Archive for the 'Fortinet' Category

Anti-Spoofing mit FortiMail

Erhalten Sie gefälschte E-Mails von Ihrem Chef, in denen er Sie zu einem Geldtransfer auffordert? Und dies obwohl die implementierte Anti-Spam Lösung grundsätzlich funktioniert? Willkommen beim Thema Anti-Spoofing.

SMTP Protokoll

Um die Problematik zu verstehen, müssen wir uns den Aufbau des SMTP-Protokolls etwas genauer anschauen. Als Analogie dient hier der klassische Brief.

Sowohl beim Brief als auch beim Mail haben wir einen Umschlag (Envelope) und darin verpackt den Inhalt:

Der Briefträger (Mail Transfer Agent) kennt für die Zustellung nur den Empfänger (RCPT TO) auf dem Briefumschlag; der Absender ist beim Brief optional. Der Empfänger wiederum kann den Ursprung meist nur durch die Angaben im Briefkopf (Header From) verifizieren. Und da Papier bekanntlich vieles annimmt, kann man auch beim klassischen Brief einen fremden Briefkopf verwenden (Spoofing).

Nun aber zurück zum Mail: Im Gegensatz zum Brief ist hier der Absender (MAIL FROM) meistens bekannt. Dadurch könnte der Empfänger diesen mit den Angaben im Briefkopf vergleichen. Könnte, weil die meisten Mail Clients diese Information in der Standardansicht schlicht nicht anzeigen.

Und somit ist es ein einfaches, ein Mail von der Mailbox chef@spam.com (MAIL FROM) zu versenden, welches beim Benutzer als chef@boll.ch (Header From) erscheint.

Natürlich kann man auch den gesamten Umschlag fälschen, aber in diesem Beitrag konzentriere ich mich auf den Header.

Header Spoofing

Nachfolgend zeige ich verschiedene Möglichkeiten, wie wir auf der FortiMail Anti-Spoofing einrichten können. Bei allen Varianten empfehle ich, diese zuerst mit der Action «None» zu aktivieren. Dadurch erhält man Log-Einträge, ohne dass der Mailflow gestört wird.

Eigene Maildomain schützen

Klassisch steht die eigene Domain nur dann im Header From, wenn es sich um ein ausgehendes E-Mail handelt. Diese Tatsache nutzen wir bei folgenden Konfigurationen.

Enable sender block list checking (Session Profile)

Falls noch nicht vorhanden, muss für ausgehende Sessions eine separate IP-Policy erstellt werden:

Anschliessend wird die Sender Block List im Inbound Session Profile konfiguriert. Diese Black-/Whitelisten werden sowohl mit dem MAIL FROM als auch dem Header From verglichen. Erstellt man eine Blacklist für seine eigene Domain, kann niemand mehr eine interne Mailadresse für die eingehende Kommunikation verwenden. Beim Einsatz von Cloud-Services müssen allerdings entsprechende Ausnahmen konfiguriert werden.

Stand FortiMail 6.0.4: Leider lässt sich dieser Check mit einem modifizierten Header relativ einfach umgehen. Als Workaround bietet sich nachfolgende Variante an.

Dictionary (Anti-Spam Profile)

Mit einem Dictionary Eintrag im Anti-Spam Profil lässt sich die eigene ebenfalls Domain schützen. Hier wird die erfasste Zeichenfolge mit dem Mail Header und/oder Body verglichen.

Im Admin-Guide findet sich folgende RegEx als Beispiel: from: .*@example.com.*

Die FortiMail wendet Regular Expressions ohne Berücksichtigung der Gross-/Kleinschreibung an.

Inbound Disclaimer

Der Vollständigkeit halber noch eine Variante von Fortinet. Dabei werden gleich sämtliche eingehende Mails als extern gekennzeichnet:
https://cookbook.fortinet.com/fortimail-configuring-inbound-message-warnings/

Fremde Absender verifizieren

<Fortsetzung folgt>

 

CheatSheet – FortiOS v6.0

This week we start with the update of the cheatsheet for version 6.0.

The Tech-Team of BOLL Engineering wishes you happy troubleshooting!

FortiGate GUI „Addresses“ Seite wird nicht angezeigt

Wir haben vermehrt die Meldung bekommen, dass unter FortiOS 5.2 und 5.4 im WebUI die Seite „Addresses“ unter „Policy & Objects“ nicht mehr angezeigt werden kann.

Der Header der Seite wird angezeigt, mehr allerdings nicht:

Nach Abklärungen mit Fortinet handelt es sich dabei um einen Bug in verschiedenen Releases.

Continue reading ‚FortiGate GUI „Addresses“ Seite wird nicht angezeigt‘

Problem beim Service-Transfer von Trade-Up Geräten

In unserer Supportabteilung werden wir oft mit dem Problem konfrontiert, dass Trade-Up Fortinet-Geräte falsch registriert werden und damit wertvolle Services verloren gehen.

Zugegeben – das Ganze ist auch etwas kompliziert und deshalb möchten wir hier ein paar Infos zur Situation und zur Lösung des Problems geben:

Trade-Up Programm:

Fortinet-Kunden haben die Möglichkeit, End-of-order Geräte mit einem sehr netten Rabatt gegen ein neues Gerät einzutauschen. Hinsichtlich der FortiGuard-Services gibt es dabei zwei Varianten:

Continue reading ‚Problem beim Service-Transfer von Trade-Up Geräten‘

FortiClient nicht automatisch mit Windows starten

Anleitung, wie der FortiClient so angepasst werden kann, damit dieser nicht automatisch mit Windows startet.

Continue reading ‚FortiClient nicht automatisch mit Windows starten‘

FortiGate „Cannot allocate memory“ Fehler beheben

Wir haben in den letzten Monaten einige FortiGates gesehen, welche regelmässig den Fehler

2018-01-01 10:10:10 [__cmdb_bg_fork:670] fork( ) failed: 12(Cannot allocate memory)

auf der seriellen und der SSH Konsole ausgeben. Teilweise erscheint der Fehler immer, teilweise erst nach einem „diag debug enable“. Auf der seriellen Konsole erscheint der Fehler immer, in der SSH Konsole teilweise nicht. Mit dem Fehler einher geht noch das Symptom, dass keine Anpassungen an der Konfiguration mehr übernommen werden. Die Änderungen werden im GUI und CLI angezeigt, werden jedoch nicht angewendet. Eine gelöschte Firewall Policy kann so zum Beispiel weiterhin Traffic zulassen, obwohl die Policy nicht mehr existiert.
Continue reading ‚FortiGate „Cannot allocate memory“ Fehler beheben‘

VXLAN: L2 Traffic zwischen Standorten übertragen

Ein Subnetz, zwei Standorte. Dies ist auf dem FortiGate seit Version 5.4 auch ohne NAT möglich. Zur Verwendung kommt dazu ein Protokoll, welches es ermöglicht, Layer 2 Traffic über Layer 3 Netzwerke zu senden. Dieses Protokoll heisst Virtual eXtensible Local Area Network (VXLAN) und wurde im RFC 7348 zum Standard definiert. Zur Anwendung kommt dieses vor allem in Infrastrukturen grosser Provider oder in virtuellen Infrastrukturen, um Netzwerke an unterschiedlichen Standorten verfügbar zu machen.
Continue reading ‚VXLAN: L2 Traffic zwischen Standorten übertragen‘

FortiGate Routing mit Distanz 255

Wir haben von unseren Resellern in letzter Zeit vermehrt Anfragen erhalten, dass die konfigurierten Blackhole Routen scheinbar nicht funktionieren.

Nach einer genaueren Analyse des Problems haben wir festgestellt, dass nur Blackhole Routen mit konfigurierter Distanz 255 betroffen sind. Sobald die Distanz auf 254 gesetzt wurde, erschienen die Routen in der Routing-Tabelle und wurden aktiv. Entsprechend der Konfiguration wurde der betreffende Traffic verworfen.

Die Distanz ist eine Schätzung der Anzahl Hops zum Ziel. Durch die Verwendung der Distanz im Routing Algorithmus wird sichergestellt, dass immer der kürzeste Weg zum Ziel gewählt wird.

Gemäss den Fortinet Manuals wird die Distanz 255 als „unendlich“ definiert. Der Traffic würde dann also zu lange brauchen um effektiv am Ziel an zu kommen. Daher wird eine Route mit Distanz 255 nie in der Routing Tabelle zur Anwendung kommen.

Entsprechend betrifft das Problem also nicht nur Blackhole Routen, sondern jegliche Routen. In den meisten Fällen kommen jedoch Distanzen von über 200 nur in sehr speziellen Konfigurationen zur Anwendung. Wie beispielsweise bei Blackhole Routen.

Weitere Informationen zum Routing-Verhalten des FortiGates sind unter help.fortinet.com zu finden.

Die Fortigate Cluster ID und allfällige Probleme mit dem ISP

Das proprietäre FortiGate Clustering Protocol (FGCP) ist ein effektives und pragmatisches Clustering-Protokoll. Fortinet verzichtet dabei auf die Verwendung von dedizierten Interface-IPs und einer zusätzlichen Cluster IP pro Interface. Stattdessen wird pro Cluster-Interface mit nur einer IP gearbeitet und dafür aber mit einer eigenen virtuellen MAC-Adresse pro Cluster-Interface. Nur der Cluster-Master darf diese virt. MAC-Adresse nutzen, um produktiven Traffic zu senden (oder zu empfangen). Die phys. MAC-Adressen werden (ausser für spezielle Kommunikation im A/A-Cluster) nicht genutzt.

Folgendes Bild veranschaulicht das Prinzip: Continue reading ‚Die Fortigate Cluster ID und allfällige Probleme mit dem ISP‘