Archive for the 'HowTo' Category

Page 2 of 5

Deaktivieren der Fortigate SIP Unterstützung für Swisscom SIP-Telefonie

Stellt man von der herkömmlichen Telefonie auf SIP um, wird man seitens der eigenen Firewall, welche den Internetanschluss sichert, meist vor einige Probleme gestellt. SIP birgt für die Firewall zwei grundsätzliche Probleme:

Zum einen übermittelt SIP die interne (meist private) IP des SIP-Telefons oder der PBX im Payload. Beim Source NAT an der Firewall wird aber nur die IP im IP-Header genattet, die IP im Payload bleibt unberührt. Der Empfänger sucht sich jetzt aber die IP aus dem Payload heraus und möchte darauf antworten. Da das aber immer noch die private IP ist, funktioniert das nicht wirklich. Ursache dieses Problems, dass SIP ursprünglich unter IPv6 entwickelt wurde und somit von Network Address Translation (NAT) noch recht wenig gehört hat.

Das zweite Problem ist, dass SIP für die Sprach-Übertragung typischerweise zwei RTP-Kanäle (für eingehende und ausgehende Sprach-Übertragung) öffnet und das auf zwei wahlfreien Ports. Will man die Firewall nicht auf allen Ports öffnen, so haben die RTP Kanäle es schwer zur Destination zu gelangen. Somit würde ein Anruf zwar über SIP (udp/5060) signalisiert werden, aber bei der Gegenseite kommt nicht an, was man sagt.

Continue reading ‚Deaktivieren der Fortigate SIP Unterstützung für Swisscom SIP-Telefonie‘

Apple TV / Sonos / Streaming Geräte in FortiGate Wireless Netzen

In FortiGate Installationen mit LAN und Wireless Netzen kann es vorkommen, dass Streaming Geräte wie Apple TV oder Sonos Player im Wireless Netz oder LAN integriert werden, die Steuerung via Mobile Device, Software oder ähnlichem aus dem jeweils anderen Netz aber nicht möglich ist.

Das Problem liegt meistens darin, dass die Steuerung die Geräte mittels Multicast sucht. Ist die Steuerung aber im LAN und das Streaming Gerät im Wireless Netz oder umgekehrt, blockt die FortiGate diese Multicast Pakete. Damit dies funktioniert, müssen auf der FortiGate zwei Multicast Policies erstellt und das Multicast Routing erlaubt werden.

Als erstes wird via CLI das Multicast Routing erlaubt.

config system settings
     set multicast-forward enable
end

Danach wird ein Multicast Adressobjekt für das Streaming Gerät erstellt.
Für den Apple Dienst Bonjour / Apple TV ist dieses bereits definiert, für Sonos wurde ein neues erstellt.

Danach müssen Sie zwei Multicast Policies erstellen, damit der Multicast Verkehr zugelassen wird:

Mit dem Multicast Regeln werden die Streaming Geräte gefunden.
Allenfalls müssen zusätzliche Firewall Policies für reguläre Ports, je nach Anbieter, konfiguriert und geöffnet werden, damit auch die gesamte Steuerung funktioniert.

 

Weiterführende Informationen zum Thema finden Sie unter: Cookbook (FortiOS 4, aber sehr informativ auch für neuere FortiOS Releases), AirPlay Anleitung, AirPrint Anleitung, FortiOS 5.2 Cookbook, FortiOS 5.2 Multicast Routing Dokumentation

Fortinet Visio Stencils

Fortinet stellt Ihren Partner und Kunden eine umfassende Produkte Visio Schablone zur Verfügung.

Sie können die Schablone von unserem Doc-Server herunterladen

Version Stand vom März 2017:
https://doc.boll.ch/virtual/1286/Fortinet_Visio_Stencil_R7_03_2017.zip

Version Stand vom 1. September 2016:
http://doc.boll.ch/virtual/1220/VisioStencilsQ32016.zip

 

FortiOS 5.4.1 Upgrade / Boot Issue with FortiGate 60D

Several customers reported problems while upgrading to FortiOS 5.4.1. FortGate 60D models did not boot up correctly after the upgrade. Fortinet is aware of the issue and mentioned it in the release notes:

The following 60D models have an issue upon upgrading to FortiOS 5.4.1. The second disk (flash) is unformatted and results in the /var/log/ directory being mounted to an incorrect partition  used exclusively for storing the firmware image and booting.

  • l FG-60D-POE
  • l FG-60D
  • l FWF-60D-POE
  • l FWF-60D

To fix the problem, follow these steps. If you have not upgraded yet, you only need to perform step 6, otherwise start with step 1.

  1. Backup your configuration.
  2. Connect to the console port of the FortiGate device.
  3. Reboot the system and enter the BIOS menu.
  4. Format the boot device.
  5. Burn the firmware image to the primary boot device.
  6. Once the system finishes rebooting, from the CLI run „execute disk format 16“. This will format the second flash disk.
  7. Restore your configuration.

Link to release notes:
http://docs.fortinet.com/d/fortios-5.4.1-release-notes

Locky – New Crypto Ransomware in the Wild

jonas_spieckermann

Quellenangabe:
Jonas Spieckermann, Watchguard

Artikel vom WatchGuard Security Center:
http://watchguardsecuritycenter.com/

 

Last week,  a new ransomware variant called Locky began spreading in the wild.

Locky encrypts data on an infected system using AES encryption, and then leaves a blackmail letter (which is localized in several languages) asking for half a bitcoin to get your data back. More disturbingly, it also searches for any network share (not just mapped shares), and encrypts data on those remote shares as well. If you leverage cloud storage solutions, your backup may get infected as well when it synchronizes the encrypted files. Currently, researchers have not found a way to decrypt files Locky has locked.

locky_01
Figure 1: Example of Locky’s ransom warning.

Continue reading ‚Locky – New Crypto Ransomware in the Wild‘

How to prevent ransomware and other malicious malware with your Firebox

The number of ransomware incidents has exploded in the last few years, infecting hundreds of thousands of systems worldwide. Ransomware is malware that’s designed to hold your data hostage unless you pay up. Wait too long —or try to rescue it — and that data can be gone for good.

To protect your network and computers from ransomware and other malicious malware, be sure to first perform these fundamental tasks:

  • Backup and recovery
  • Segment BYOD (Bring Your Own Devices) from main network
  • Run antivirus software on clients

Is Your Firebox Ready to Block Ransomware?

Follow these steps to defend your network from malicious malware.

Signature Updates

  • Make sure the signatures for Gateway AntiVirus, IPS, and Application Control are up to date.
  • Enable automatic updates of all your signatures.

ransomware_01

Continue reading ‚How to prevent ransomware and other malicious malware with your Firebox‘

HowTo: FortiCloud verwaltet FortiAPs auch ohne FortiCloud-Code

FortiAP’s können generell von einem dedizierten FortiGate Wireless Controller ‚managed‘ werden oder über den FortiCloud Service. Letztere Methode benötigt keinen Wireless Controller vor Ort. Für einfachere Umgebungen ist das FortiCloud Wireless Management eine kostengünstige Alternative. Der Preis von FortiAP’s beinhaltet bereits den FortiCloud Wireless Management Service.

Für FortiAPs welche bei der Auslieferung noch keinen FortiCloud-Code aufgedruckt haben, müssen seit den aktuellsten V5.0 und V5.2 FortiAP Builds keinen FortiCloud-Key mehr bei Fortinet beantragen um diesen unter www.forticloud.com registrieren zu können. FortiAP’s mit einem FortiCloud Aktivierungs Key erkennen sie anhand eines aufgeklebten Sticker wie sie im folgenden Beispiel erkennen können:

IMG_1381

Bei FortiAP Modellen welche keinen solchen Sticker haben kann bei der WTP-Konfiguration des FortiAPs lediglich noch der Discovery-Type auf FortiCloud gestellt sowie die Account Login Daten hinterlegt werden und schon meldet sich der FortiAP in der FortiCloud, wo er danach autorisiert werden kann.

Fortinet beschreibt die Vorgehensweise in folgender Anleitung detailliert:
FortiCloud-manages FortiAP WiFi without a key

Wir wünschen viel Spass beim testen des Cloud-Dienstes!

Maximale Anzahl FortiAPs pro Fortigate

Die Frage, wie viele FortiAPs über den Wireless Controller der Fortigate verwaltet werden können, hängt in erster Linie vom Fortigate Modell ab und wird in der Produktematrix beantwortet. Hier ist die Rede von „Max FortiAPs (Total/Tunnel)“ und dementsprechend werden pro Modell immer zwei Werte angegeben, so z.B. 32/16 für alle Modelle zwischen der FGT60D und FGT92D, oder 64/32 für die FGT100D.

Auf den ersten Blick interpretiert man die Zahlen am Beispiel der FGT92D so: im Tunnel Mode können maximal 16 FAPs angehängt, in anderen (also im Local Bridge) Mode, können dann noch weitere 16 FAPs angehängt werden. Oder man hängt 8 Tunnel Mode FAPs an und dann noch 24 Local Bridge FAPs an. Aber ganz so einfach ist es nicht. Was passiert z.B. wenn auf einem AP mehrere Tunnel Mode SSIDs und Local Bridge SSIDs angehängt werden?

Versuchen wir ein wenig Licht ins Dunkle zu bringen. Schauen wir zunächst mal auf eine FGT92D ohne jegliche FAPs:

ap-1-factory-default

Obwohl die maximale Anzahl für dieses Modell mit 32 angegeben ist, werden im WebUI nur 16 als maximale Anzahl angezeigt. Continue reading ‚Maximale Anzahl FortiAPs pro Fortigate‘

How to: Huawei E3276 Modem an Fortigate/Extender betreiben

huawei_e3276Oft erhalten wir Anfragen, ob die Huawei-Modems mit Fortigate funktionieren, denn das Modem wird meist von der FortiGate nicht erkannt. Damit das Modem von der FortiGate erkannt wird, muss es jedoch höchstwahrscheinlich zuerst mit einer anderen Firmware bespielt werden. Daher hier unsere Anleitung, wie das Huawei Modem mit der richtigen Firmware bespielt werden kann.

Unsere Erfahrungen zum aktuellen Zeitpunkt: Der Huawei-Stick funktioniert sowohl mit der FortiGate sowie dem FortiExtender, nachdem dieser mit der neuen Firmware geflashed worden ist.

Continue reading ‚How to: Huawei E3276 Modem an Fortigate/Extender betreiben‘

WatchGuard Feature: FQDN in Firewall Policies

Mit dem Fireware Release 11.10 ist es möglich, FQDN Objekte in Firewall Policies (im From oder To) zu verwenden. Dieses Feature kann dazu genutzt werden, Policies für einzelne Domains zu erstellen und entsprechende Einstellungen nur für diese Domäne anzuwenden. Zudem kann man diese FQDN Objekte in Policies für Updates von Microsoft, AntiViren Programmen oder weiteren CDN Netzwerken nutzen, um zum Beispiel die Bandbreite zu limitieren.

Nebst der Angabe eines einzelnen Hostnamen sind auch Wildcard Einträge erlaubt:

WatchGuard_Feature_FQDN_1

Continue reading ‚WatchGuard Feature: FQDN in Firewall Policies‘