FortiGate SSLVPN Update-Empfehlung

Update, Nov 2020:

More than a year after Fortinet described this SSLVPN vulnerability, it gets new attention. A few days ago a list of IPs and domain names of vulnerable Fortigates was published. This list is dated November 2019 and one can only hope that many of these systems have already been patched.

Two days ago, this list was extended with usernames and passwords that were exploted via this vulnerability. Even if the Fortigates have been patched – as long as the passwords have not been changed, an attacker could still use them to gain access to protected networks.

„FortiGate SSLVPN Update-Empfehlung“ weiterlesen

FortiClient VPN 6.2

Mit dem Release von FortiClient 6.2 wurde der bisherige Full Featured FortiClient lizenzpflichtig und setzt einen FortiClient EMS Server voraus. Im Gegenzug hat Fortinet einen separaten VPN-only Client veröffentlicht. Fortinet beschreibt den FortiClient VPN folgendermassen:

For FortiGate administrators, a free version of FortiClient VPN is available which supports basic IPsec and SSL VPN and does not require registration with EMS. This version does not include central management, technical support, or some advanced features.

Basic IPsec and SSL VPN bedeutet in diesem Zusammenhang, dass folgende Features nicht enthalten sind:

  • IKEv2 support
  • VPN auto-connect/always-up
  • on-net/off-net
  • host check features
  • Central management

Ebenfalls gibt es für die Version 6.2 kein FortiClient Configuration Tool . Um benutzerdefinierte Installationspakete zu erstellen, wird zwingend ein FortiClient EMS Server benötigt.

Der FortiClient VPN ist unter https://www.forticlient.com/downloads erhältlich. Weitere Informationen dazu gibt es im KB Limitation and features on Forticlient.

Aktuelle SSLVPN Client für MacOS dropped „grosse“ Pakte

Ab der Version FortiOS v4.3.2 verwendet der SSLVPN Client (zumindest in der MacOS Version) TLSv1.2 und nicht mehr TLSv1. In diesem Zusammenhang scheint es auch eine andere „Änderung“ zu geben. Pakete, welche grösser sind als 996 Bytes, werden vom SSLVPN Client im Tunnel Mode nicht mehr aktzeptiert.

Dieses Situation tritt aber nur sehr selten auf. Für diesen Fall gibt es weiterhin einen einfachen Workaround, in dem die MTU size auf dem ssl.root Interface herunter gesetzt wird:

„Aktuelle SSLVPN Client für MacOS dropped „grosse“ Pakte“ weiterlesen