FortiOS v6.2 has been released in March this year and we are still gaining experience with this version. In this article we would like to draw you attention to the protocol which is used for FortiGuard service communication. Up to v6.0 udp has been used, with 6.2 the default protocol has changed to https.
Last week Fortinet has released a critical PSIRT-Advisory „Improper check for certificate revocation vulnerability“
Unfortunately the article does not give exact information regarding the background or the solution and we couldn’t find further information about the issue, either. Maybe you have more information?
„New PSIRT-Advisory from Fortinet“ weiterlesen
Fortinet has published a very nice and helpful tool for converting firewall configs from other vendors into a Fortigate configuration file. Also an old Fortigate config file can be used as the source file.
So if you are going to replace an old Fortigate model with a new one and you want use the old config file (instead of configuring the new Fortigate from the scratch) you can use the FortiConverter as an alternative to the procedure we have described in one of our former blog post „How to transfer a FortiGate configuration file to a new FortiGate unit of a different model“.
„Migrate Fortigate Configurations with FortiConverter“ weiterlesen
Auf dem FortiGate wurden einige Schwachstellen im SSLVPN Portal bekannt. Diese reichen von Weiterleitungen durch Cross-Site-Scripts (XSS) bis hin zum Download Systemdateien und das Zurücksetzen von Benutzerkennwörtern.
FortiGate SSL VPN web portal login redir XSS vulnerability (FG-IR-17-242, CVE-2017-14186)
Unauthenticated SSL VPN users password modification (FG-IR-18-389, CVE-2018-13382)
FortiOS system file leak through SSL VPN via specially crafted HTTP resource requests (FG-IR-18-384, CVE-2018-13379)
Wird eine Block Meldung der FortiGate zum Beispiel wegen dem Webfilter angezeigt und die aufgerufene Seite ist eine Seite mit HTTPS, wird auch die Block Seite in HTTPS angezeigt. Damit die Block Seite für HTTPS angezeigt werden kann, braucht es ein Zertifikat. Standardmässig nimmt die FortiGate das eigene CA Zertifikat und stellt damit ein neues für die aufgerufene Seite aus. Daher zeigt jeder Browser eine Zertifikats-Fehlermeldung an, da er diesem CA Zertifikat der FortiGate nicht vertraut.
Von Zeit zu Zeit ist es notwendig, die Logs einer FortiGates per CLI auszulesen. Dies kann beispielsweise dann von Nöten sein, wenn die FortiGate nur per CLI erreichbar ist oder der Inhalt eines Logs von einem Script ausgewertet werden soll.
„FortiGate Logs per CLI ausgeben“ weiterlesen
Die FortiGate ist ein genialer Kommunikationsspezialist in vielfacher Hinsicht. Gleichzeitig ist es aber auch ein Türsteher und Wächter erster Güte. Von Zeit zu Zeit stellt sich nun die Frage, welcher dieser Qualitäten der Vorrang eingeräumt werden soll. Natürlich mögen wir alle die eierlegende Woll-Milch-Sau, auch wenn wir uns oft darüber amüsieren. Jedoch sind in gewissen Situationen Qualitäten gefragt, welche eine eierlegende Woll-Milch-Sau nicht bieten kann. Die FortiGate schon.
Sie haben auf ihrem FortiGate ein LDAP Server Profil konfiguriert und dieses funktioniert seit dem Update zu FortiOS 6.0.4 nicht mehr wie erwartet? Erhalten Sie im SSL VPN Log möglicherweise ebenfalls die Meldung „sslvpn_login_unknown_user“? Ihre Benutzer können nicht mehr über POP3 verifiziert werden? Dann sind sie hier genau richtig…
Seit dem FortiOS Release 6.0.4 werden für LDAP Verbindungen einige SSL Versionen als veraltet angesehen und deaktiviert. Falls sie diese auf ihren LDAP Servern noch einsetzen, empfehlen wir, diese durch aktuelle zu ersetzen. Meistens muss jedoch nach einem Update eine schnelle Lösung her. In diesem Fall wäre dies, der FortiGate auch die alten SSL Profile wieder zur Verwendung zu erlauben. Dies können sie wie folgt tun:
Wir haben vermehrt die Meldung bekommen, dass unter FortiOS 5.2 und 5.4 im WebUI die Seite „Addresses“ unter „Policy & Objects“ nicht mehr angezeigt werden kann.
Der Header der Seite wird angezeigt, mehr allerdings nicht:
Nach Abklärungen mit Fortinet handelt es sich dabei um einen Bug in verschiedenen Releases.
Das Problem taucht dann auf, wenn eines dieser Adressobjekte genutzt wird:
„FortiGate GUI „Addresses“ Seite wird nicht angezeigt“ weiterlesen
In unserer Supportabteilung werden wir oft mit dem Problem konfrontiert, dass Trade-Up Fortinet-Geräte falsch registriert werden und damit wertvolle Services verloren gehen.
Zugegeben – das Ganze ist auch etwas kompliziert und deshalb möchten wir hier ein paar Infos zur Situation und zur Lösung des Problems geben:
Trade-Up Programm:
Fortinet-Kunden haben die Möglichkeit, End-of-order Geräte mit einem sehr netten Rabatt gegen ein neues Gerät einzutauschen. Hinsichtlich der FortiGuard-Services gibt es dabei zwei Varianten:
„Problem beim Service-Transfer von Trade-Up Geräten“ weiterlesen
