Xii Parou, qual era o comando mesmo ? Parte IV

Continuando a serie de posts sobre comandos de diagnostico do Fortigate! : )

Hoje irei comentar sobre o grep que utilizo muito em meus script em bash ( que são bem feios, se um programador ver ele chora 🙁 ), mas, também no Fortigate, vamos ao que é interessa.

O comando grep é utilizado para filtro de saídas de comandos tais como debug, get e show.

Exemplo simples do comando grep é quando queremos ver apenas as linhas de uma configuração que contenham uma determinada entrada:

FGVM00000000  (port3) # get | grep speed
speed               : auto

Neste exemplo queremos apenas a linha que contém a entrada speed.

Continue lendo “Xii Parou, qual era o comando mesmo ? Parte IV”

5.4 logo, logo sai do Forno!

Não irei dizer nada sobre a periodicidade dos posts no blog 🙁

A nova versão do FortiOS da Fortinet 5.4 está quase pronta e assim como a 5.2 vai ser um divisor de água entre as versões do Sistema Operacional.

Para dar água na boca, segue algumas features novas e uns prints:

  • A Volta do consumo de banda por IP agora com opção de origem, destino e aplicação:

Add bandwidth column to realtime FortiView pages
The kernel has been updated to store differences in bytes sent/received over time for each session. The GUI will
use this information to calculate bandwidth on a per-session level, and will aggregate this up into FortiView in
order to display bandwidth per source/destination/application/etc.
The bandwidth column will be available on all realtime FortiView pages by default, and can be clicked on to sort in
descending order.
Continue lendo “5.4 logo, logo sai do Forno!”

VPN no Fortigate com a BM&FBOVESPA, sem mistério.

www.trtec.com.br

Voltei  pessoal, desculpe a demora para atualizações no Blog.

Alguns dias atrás estive em um cliente, uma corretora para estabelecer uma VPN com a BM&FBOVESPA e durante a fase final de configuração da VPN para obter a pre-shared key o suporte da BM&FBOVESPA disse que os cliente deles tem muitos problemas para estabelecer essa vpn com Fortigates tinha pessoas com mais de um mês tentando estabelecer uma vpn, isso me soou estranho já que fechei pelo menos umas 10 vpns entre fortigate e a bolsa, inclusive algumas com Roteamento via Multicast (essa sim me deu um trabalho quando configurei a primeira 🙂 ).

Esse post não tem o intuito de explicar como operar uma VPN IPSEC e sim demonstrar algumas opções e como configura-las para o caso especifico da VPN com a BOLSA.

Vamos deixar de Blah, Blah, Blah e vamos a conf.

Irei usar a própria  documentação de configuração enviada pela bolsa (claro que alterando os IPs 🙂 ) Bolsa_VPN to VPN_parte2 esse será o documento que vamos usar como base dos detalhes da conf no FortiOS 5.2.

Iniciando criando a PHASE 1.

Vá em VPN > IPSEC > Tunnel > Create New

vpn1

Não vamos usar nenhum Template pré definido assim essa configuração é valida para outras versões do FortiOS.

Continue lendo “VPN no Fortigate com a BM&FBOVESPA, sem mistério.”

Alterando a Porta de destino de uma requisição (PAT).

Voltei após um longo período de inatividade do blog, 🙁 . Desculpe pessoal, irei tentar manter um intervalo aceitável entre os posts. Hoje irei escrever um post sobre um chamado, como essa necessidade já foi solicitada por mais de um cliente, acredito que o post será útil.

Chega de  “mimimi” e vamos a o “tecniques”

Vamos começar pelo problema:

A necessidade é que quando um cliente interno solicita um IP externo deve ser alterada a porta de destino sem alterar o IP de destino.

Ex: Usuário solicita o ip 200.200.200.200 com porta de destino 9090, porém o Fortigate deve alterar a solicitação para 200.200.200.200 com porta de destino 8080, mas, mantendo o IP de destino. Fácil não ?

Nesse Lab estou usando a Versão mais atual do FortiOS disponível á 5.2.2, mas, os mesmos procedimentos podem ser aplicados em versões anteriores.

Continue lendo “Alterando a Porta de destino de uma requisição (PAT).”

Virtual Wan FortiOS 5.2

Voltei após alguns meses sem post.

Esse será o meu primeiro post da versão 5.2 do FortiOS. 🙂

Hoje vamos falar de uma nova feature da versão 5.2 do FortiOS, a Virtual Wan que vem para substituir a zona quando temos dois ou mais links de internet.

Vamos a diversão.

Com nosso Fortigate já na versão 5.2 vamos iniciar com a configuração das interfaces que contém nossos links de Internet.

O nosso primeiro link temos o IP 200.200.220.2 mascara 255.255.255.252 gw 200.200.220.1

Já o segundo com o IP  189.189.189.2 mascara 255.255.255.252 gw 189.189.189.1

Acredito que não sejam necessário explicações de como configurar as interfaces 🙂

Vamos configurar agora Virtual Wan:

System > Network > Interface > virtual-wan

Na próxima tela vamos configurar as interfaces com os seus devidos gateways e probe servers.

virtual-wan-port3 virtual-wan-port4

Podemos alterar o probe type para HTTP sendo um trafego mais próximo do real.

A qualidade é medida em cima dos tempos de resposta para os Probes adicionados, portanto escolha eles com parcimônia 🙂

 

Com a configuração da nossa Virtual Wan, temos que criar a nossa rota default para a virtual-wan.

virtual-wan-rota

Com isso já temos acesso a internet, porém vamos configurar o Measure Link Quality para podermos escolher a saída do trafego baseado na qualidade do link.

Podemos escolher que a definição de qualidade seja feita via Latency-based ou Jitter-based, neste caso escolherei a latência.

Vamos cria agora um novo Services:

virtual-wan-services

O Services nesse caso funciona como uma policy route só que dinâmica forçado o trafego a sair pelo link de melhor qualidade.

Com nossas configurações prontas para o Virtual Wan, podemos criar nossas regras de acesso a internet com o destino a nossa nova interface virtual-wan.

Em System > Monitor > Link Monitor, podemos ver a qualidade dos links

virtual-wan-monitor

Como podemos ver todo o trafego está sendo roteado pelo link da porta 3 que tem a melhor qualidade. 🙂

É só isso, fácil não ?!

Fico por aqui.

Abraços.

 

 

Integrando a autenticação LDAP com FortiOS

Após muito tempo estou de volta, neste post irei demonstrar os passos necessário para conexão do Fortigate a um servidor LDAP, que neste post será o AD. As mudanças para conectar com um OPENLDAP são bem simples.

 

Mãos na massa e vamos começar.

O que precisamos do AD é ter um usuário para realizar querys Ldap na base do AD e um ou mais grupos que serão utilizado para autenticação.

No Fortigate vá em:

User & Device > Authentication > LDAP Servers > Create New

Ldap-1

Campos:

Name: Nome da conexão.

Server Name/IP: Endereço FQDN ou IP do AD se for o FQDN o Firewall deve ter como DNS o endereço do AD.

Server Port: A porta do AD para conexões criptografadas é 636 para isso é necessário importar o certificado do AD no Fortigate, isso fica para um outro post.

Common Name Identifier: É o campo no AD que contém o nome de usuário como utilizado para logon, no caso do OPENLDAP normalmente é uid .

: É o domínio ou OU que deseja realizar a pesquisa, tem que ser adicionado no padrão x.500.

Bind Type: Irei utilizar o Regular para passar um usuário e senha para a query LDAP.

User DN: Usuário da base do AD, com uma instalação default do AD sem nenhum Hardening qualquer usuário valido pode realizar a pesquisa.

Password: Senha do usuário acima.

Com isso pronto vamos fazer o teste de conexão.

Na versão que estou testando tem um BUG da console WEB onde retorna um erro quando clico no Botão Test, por isso irei utilizar o test via comando de linha

Via CLI executamos a seguinte linha de comando:

diagnose test authserver ldap <server>  <usuário> <senha>

Seguido do nome do servidor um usuário valido do AD e a senha deste usuário .

Ficando assim o comando:

diagnose test authserver ldap Server_AD william.costa MinhaSenha

Se tudo ocorrer bem a saída do Comando será algo parecido com isso:

diagnose test authserver ldap Server_AD william.costa MinhaSenha
authenticate ‘william.costa’ against ‘Server_AD’ succeeded!
Group membership(s) – CN=GRP-Tecnico,OU=Novos-Grupos,DC=trtec,DC=com
CN=VPN_SSL,CN=Users,DC=trtec,DC=com
CN=Usuários da área de trabalho remota,CN=Builtin,DC=trtec,DC=com
CN=Usuários do domínio,CN=Users,DC=trtec,DC=com

Conseguimos conectar no AD e a autenticação ocorreu com sucesso, retornando os Grupos que o usuário william.costa pertence no AD.

A listagem dos grupos é realizada para podermos autenticar o usuário, não só se o usuário e senha estão certos, mas, se também o usuário pertence a um determinado Grupo, como um grupo que libera o acesso a uma VPN ou um perfil especifico de acesso WEB. 🙂

Agora vamos criar um Grupo no Fortigate e associar o mesmo a um grupo do LDAP.

Vá em User & Device > User > User Groups > Create New

Grupo

Campos:

Name: Adicione um nome a sua escolha

Type: Selecione Firewall.

Remote Groups: Selecione o Servidor criado anteriormente e desmarque a opção de Any e adicione o Caminho completo do Grupo no padrão x.500

 

Com isso pronto é só adicionar a uma política de VPN ou de outro tipo de acesso.

Fico por aqui.

Até mais.

 

 

 

 

Sem Grana para um WAF?! … Criando uma regra simples de Bloqueio de XSS no Fortigate.

Galera, neste post vamos ver como criar uma assinatura customizada de IPS, para detectar um ataque de XSS  em uma aplicação web atrás do Fortigate.

OBs: O melhor método de proteger aplicações WEB é o Fortiweb, mas, sabemos que nem sempre é possível a compra ou a mesma pode levar um tempo muito grande e estaremos vulnerável durante esse processo.

 

Chega de blah blah blah e vamos escovar uns bits rsrsrs.

Vamos ao problema:

Temos um site que é vulnerável a XSS em nosso ambiente, excluindo a possibilidade de alteração e correção da vulnerabilidade direta na aplicação, nos resta colocar algo na frente para corrigir o problema, a vulnerabilidade ocorre no campo de busca de nossa aplicação, acessível do mundo externo, a url vulnerável é :

http://ip_aplicacao/index.php?busca=

Fazendo um simples teste para checar a vulnerabilidade.

http://ip_aplicacao/index.php?busca=


Continue lendo “Sem Grana para um WAF?! … Criando uma regra simples de Bloqueio de XSS no Fortigate.”

Backup automatico Fortigate

Desculpem a demora nos lançamentos de novos posts. 🙂

Nesse post irei deixar um script que uso para realizar backup de Fortigates remotos.

Em projetos com vários box Fortigates, sempre surge a pergunta do cliente, como vai manter um backup atualizado dessas caixas? Sei que existem outras formas de fazer o Backup automático (Fortimanager), mas, gosto do meu script ele me manda email quando falha :)-

Vamos começar a brincadeira.

Neste post nada de WEB GUI só a boa e velha telinha CLI.

Vamos começar com a habilitação do SCP no firewall

config system global
set admin-scp enable
end

Continue lendo “Backup automatico Fortigate”

Revista H2HC

Hoje saiu a 6 edição da Revista H2HC ED6_H2HC_MAGAZINE ( http://www.h2hc.com.br/revista) , que faz parte de um dos maiores eventos de Segurança da Informação o H2HC (Hacker to Hacker Conference).

Nesta edição temos 2 artigos de nossos Colaboradores o Rafael Willuveit Nosso Gerente de Projetos e William Costa, Consultor Sênior de SI.

Parabéns aos dois.

 

Configurando no FortiOS v5 Webfiltering para scan de HTTPS sem habilitar o SSL Deep Scanning

Introdução
O FortiOS FortiGuard webfiltering e Filtro URL pode ser configurado para bloquear ou permitir sites HTTPS, sem a necessidade do Deep Scan.
O daemon WebFilter tem a capacidade de extrair o nome de host do site a partir do certificado SSL (campo CN), que é enviado através de uma sessão sem criptografia (HTTP) antes do túnel SSL ser estabelecido, e usa esta informação do hostname para avaliar o site (e não a URL completa), bloqueando assim o acesso ou permitindo.
Desta forma não há necessidade de instalar o certificado auto-assinado do Fortigate em todos estações de trabalho ou a compra de um certificado válido para o efeito.
Configuração
1.Criar um novo perfil de Inspeção SSL / SSH e ativar o HTTPS pela porta 443
2.Desativar a opção Scan encrypted Connections em seu perfil Webfilter

 

3. Selecione tanto SSL / SSH Inspeção e perfis Webfilter em sua política que controla o acesso HTTPS
Ao configurar o FGT para fazer isso, se uma página web é bloqueada, por padrão, o FGT irá enviar um mensagem de substituição ao
de usuário e uma vez que é um site HTTPS, a URL também será através de HTTPS.
Neste caso, o usuário também vai ser solicitado a aceitar certificado auto-assinado da FGT, mas, isso é apenas para uma  URL  bloqueada se isso acontecer para um site permitido  significa SSL DEEP SCAN está habilitado.
Você pode facilmente testar isso acessando um site HTTPS permitido e você vai ver que ele não vai pedir-lhe para aceitar o certificado auto-
certificado assinado do FGT, enquanto que para um site bloqueado você verá a mensagem de aviso de certificado em seu navegador.

Fonte Fortinet.