Mehrsprachige Nutzungsbedingungen für das FortiGate Captive-Portal realisieren

Administratoren von Landes- und Sprachgrenzen überschreitenden Infrastrukturen kennen das Problem, dass die Sprachen von Webseiten je nach Standort und Sprache des Benutzers dessen Präferenzen angepasst werden müssen.

Je nach System gestaltet sich dies sehr einfach. Beispielsweise könnte auf einem Webserver mit PHP Integration die Sprache des Systems ausgelesen und die Sprache der Seite auf die jeweilige Sprache angepasst werden. In sicherheitsrelevanten Umgebungen wie der FortiGate oder anderen Firewalls gestaltet sich diese Herausforderung ein bisschen schwierig. Aufgrund der fehlenden serverseitigen Scriptsprachen Integration kann keine solche Lösung integriert werden.

„Mehrsprachige Nutzungsbedingungen für das FortiGate Captive-Portal realisieren“ weiterlesen

FortiOS 5.4.1 Upgrade / Boot Issue with FortiGate 60D

Several customers reported problems while upgrading to FortiOS 5.4.1. FortGate 60D models did not boot up correctly after the upgrade. Fortinet is aware of the issue and mentioned it in the release notes:

The following 60D models have an issue upon upgrading to FortiOS 5.4.1. The second disk (flash) is unformatted and results in the /var/log/ directory being mounted to an incorrect partition  used exclusively for storing the firmware image and booting.

  • l FG-60D-POE
  • l FG-60D
  • l FWF-60D-POE
  • l FWF-60D

To fix the problem, follow these steps. If you have not upgraded yet, you only need to perform step 6, otherwise start with step 1.

  1. Backup your configuration.
  2. Connect to the console port of the FortiGate device.
  3. Reboot the system and enter the BIOS menu.
  4. Format the boot device.
  5. Burn the firmware image to the primary boot device.
  6. Once the system finishes rebooting, from the CLI run „execute disk format 16“. This will format the second flash disk.
  7. Restore your configuration.

Link to release notes:
http://docs.fortinet.com/d/fortios-5.4.1-release-notes

FortiOS 5.4.1: Vorsicht bei Einsatz von FortiSwitches!

FortiOS 5.4.1 ist endlich da! Viele Partner sowie Kunden welche schon mit den FortiSwitches arbeiten, sind höchstwahrscheinlich auch bereits mit V5.4.0 unterwegs und warten daher wahrscheinlich schon lange und sehnsüchtig auf diesen ersten Patch Release.

Doch es scheint definitiv etwas Vorsicht geboten zu sein vor dem Upgrade. Das Switch Management hat unter der Haube beim neuen Patch grundlegende Änderungen erfahren.
Genaue Details dazu was alles neu ist, werden am besten dem fortios-v5.4.1-managed-fortiswitch-upgrade-guide.pdf“ Dokument entnommen. Zu finden ist das Dokument leider etwas versteckt unter den Firmware Downloads beim aktuellen FortiSwitch Patch V 3.4.2 im Fortinet Support Portal.

Wichtigster Punkt dürfte sicherlich folgende „Randbemerkung“ auf Seite 11 sein:

All FortiSwitch devices must be running FortiSwitchOS 3.4.2 or later and must be upgraded prior to upgrading the FortiGate unit to FortiOS 5.4.1.

Die Switch Firmware sollte somit zeitgleich mit dem FortiOS Update geladen werden und die Firmware auf den Switches zuerst aktualisiert werden.
Wir dies nicht beachtet, so sind nach dem Update die FortiSwitches offline und können keine Verbindung mehr zum FortiGate Controller aufbauen!

Besten Dank and unseren Partner und Trainer Peter Bruderer für’s zurückmelden dieser Erkenntnis!

WatchGuard Feature: FQDN in Firewall Policies

Mit dem Fireware Release 11.10 ist es möglich, FQDN Objekte in Firewall Policies (im From oder To) zu verwenden. Dieses Feature kann dazu genutzt werden, Policies für einzelne Domains zu erstellen und entsprechende Einstellungen nur für diese Domäne anzuwenden. Zudem kann man diese FQDN Objekte in Policies für Updates von Microsoft, AntiViren Programmen oder weiteren CDN Netzwerken nutzen, um zum Beispiel die Bandbreite zu limitieren.

Nebst der Angabe eines einzelnen Hostnamen sind auch Wildcard Einträge erlaubt:

WatchGuard_Feature_FQDN_1
„WatchGuard Feature: FQDN in Firewall Policies“ weiterlesen

FortiGate Service ALL nach Firmware Upgrade verändert

Update: Fortinet hat das Problem erkannt und in einem Customer Support Bulletin beschrieben.

In FortiOS v5.0.8 and v5.0.9 and v5.2.0 through v5.2.2, the default value of the firewall service protocol number was changed from a value of 0 to 6.

The most commonly observed impact of this change is that after upgrading to the affected firmware, the “ALL” service matches only TCP traffic.

Executing a factory-reset on the FortiGate device does NOT change the default value to 6.

Affected Products:

All FortiGate models.

Resolution:

FortiOS v5.0.10 and v5.2.3 has fixed the issue.  Upon upgrading the FortiGate device, the firewall service protocol number is restored to 0.

„FortiGate Service ALL nach Firmware Upgrade verändert“ weiterlesen

FortiClient Configuration Deployment

Mit den neueren FortiGate OS Releases ist es möglich, FortiClients via FortiClient Profile auf der FortiGate zu managen. So können etwa Webfilter Profile oder VPN Informationen an die FortiClients gepushed werden, sobald sich diese an der FortiGate registriert haben.

FortiClient_Default_Configuration

Es ist dank einer CLI Einstellung auch möglich, Teile oder die ganze Konfiguration im XML Format an den Client zu übermitteln. Somit können nebst den Einstellungen im GUI die kompletten Einstellungen des FortiClients via FortiGate gesteuert werden. Damit dies möglich ist, muss diese Option im CLI freigeschaltet werden. Hier als Beispiel für die FortiClients auf Windows:

„FortiClient Configuration Deployment“ weiterlesen

WatchGuard Feature: Hotspot Guest User Authentication

Mit der Fireware Version 11.9.4 wurde ein vielfach gewünschtes Feature, vor allem im Wireless Bereich, implementiert. Es handelt sich dabei um ein Guest Ticket System. Dabei kann ein Guest Administrator selber Zugangs-Tickets mit definierter Laufzeit, Businessinformationen und Logo selbständig erstellen und ausdrucken.

Dieses Hotspot Feature wird vor allem im Wireless Bereich gewünscht. Die Hotspot Seite kann aber unabhänig auf allen gewünschten Interfaces genutzt werden, so zum Beispiel auch auf einem verkabelten Gästenetz.

Vorgehen

Als erstes wird auf einem beliebigen Interface (physikalische Interfaces, VLANs, Wireless SSIDs) der Hotspot aktiviert (Policy Manager –> Setup –> Authentication –> Hotspot und die Option gewählt, dass sich Benutzer anmelden müssen.  Dabei kann gewählt werden, ob der Gast sich mit Username und Passwort oder nur mit Passwort anmelden muss.

WatchGuard_Feature_Hotspot_01

Danach können über den „Manage Guest Administrator Accounts“ Button die Wireless Administratoren kreiert werden. Diese können sowohl aus der Firebox eigenen Datenbank wie auch von einem externen Server (LDAP, RADIUS oder AD) stammen.

„WatchGuard Feature: Hotspot Guest User Authentication“ weiterlesen

POODLE

Eine weitere Schwachstelle, die POODLE (Padding Oracle On Downgraded Legacy Encryption) Schwachstelle, zielt auf die etwas veraltete SSLv3 Implementation ab, welche aber meistens noch von Browsern, Mail Gateways etc. genutzt wird. Hier die Informationen unserer Hersteller.

Detaillierte Informationen:
http://blog.cryptographyengineering.com/2014/10/attack-of-week-poodle.html

POODLE client check:
https://www.poodletest.com

POODLE server check:
https://ssltest.com or http://poodlebleed.com/

„POODLE“ weiterlesen

ShellShock – Welche unserer Hersteller sind betroffen?

Am 24. September ist eine neue Schwachstelle von bash bekannt geworden. „Neu“ ist dabei nur bedingt richtig – diese Schwachstelle existiert seit Jahrzehnten… Hier ein paar Links mit weiteren Infos.

Welche unserer Hersteller sind von dieser Schwachstelle betroffen.

„ShellShock – Welche unserer Hersteller sind betroffen?“ weiterlesen

FortiAnalyzer Log Arrays – Wie ist das zu verstehen?

log-array

Wer sich schon mit dem FortiAnalyzer auseinander gesetzt hat, dem ist sicherlich aufgefallen, dass sich die Verteilung der vorhandenen LogDisk Ressourcen als schwieriger herausstellt als zunächst erwartet.

Zwar lassen sich Quotas pro Log Device setzen, jedoch ist es damit noch nicht getan. Es gibt noch die sogenannten „Log Arrays“, welche in diesem Artikel näher beschrieben sind.

Im folgenden Beispiel gibt es zwei FortiGates, welche Logs zum Analyzer senden (FGT1 und FGT2). Beiden Devices werden 10GB Disk Quota zugewiesen.

UPDATE: Seit dem Release des FAZ 5.0.7 sind die Log Array Quotas wieder komplett verschwunden! Wir werden den Artikel mit neuen Infos versorgen, sobald uns der Support weitere Details bestätigt. Link dazu hier Klicken

„FortiAnalyzer Log Arrays – Wie ist das zu verstehen?“ weiterlesen