Der in FortiOS integrierte Packet Sniffer ist eines meiner meist genutzten Troubleshooting Tools der Fortinet FortiGate Firewalls. Der Packet Sniffer ist ein CLI Befehl mit folgendem Aufbau: Schnittstelle: Die Angabe der Schnittstelle erlaubt es die Ausgabe auf ein beliebiges Interface zu reduzieren. Soll keine Schnittstelle als Filter genutzt werden, so kann man dies durch die […]
Autor: Dominik Kupschke
IT-Security Engineer mit Fokus auf Netzwerksicherheitsprodukte der Hersteller Fortinet, Pulse Secure und Cisco
Git Server mit Apache und dem Git Smart HTTP Protkoll
Um ein zentrales Git Repository mit mehreren Personen zu nutzen bieten sich verschiedene Methoden an. Als einfachste Lösung empfinde ich den Datenaustausch über einen Apache Webserver, da man aus den meisten Netzwerken ohne Probleme an den HTTPS Port 443 kommt.In diesem Tutorial sprechen die Clients mit dem Repository über das sogenannte „Git Smart HTTP“ Protokoll. […]
Automatischer Config Rollback auf FortiGate Firewalls
Wird eine Änderung auf einer FortiGate Firewall durchgeführt, so wird diese in aller Regel sofort ausgeführt und auch in die Konfiguration übernommen. Eine fehlerhafte Konfiguration auf einem weit entfernten Standort kann daher schnell zu einem Problem werden, wenn beispielsweise dem Administrator jede weitere Fernverwaltung nicht mehr möglich ist. FortiOS bietet dem Administrator eine Funktion, um […]
Pulse Connect Secure und FortiAuthenticator Integration mit RADIUS
Bei der Pulse Connect Secure handelt es sich um eines der umfangreichsten Remote Access Lösungen und der FortiAuthenticator ist mein „Schweizer Taschenmesser“ für alle Belange der Authentifizierung.In diesem Artikel zeige ich die Integration der Pulse Connect Secure mit dem FortiAuthenticator auf Basis von RADIUS.Die Pulse Connect Secure führt eine primäre Authentifizierung mittels Benutzernamen und Kennwort […]
Neue FortiGate IPS-Signaturen auf Hold setzen
FortiGate Firewalls schauen in der Standardkonfiguration alle 2 Stunden nach neuen IPS-Signaturen (und natürlich nach vielen weiteren dynamischen Updates), dies kann potenziell zu einem Problem werden, wenn sich hier bei der Erstellung der IPS-Signaturen ein Fehler einschleicht.Eine fehlerhafte IPS-Signatur kann je nach Konfiguration des Security Profiles ein schwerwiegendes Problem im Netzwerk verursachen und eigentlich legitimen […]
HTTP Strict Transport Security mit Apache
HTTP Strict Transport Security (HSTS) ist ein Verfahren, dass es einem Angreifer erschweren soll einen Nutzer von einer HTTPS gesicherten auf eine ungesicherte Seite der gleichen Domain umzuleiten. Solche Angriffe sind dann interessant, wenn man sich in dem gleichen WLAN-Netzwerk wie das Opfer befindet, um dann die Session Cookies abzugreifen und die Sitzung zu übernehmen. […]
SMTP Submission mit Postfix
Was ist SMTP Submission?Mithilfe von SMTP Submission öffnet der MTA, in unserem Fall Postfix, den zusätzlichen Port 587.Über diesen Port ist der E-Mail Versand nur möglich, wenn der Nutzer authentifiziert hat. Wofür wird SMTP Submission benötigt?Einige Provider verbieten den Zugriff auf jeden SMTP-Server, außer auf den vom Provider zur Verfügung gestellten.Solange man einen authentifizierten Zugang […]
Fail2Ban und Postscreen
Fail2Ban lässt sich dahingehend erweitern, um auf die Ausgaben von Postscreen zu reagieren und die IP Adressen zu blocken. Man könnte Fail2Ban anweisen die ankommende IP zu blocken, falls diese von Postscreen auf einer Blacklist oder mehreren Blacklists gefunden wurde.Der entsprechende Postscreen Log-Eintrag sieht so aus: NOQUEUE: reject: RCPT from [x.x.x.x]:xxxx: 550 5.7.1 Service unavailable; […]
FortiOS HA Failover bei hoher Memory Auslastung
Seit FortiOS 7.0.0 gibt es endlich die Möglichkeit einen Failover auszulösen, wenn die Auslastung des Arbeitsspeichers einen definierten Schwellwert durchbricht. Die Konfiguration des Memory based HA Failover ist aktuell nur auf der CLI möglich.Eine Konfiguration könnte beispielsweise so aussehen: Was die einzelnen Variablen im Detail bedeuten erkläre ich nun: memory-based failover (enable / disable) Diese […]
rspamd und Virustotal
Über die Integration von Virustotal und rspamd ist es möglich E-Mailanhänge auf Malware zu überprüfen, hierbei sollte jedoch beachtet werden, dass nur der Hashwert mit Virustotal abgeglichen wird!Entsprechend werden ausschließlich Dateien erkannt, welche durch andere Nutzer schon auf Virustotal hochgeladen wurden. Um Virustotal als Antivirus Scanner in rspamd einzubinden ist ein Account bei Virustotal notwendig, […]