Radius Single Sign-On (RSSO)

O FortiOS disponibiliza a autenticação de forma transparente através do RSSO para ambientes utilizando Radius, esse modo de operação realiza um Single Sign-ON (SSO) através de mensagens de Accounting Start e Accounting Stop para realizar o Logon e Logoff dos usuários, essas mensagens são enviadas pelo servidor que realizou o logon do usuário, exemplo um usuário realiza o logon em um serviço de WIFI e esse por sua vez envia ao FortiGate a mensagem de Accounting Start contendo algumas informações, como o nome do usuário, endereço IP, Grupo que pertence entre outros, com base nessas informações o FortiOS autentica o usuário de forma automática, sem a necessidade de interação por parte deste.

Continue lendo “Radius Single Sign-On (RSSO)”

DNS Translation

Após algumas semanas retorno os POST e sempre peco no longo tempo entre eles :(.

Vamos ao que interessa.

Hoje irei falar de uma Feature muito interessante do FortiOS, o DNS Translation, que como o nome diz é a função de tradução de uma requisição de DNS envida a um servidor, onde as querys que passem pelo FortiGate (o dns não precisa ser o Firewall, basta que a query seja encaminhada por uma rede que passe pelo firewall.) são interceptadas pelo FortiOS que realiza a modificação do Reply enviado pelo servidor alterando a resposta ao cliente.

Isso normalmente é muito útil quando temos um servidor com um VIP  interno, porém o DNS é externo fazendo com que as chamadas a esse servidor sejam enviadas ao IP valido e dependendo da configuração impedindo o acesso.

Para realizar essa ação o FortiOS utilizasse do Session-Helper para o Protocolo DNS, por padrão a 5.4 já tem em sua configuração padrão o session-helper para DNS como podemos ver abaixo:

# show system session-helper 14
config system session-helper
    edit 14
        set name dns-udp
        set protocol 17
        set port 53
    next
end

Exemplo SEM DNS Translation configurado:

A origem 10.10.10.1 solicita o endereço IP do endereço www.trtec.com.br  ao servidor de DNS 4.2.2.2 o Reply (resposta) é 187.45.195.136, como podemos ver na imagem abaixo:

dns1

 

Agora vamos realizar a configuração do nosso DNS Translation para alterar a resposta do exemplo acima.

config firewall dnstranslation
    edit 1
        set src 187.45.195.136
        set dst 192.168.1.100
    next
end

Onde SRC é o IP que desejamos modificar e o DST é o IP que desejamos que seja enviado ao cliente.

Exemplo COM DNS Translation configurado:

A origem 10.10.10.1 solicita o endereço IP do endereço www.trtec.com.br  ao servidor de DNS 4.2.2.2, o Relpy (resposta) é interceptada pelo FortiOS e alterada de 187.45.195.136 para 192.168.1.100 , como podemos ver na imagem abaixo:

dns2

 

É isso pessoal, espero que tenham gostado.

 

William Costa

Xii Parou, qual era o comando mesmo ? Parte IV

Continuando a serie de posts sobre comandos de diagnostico do Fortigate! : )

Hoje irei comentar sobre o grep que utilizo muito em meus script em bash ( que são bem feios, se um programador ver ele chora 🙁 ), mas, também no Fortigate, vamos ao que é interessa.

O comando grep é utilizado para filtro de saídas de comandos tais como debug, get e show.

Exemplo simples do comando grep é quando queremos ver apenas as linhas de uma configuração que contenham uma determinada entrada:

FGVM00000000  (port3) # get | grep speed
speed               : auto

Neste exemplo queremos apenas a linha que contém a entrada speed.

Continue lendo “Xii Parou, qual era o comando mesmo ? Parte IV”

Xii Parou, qual era o comando mesmo ? Parte II

Oi galera, peço desculpas por não postar anteriormente, uma migração de um 3240C consumiu-me um baita tempo, mas, vamos ao que interessa.

Hoje iremos falar de comandos de diagnostico voltados a daemons.
diagnose test application ?
Com o comando acima notamos uma quantidade enorme de Daemons um para cada função.

Vamos iniciar com o Daemon de DNS
diagnose test application dnsproxy 0
O Zero irá nos informar quais opções temos para esse comando.

1. Clear DNS cache
2. Show stats
3. Dump DNS setting
4. Reload FQDN
5. Requery FQDN
6. Dump FQDN
7. Dump DNS cache
8. Dump DNS DB
9. Reload DNS DB
10. DNS debug bit mask

Esse daemon é responsável pela resolução de nomes do FortiOS usado quando temos regras com FQDN é também para o acesso aos serviços da Fortinet.
Segue o output do comando com a opção 7 que é um dump dos endereços resolvidos que estão em cache.
Continue lendo “Xii Parou, qual era o comando mesmo ? Parte II”

Xii Parou, qual era o comando mesmo ?

Boa noite pessoal, desculpe não ter postado mais sobre o FortiOS.
Mas, vamos lá, em uma serie de posts (prometo que irei tentar 1 por semana 🙂 ) pretendo passar alguns comandos (sim a velha e boa CLI) de diagnostico que uso no meu dia-a-dia quando a coisa aperta rsrsrs.

O Primeiro da lista é o bom e velho sniffer.

diag sniffer packet (até aqui o comando é estático) <filtros> <verbose> <quantidade de pacotes> 

Obs:O verbose e a quantidade de pacotes são opcionais.

<interface> pode ser qualquer porta seja ela física ou logica <vlan,vpn...> ou any para todas as interfaces.

<filtros> podem ser usados filtros do TCPDUMP, pois é a mesma sintaxe, por exemplo um filtro para o trafego http seria:
diag sniffer packet any "port 80"
Continue lendo “Xii Parou, qual era o comando mesmo ?”