Neuer KB-Artikel für die Fortigates: „Explicit Proxy Authentication mit NTLM/FSSO“

Aufgrund mehrerer Anfragen haben wir wieder einen neuen Knowledge Base Artikel geschrieben und diesen auf unserem doc.boll.ch Server veröffentlicht. Es geht diesmal darum, wie Benutzer auf der Fortigate authentifiziert werden können, wenn diese Benutzer über einen Terminal Server arbeiten. Das Problem hierbei ist ja, dass alle Benutzer von der gleichen IP-Adresse kommen und die Fortigate diese dann nicht mehr auseinanderhalten kann.

Die Lösung für das Problem ist der „explicit Proxy“ der Fortigate. Hierüber kann eine sessionbasierte Authentifizierung erfolgen. Und damit der User sich nicht für jede Session neu authentifzieren muss, wird der „explicit Proxy“ im KB Artikel über NTLM mit dem FSSO (Fortinet Single Sign On, früher „FSAE“) und damit mit der AD verbunden.

http://doc.boll.ch/virtual/982/KB_-_Fortigate_-_Explicit-Proxy-Authentication-with-NTLM.pdf

Viel Spass beim Lesen!

FortiAP – Tips&Tricks vom letzen Technical Bulletin

Im Fortinet Technical Bulletin vom September sind ein paar kleine und feine Tips zum Arbeiten mit dem FortiAP220B beschrieben. Für alle, die das Bulletin nicht gelesen haben, hier noch mal die wichtigsten Infos:

Factory Reset des FortiAPs

  • per Factory Default Button (hilfreich, wenn man kein Admin Passwort mehr hat):

Die FortiAPs haben auf der Unterseite einen „versteckten“ Factory Default Button. Diesen einfach für ein paar Sekunden drücken und schon ist das Gerät resetted.

„FortiAP – Tips&Tricks vom letzen Technical Bulletin“ weiterlesen

ELFIQ Kurzanleitung

Wir haben für unseren neuen Link Loadbalancer von ELFIQ eine deutschsprachige Kurzanleitung geschrieben. Sie beinhaltet die wichtigsten Facts zur  ersten Installation und der Grundkonfiguration. Wie werden mehrere WAN-Links angeschlossen, wie wird aus- aber auch eingehendes Traffic-Loadbalancing konfiguriert? Und was ist mit dem DNS zu beachten? Alles drin! Einfach von unserem DocServer downloaden (Reseller-Account ist notwendig!)

„ELFIQ Kurzanleitung“ weiterlesen

FortiOS v4.3.1 – Achtung beim Update….

Nach dem Update einer Fortigate auf v4.3.1 kann es vorkommen, das einige IPSec-VPNs (Interface Mode) nicht mehr funktionieren. Das liegt meistens daran, dass beim Update fälschlicherweise das „mode-cfg“-Flag gesetzt wird. In den Release Notes ist dieses sogar vermerkt:

Description: Option “mode-cfg” was turn on by default and thus can cause phase1 mismatch during tunnel initialization when interface mode IPSec Phase1 was configured via Web UI.
Bug ID: 146113
Workaround: Use the CLI command “config vpn ipsec phase1-interface>set mode-cfg disable” to disable it.
Status: To be fixed in a future release.

Gut, dass die Beschreibung des Workarounds gleich dabei ist. Hier noch mal alle notwendigen CLI Befehle:

config vpn ipsec phase1-interface
  edit <name-der-phase1>
    set mode-cfg disable
end

Hope that helps.

Exinda Takes WAN Optimization to the Next Level with its ExOS 6.1 Operating System

Exinda, a global provider of WAN optimization and application performance management solutions featuring Unified Performance Management, today announced the commercial launch of ExOS 6.1, the latest generation ExOS operating system for its complete family of Wide Area Network (WAN) Optimization appliances. The ExOS 6.1 release builds on Exinda’s leadership in offering Unified Performance Solutions that incorporate full visibility, control and optimization of each of the users and applications on the network, with a single WAN Optimization appliance.

The ExOS 6.1 release includes several key features and enhancements including the Exinda Edge Cache™, increased Optimization Scalability, and support for IPv6. These features address network issues including the increase in rich media such as video traffic on the WAN, the growing number and complexity of users and devices, and the rising demand for a better user experience.

Read more:
http://www.marketwire.com/press-release/exinda-takes-wan-optimization-to-the-next-level-with-its-exos-61-operating-system-1534815.htm

„Alles neu macht der… Maintenance Release“

Liebe FortiUpgrader,

Ihr wisst es ja schon alle, so ein Upgrade auf ein neues Maintenance Release bringt nicht nur neue Funktionen, auch die bestehenden Funktionen bekommen einen neuen Platz.

Hier ein kleines Beispiel, welches uns heute bei einem Supportcall aufgefallen ist: Je nach dem mit welcher FortiOS 4.x Version man fährt, hat man im WebGUI unter „Log & Report“ –> „Log Access“ die Daten von verschiedenen Logdevices (z.B. dem Memory, einer Disk oder dem FortiAnalzyer) im Zugriff. Allerdings sieht das von Version zu Version ganz anders aus:

„„Alles neu macht der… Maintenance Release““ weiterlesen

Two new „big ladies“

Und schon wieder gibt es Zuwachs in unserem Eval-Stock. Neben der FG-3140B gesellen sich nun auch zwei grosse PaloAlto Network PA-5050 für Evaluationszwecke mit Gigabit-Anforderungen.  Die Geräte sind speziell entwickelt worden, um Netzwerke von Data Center, Large Enterprises oder Service Provider abzusichern, ohne dabei Einbussen im Datendurchsatz in Kauf nehmen zu müssen.

Die Next Generation Firewalls von Palo Alto Networks sind darauf spezialisiert neben den klassischen Firewall-Funktionen auch Applikationen und User zu erkennen. D.h. Firewall-Regeln werden nicht nur auf Basis von IP-Adressen und Ports sondern explizit auf Basis von Usern und Applikationen vorgenommen. Darüber hinaus bietet das GUI der Firewall eine exzellente Möglichkeit, das aktuelle Applikations-Geschehen auf dem Netzwerk darzustellen und die daraus resultierende Bedrohungslage zu errechnen.

„Two new „big ladies““ weiterlesen

Introducing the XTM 2050 Next-Generation Firewall from WatchGuard

Today, WatchGuard unveiled the XTM 2050, part of a new line of next-generation firewalls geared towards large enterprises, university campuses, managed security service providers (MSSPs), data centers, manufacturing plants, and school districts. The XTM 2050 includes: advanced firewalling, Application Control, IPS, and LiveSecurity, all for a fraction of the price of comparable 20 Gbps next generation firewalls.

http://www.watchguard.com/products/xtm-2050/overview.asp