx

April 2015
http://doc.boll.ch/virtual/1148/FTNT_IconLibrary_15_31_03_Public.pptx

FortiOS 5.4.1 Upgrade / Boot Issue with FortiGate 60D

Several customers reported problems while upgrading to FortiOS 5.4.1. FortGate 60D models did not boot up correctly after the upgrade. Fortinet is aware of the issue and mentioned it in the release notes:

The following 60D models have an issue upon upgrading to FortiOS 5.4.1. The second disk (flash) is unformatted and results in the /var/log/ directory being mounted to an incorrect partition  used exclusively for storing the firmware image and booting.

  • l FG-60D-POE
  • l FG-60D
  • l FWF-60D-POE
  • l FWF-60D

To fix the problem, follow these steps. If you have not upgraded yet, you only need to perform step 6, otherwise start with step 1.

  1. Backup your configuration.
  2. Connect to the console port of the FortiGate device.
  3. Reboot the system and enter the BIOS menu.
  4. Format the boot device.
  5. Burn the firmware image to the primary boot device.
  6. Once the system finishes rebooting, from the CLI run “execute disk format 16”. This will format the second flash disk.
  7. Restore your configuration.

Link to release notes:
http://docs.fortinet.com/d/fortios-5.4.1-release-notes

Locky – New Crypto Ransomware in the Wild

jonas_spieckermann

Quellenangabe:
Jonas Spieckermann, Watchguard

Artikel vom WatchGuard Security Center:
http://watchguardsecuritycenter.com/

 

Last week,  a new ransomware variant called Locky began spreading in the wild.

Locky encrypts data on an infected system using AES encryption, and then leaves a blackmail letter (which is localized in several languages) asking for half a bitcoin to get your data back. More disturbingly, it also searches for any network share (not just mapped shares), and encrypts data on those remote shares as well. If you leverage cloud storage solutions, your backup may get infected as well when it synchronizes the encrypted files. Currently, researchers have not found a way to decrypt files Locky has locked.

locky_01
Figure 1: Example of Locky’s ransom warning.

Continue reading ‘Locky – New Crypto Ransomware in the Wild’

How to prevent ransomware and other malicious malware with your Firebox

The number of ransomware incidents has exploded in the last few years, infecting hundreds of thousands of systems worldwide. Ransomware is malware that’s designed to hold your data hostage unless you pay up. Wait too long —or try to rescue it — and that data can be gone for good.

To protect your network and computers from ransomware and other malicious malware, be sure to first perform these fundamental tasks:

  • Backup and recovery
  • Segment BYOD (Bring Your Own Devices) from main network
  • Run antivirus software on clients

Is Your Firebox Ready to Block Ransomware?

Follow these steps to defend your network from malicious malware.

Signature Updates

  • Make sure the signatures for Gateway AntiVirus, IPS, and Application Control are up to date.
  • Enable automatic updates of all your signatures.

ransomware_01

Continue reading ‘How to prevent ransomware and other malicious malware with your Firebox’

WatchGuard Feature: FQDN in Firewall Policies

Mit dem Fireware Release 11.10 ist es möglich, FQDN Objekte in Firewall Policies (im From oder To) zu verwenden. Dieses Feature kann dazu genutzt werden, Policies für einzelne Domains zu erstellen und entsprechende Einstellungen nur für diese Domäne anzuwenden. Zudem kann man diese FQDN Objekte in Policies für Updates von Microsoft, AntiViren Programmen oder weiteren CDN Netzwerken nutzen, um zum Beispiel die Bandbreite zu limitieren.

Nebst der Angabe eines einzelnen Hostnamen sind auch Wildcard Einträge erlaubt:

WatchGuard_Feature_FQDN_1

Continue reading ‘WatchGuard Feature: FQDN in Firewall Policies’

FortiGate Service ALL nach Firmware Upgrade verändert

Update: Fortinet hat das Problem erkannt und in einem Customer Support Bulletin beschrieben.

In FortiOS v5.0.8 and v5.0.9 and v5.2.0 through v5.2.2, the default value of the firewall service protocol number was changed from a value of 0 to 6.

The most commonly observed impact of this change is that after upgrading to the affected firmware, the “ALL” service matches only TCP traffic.

Executing a factory-reset on the FortiGate device does NOT change the default value to 6.

Affected Products:

All FortiGate models.

Resolution:

FortiOS v5.0.10 and v5.2.3 has fixed the issue.  Upon upgrading the FortiGate device, the firewall service protocol number is restored to 0.

Workaround:

Those wishing not to upgrade the firmware can modify the affected firewall services to explicitly set the protocol-number to 0.  For example:

config firewall service custom

edit “ALL”

set protocol-number 0

next

Das Bulletin ist hier zu finden: https://support.fortinet.com/Information/Bulletin.aspx (Login benötigt)

—————————————————————————————————————————-

Ursprünglicher Artikel:

Wir haben vermehrt festgestellt, dass nach nicht supporteten FortiOS Upgrades auf 5.2.2 der Service ALL nicht mehr ANY als Service beinhaltet, sondern nur noch IP/6, was dem TCP Protokoll entspricht. Damit gehen zum Beispiel ICMP oder auch UDP Pakete nicht mehr durch diese Firewall Policy, welche vor dem Upgrade alles durchgelassen hat.

ALL_Service

Bestätigen können wir dieses Problem aktuell für folgende Upgrades, welche von Fortinet aber nicht supported sind.

5.0.5 –> 5.2.2
5.0.6 –> 5.2.2
5.0.7 –> 5.2.2

Zusätzlich haben wir das Problem bei folgenden “supporteten” Upgardes gesehen:

5.0.10 –> 5.2.2
5.0.11 –> 5.2.2

Als Lösung kann man im ALL Service die Protocol Number wieder auf 0 setzen.

ALL_Service_korrigiert

Offiziell supported ist der Upgrade ab 5.0.8 direkt auf 5.2.2. Bei den Upgrades von 5.0.8 und 5.0.9 haben wir das Problem bis jetzt nicht gesehen.

Trotz dieser Situation empfehlen wir im Normalfall, immer den supporteten Upgrade Pfad, wie in den Release Notes angegeben ist, zu befolgen. Für den Upgrade gibt es nebst den Release Notes auf ein eigenes Dokument für den unterstützten Upgrade.

Supported Upgrade Path für 5.2.2:
http://docs.fortinet.com/d/upgrade-paths-to-fortios-5.2.0

Für Neugeräte empfehlen wir, direkt den gewünschten Release per TFTP raufzuladen. Weiter ist auch möglich, per WebGUI direkt auf den gewünschten Release upzudaten ohne den Supported Upgrade Path zu beachten, dann aber die FortiGate per CLI  auf die Standardeinstellungen zurückzusetzen: exec factoryreset.

FortiClient Configuration Deployment

Mit den neueren FortiGate OS Releases ist es möglich, FortiClients via FortiClient Profile auf der FortiGate zu managen. So können etwa Webfilter Profile oder VPN Informationen an die FortiClients gepushed werden, sobald sich diese an der FortiGate registriert haben.

FortiClient_Default_Configuration

Es ist dank einer CLI Einstellung auch möglich, Teile oder die ganze Konfiguration im XML Format an den Client zu übermitteln. Continue reading ‘FortiClient Configuration Deployment’

WatchGuard Feature: Hotspot Guest User Authentication

Mit der Fireware Version 11.9.4 wurde ein vielfach gewünschtes Feature, vor allem im Wireless Bereich, implementiert. Es handelt sich dabei um ein Guest Ticket System. Dabei kann ein Guest Administrator selber Zugangs-Tickets mit definierter Laufzeit, Businessinformationen und Logo selbständig erstellen und ausdrucken.

Dieses Hotspot Feature wird vor allem im Wireless Bereich gewünscht. Die Hotspot Seite kann aber unabhänig auf allen gewünschten Interfaces genutzt werden, so zum Beispiel auch auf einem verkabelten Gästenetz.

Vorgehen

Als erstes wird auf einem beliebigen Interface (physikalische Interfaces, VLANs, Wireless SSIDs) der Hotspot aktiviert (Policy Manager –> Setup –> Authentication –> Hotspot und die Option gewählt, dass sich Benutzer anmelden müssen.  Dabei kann gewählt werden, ob der Gast sich mit Username und Passwort oder nur mit Passwort anmelden muss.

WatchGuard_Feature_Hotspot_01

Continue reading ‘WatchGuard Feature: Hotspot Guest User Authentication’