FortiGate SSLVPN Update-Empfehlung

fortinet logo

Auf dem FortiGate wurden einige Schwachstellen im SSLVPN Portal bekannt. Diese reichen von Weiterleitungen durch Cross-Site-Scripts (XSS) bis hin zum Download Systemdateien und das Zurücksetzen von Benutzerkennwörtern.

FortiGate SSL VPN web portal login redir XSS vulnerability (FG-IR-17-242, CVE-2017-14186)
Unauthenticated SSL VPN users password modification (FG-IR-18-389, CVE-2018-13382)
FortiOS system file leak through SSL VPN via specially crafted HTTP resource requests (FG-IR-18-384, CVE-2018-13379)

„FortiGate SSLVPN Update-Empfehlung“ weiterlesen

FGT: CA Zertifikat für Webfilter Block Pages

fortinet logo

Problem

Wird eine Block Meldung der FortiGate zum Beispiel wegen dem Webfilter angezeigt und die aufgerufene Seite ist eine Seite mit HTTPS, wird auch die Block Seite in HTTPS angezeigt. Damit die Block Seite für HTTPS angezeigt werden kann, braucht es ein Zertifikat. Standardmässig nimmt die FortiGate das eigene CA Zertifikat und stellt damit ein neues für die aufgerufene Seite aus. Daher zeigt jeder Browser eine Zertifikats-Fehlermeldung an, da er diesem CA Zertifikat der FortiGate nicht vertraut.

„FGT: CA Zertifikat für Webfilter Block Pages“ weiterlesen

Offene Ports an der FortiGate

Die FortiGate ist ein genialer Kommunikationsspezialist in vielfacher Hinsicht. Gleichzeitig ist es aber auch ein Türsteher und Wächter erster Güte. Von Zeit zu Zeit stellt sich nun die Frage, welcher dieser Qualitäten der Vorrang eingeräumt werden soll. Natürlich mögen wir alle die eierlegende Woll-Milch-Sau, auch wenn wir uns oft darüber amüsieren. Jedoch sind in gewissen Situationen Qualitäten gefragt, welche eine eierlegende Woll-Milch-Sau nicht bieten kann. Die FortiGate schon.
„Offene Ports an der FortiGate“ weiterlesen

FortiGate GUI „Addresses“ Seite wird nicht angezeigt

Wir haben vermehrt die Meldung bekommen, dass unter FortiOS 5.2 und 5.4 im WebUI die Seite „Addresses“ unter „Policy & Objects“ nicht mehr angezeigt werden kann.

Der Header der Seite wird angezeigt, mehr allerdings nicht:

Nach Abklärungen mit Fortinet handelt es sich dabei um einen Bug in verschiedenen Releases.

„FortiGate GUI „Addresses“ Seite wird nicht angezeigt“ weiterlesen

Problem beim Service-Transfer von Trade-Up Geräten

In unserer Supportabteilung werden wir oft mit dem Problem konfrontiert, dass Trade-Up Fortinet-Geräte falsch registriert werden und damit wertvolle Services verloren gehen.

Zugegeben – das Ganze ist auch etwas kompliziert und deshalb möchten wir hier ein paar Infos zur Situation und zur Lösung des Problems geben:

Trade-Up Programm:

Fortinet-Kunden haben die Möglichkeit, End-of-order Geräte mit einem sehr netten Rabatt gegen ein neues Gerät einzutauschen. Hinsichtlich der FortiGuard-Services gibt es dabei zwei Varianten:

„Problem beim Service-Transfer von Trade-Up Geräten“ weiterlesen

FortiGate „Cannot allocate memory“ Fehler beheben

Wir haben in den letzten Monaten einige FortiGates gesehen, welche regelmässig den Fehler

2018-01-01 10:10:10 [__cmdb_bg_fork:670] fork( ) failed: 12(Cannot allocate memory)

auf der seriellen und der SSH Konsole ausgeben. Teilweise erscheint der Fehler immer, teilweise erst nach einem „diag debug enable“. Auf der seriellen Konsole erscheint der Fehler immer, in der SSH Konsole teilweise nicht. Mit dem Fehler einher geht noch das Symptom, dass keine Anpassungen an der Konfiguration mehr übernommen werden. Die Änderungen werden im GUI und CLI angezeigt, werden jedoch nicht angewendet. Eine gelöschte Firewall Policy kann so zum Beispiel weiterhin Traffic zulassen, obwohl die Policy nicht mehr existiert.
„FortiGate „Cannot allocate memory“ Fehler beheben“ weiterlesen

VXLAN: L2 Traffic zwischen Standorten übertragen

Ein Subnetz, zwei Standorte. Dies ist auf dem FortiGate seit Version 5.4 auch ohne NAT möglich. Zur Verwendung kommt dazu ein Protokoll, welches es ermöglicht, Layer 2 Traffic über Layer 3 Netzwerke zu senden. Dieses Protokoll heisst Virtual eXtensible Local Area Network (VXLAN) und wurde im RFC 7348 zum Standard definiert. Zur Anwendung kommt dieses vor allem in Infrastrukturen grosser Provider oder in virtuellen Infrastrukturen, um Netzwerke an unterschiedlichen Standorten verfügbar zu machen.
„VXLAN: L2 Traffic zwischen Standorten übertragen“ weiterlesen

FortiGate Routing mit Distanz 255

Wir haben von unseren Resellern in letzter Zeit vermehrt Anfragen erhalten, dass die konfigurierten Blackhole Routen scheinbar nicht funktionieren.

Nach einer genaueren Analyse des Problems haben wir festgestellt, dass nur Blackhole Routen mit konfigurierter Distanz 255 betroffen sind. Sobald die Distanz auf 254 gesetzt wurde, erschienen die Routen in der Routing-Tabelle und wurden aktiv. Entsprechend der Konfiguration wurde der betreffende Traffic verworfen.

Die Distanz ist eine Schätzung der Anzahl Hops zum Ziel. Durch die Verwendung der Distanz im Routing Algorithmus wird sichergestellt, dass immer der kürzeste Weg zum Ziel gewählt wird.

Gemäss den Fortinet Manuals wird die Distanz 255 als „unendlich“ definiert. Der Traffic würde dann also zu lange brauchen um effektiv am Ziel an zu kommen. Daher wird eine Route mit Distanz 255 nie in der Routing Tabelle zur Anwendung kommen.

Entsprechend betrifft das Problem also nicht nur Blackhole Routen, sondern jegliche Routen. In den meisten Fällen kommen jedoch Distanzen von über 200 nur in sehr speziellen Konfigurationen zur Anwendung. Wie beispielsweise bei Blackhole Routen.

Weitere Informationen zum Routing-Verhalten des FortiGates sind unter help.fortinet.com zu finden.