Radius Single Sign-On (RSSO)

O FortiOS disponibiliza a autenticação de forma transparente através do RSSO para ambientes utilizando Radius, esse modo de operação realiza um Single Sign-ON (SSO) através de mensagens de Accounting Start e Accounting Stop para realizar o Logon e Logoff dos usuários, essas mensagens são enviadas pelo servidor que realizou o logon do usuário, exemplo um usuário realiza o logon em um serviço de WIFI e esse por sua vez envia ao FortiGate a mensagem de Accounting Start contendo algumas informações, como o nome do usuário, endereço IP, Grupo que pertence entre outros, com base nessas informações o FortiOS autentica o usuário de forma automática, sem a necessidade de interação por parte deste.

Continue lendo “Radius Single Sign-On (RSSO)”

DNS Translation

Após algumas semanas retorno os POST e sempre peco no longo tempo entre eles :(.

Vamos ao que interessa.

Hoje irei falar de uma Feature muito interessante do FortiOS, o DNS Translation, que como o nome diz é a função de tradução de uma requisição de DNS envida a um servidor, onde as querys que passem pelo FortiGate (o dns não precisa ser o Firewall, basta que a query seja encaminhada por uma rede que passe pelo firewall.) são interceptadas pelo FortiOS que realiza a modificação do Reply enviado pelo servidor alterando a resposta ao cliente.

Isso normalmente é muito útil quando temos um servidor com um VIP  interno, porém o DNS é externo fazendo com que as chamadas a esse servidor sejam enviadas ao IP valido e dependendo da configuração impedindo o acesso.

Para realizar essa ação o FortiOS utilizasse do Session-Helper para o Protocolo DNS, por padrão a 5.4 já tem em sua configuração padrão o session-helper para DNS como podemos ver abaixo:

# show system session-helper 14
config system session-helper
    edit 14
        set name dns-udp
        set protocol 17
        set port 53
    next
end

Exemplo SEM DNS Translation configurado:

A origem 10.10.10.1 solicita o endereço IP do endereço www.trtec.com.br  ao servidor de DNS 4.2.2.2 o Reply (resposta) é 187.45.195.136, como podemos ver na imagem abaixo:

dns1

 

Agora vamos realizar a configuração do nosso DNS Translation para alterar a resposta do exemplo acima.

config firewall dnstranslation
    edit 1
        set src 187.45.195.136
        set dst 192.168.1.100
    next
end

Onde SRC é o IP que desejamos modificar e o DST é o IP que desejamos que seja enviado ao cliente.

Exemplo COM DNS Translation configurado:

A origem 10.10.10.1 solicita o endereço IP do endereço www.trtec.com.br  ao servidor de DNS 4.2.2.2, o Relpy (resposta) é interceptada pelo FortiOS e alterada de 187.45.195.136 para 192.168.1.100 , como podemos ver na imagem abaixo:

dns2

 

É isso pessoal, espero que tenham gostado.

 

William Costa

Xii Parou, qual era o comando mesmo ? Parte IV

Continuando a serie de posts sobre comandos de diagnostico do Fortigate! : )

Hoje irei comentar sobre o grep que utilizo muito em meus script em bash ( que são bem feios, se um programador ver ele chora 🙁 ), mas, também no Fortigate, vamos ao que é interessa.

O comando grep é utilizado para filtro de saídas de comandos tais como debug, get e show.

Exemplo simples do comando grep é quando queremos ver apenas as linhas de uma configuração que contenham uma determinada entrada:

FGVM00000000  (port3) # get | grep speed
speed               : auto

Neste exemplo queremos apenas a linha que contém a entrada speed.

Continue lendo “Xii Parou, qual era o comando mesmo ? Parte IV”

Alterando a Porta de destino de uma requisição (PAT).

Voltei após um longo período de inatividade do blog, 🙁 . Desculpe pessoal, irei tentar manter um intervalo aceitável entre os posts. Hoje irei escrever um post sobre um chamado, como essa necessidade já foi solicitada por mais de um cliente, acredito que o post será útil.

Chega de  “mimimi” e vamos a o “tecniques”

Vamos começar pelo problema:

A necessidade é que quando um cliente interno solicita um IP externo deve ser alterada a porta de destino sem alterar o IP de destino.

Ex: Usuário solicita o ip 200.200.200.200 com porta de destino 9090, porém o Fortigate deve alterar a solicitação para 200.200.200.200 com porta de destino 8080, mas, mantendo o IP de destino. Fácil não ?

Nesse Lab estou usando a Versão mais atual do FortiOS disponível á 5.2.2, mas, os mesmos procedimentos podem ser aplicados em versões anteriores.

Continue lendo “Alterando a Porta de destino de uma requisição (PAT).”

Sem Grana para um WAF?! … Criando uma regra simples de Bloqueio de XSS no Fortigate.

Galera, neste post vamos ver como criar uma assinatura customizada de IPS, para detectar um ataque de XSS  em uma aplicação web atrás do Fortigate.

OBs: O melhor método de proteger aplicações WEB é o Fortiweb, mas, sabemos que nem sempre é possível a compra ou a mesma pode levar um tempo muito grande e estaremos vulnerável durante esse processo.

 

Chega de blah blah blah e vamos escovar uns bits rsrsrs.

Vamos ao problema:

Temos um site que é vulnerável a XSS em nosso ambiente, excluindo a possibilidade de alteração e correção da vulnerabilidade direta na aplicação, nos resta colocar algo na frente para corrigir o problema, a vulnerabilidade ocorre no campo de busca de nossa aplicação, acessível do mundo externo, a url vulnerável é :

http://ip_aplicacao/index.php?busca=

Fazendo um simples teste para checar a vulnerabilidade.

http://ip_aplicacao/index.php?busca=


Continue lendo “Sem Grana para um WAF?! … Criando uma regra simples de Bloqueio de XSS no Fortigate.”

Bloqueio de Sites + Sites SSL = Desespero dos ADMIN :-)

Olá pessoal, desculpe pela demora de um post em PTBR estava bem enrolado com os projetos, mas, vamos em frente.

Em um dos meus primeiros post, mostrei como realizar o bloqueio apenas do Chat do Facebook sem bloquear o site inteiro, de lá para cá o Facebook forçou o uso de  HTTPS/SSL não apenas para o login e sim para todo o site. Isso faz com que muitas ferramentas de bloqueio de Web Filter, não consigam visualizar o conteúdo dos pacotes HTTP que passam dentro do túnel SSL fechado entre o browser e o Servidor Web solicitado.

Continue lendo “Bloqueio de Sites + Sites SSL = Desespero dos ADMIN :-)”

Caso de Sucesso Vencedor! XTREME 2013

Mais um ano se passou desde o último Xtreme e mais uma vez a equipe TRTEC recebeu um prêmio, tivemos nosso Case (caso de sucesso) como um dos 5 escolhidos para serem apresentados nesta edição. Parece pouco?! Mais não é! são mais de 200 pessoas de 21 países da América Latina.
O nosso Case foi de um projeto de alta disponibilidade com throughput de 40 Gbps em um grande player de ISP do Brasil.

Continue lendo “Caso de Sucesso Vencedor! XTREME 2013”

UDP FLOOD ou SYN FLOOD sem problemas FORTIDDOS

Uma das palestras mais interessante do dia de ontem foi do Rodolfo Castro (System Engineer da Fortinet), apresentando e dando um Overview da solução contra DDOS, a solução trabalha em 3 camadas do modelo OSI, sendo a camada de rede (3), camada de transporte (4) e a de aplicação (7).

O modo auto learning é uma ferramenta muito poderosa e auxilia muito na configuração do produto.
Continue lendo “UDP FLOOD ou SYN FLOOD sem problemas FORTIDDOS”