Autor: Dominik Kupschke

IT-Security Engineer mit Fokus auf Netzwerksicherheitsprodukte der Hersteller Fortinet und Ivanti (ehemals Pulse Secure)

Windows Native VPN (IKEv2) mit FortiGate und lokalen Nutzern

Möchte man mit einem Windows Endgerät ein Client-VPN zu einer FortiGate als VPN-Gateway aufbauen, so gibt es abseits des FortiClients verschiedene Varianten.In diesem Beitrag stelle ich die Konfiguration eines Client-VPN mit IKEv2 zwischen einer FortiGate mit Nutzern in der lokalen Datenbank und der Windows integrierten IKEv2 Implementierung vor. Folgende Komponenten und Versionen wurden in diesem […]

SSL-Zertifikate mit LetsEncrypt auf FortiGate Firewalls nutzen

Seit FortiOS 7.0 unterstützten Fortigate Firewalls die Ausstellung von SSL-Zertifikaten über die Zertifizierungsstelle LetsEncrypt.Das nun folgende Beispiel wurde auf einer FortiGate mit FortiOS 7.0.5 erstellt. Für die Zertifikatsaustellung verwendet LetsEncrypt ein Protokoll mit dem Namen „ACME“, dieses erfordert eine HTTP Kommunikation auf dem TCP Port 80 der FortiGate Firewall.Die notwendige Konfiguration wird auf der FortiGate […]

Git Server mit Apache und dem Git Smart HTTP Protkoll

Um ein zentrales Git Repository mit mehreren Personen zu nutzen bieten sich verschiedene Methoden an. Als einfachste Lösung empfinde ich den Datenaustausch über einen Apache Webserver, da man aus den meisten Netzwerken ohne Probleme an den HTTPS Port 443 kommt.In diesem Tutorial sprechen die Clients mit dem Repository über das sogenannte „Git Smart HTTP“ Protokoll. […]

Automatischer Config Rollback auf FortiGate Firewalls

Wird eine Änderung auf einer FortiGate Firewall durchgeführt, so wird diese in aller Regel sofort ausgeführt und auch in die Konfiguration übernommen. Eine fehlerhafte Konfiguration auf einem weit entfernten Standort kann daher schnell zu einem Problem werden, wenn beispielsweise dem Administrator jede weitere Fernverwaltung nicht mehr möglich ist. FortiOS bietet dem Administrator eine Funktion, um […]

Ivanti Connect Secure und FortiAuthenticator Integration mit RADIUS

Bei der Ivanti Connect Secure handelt es sich um eines der umfangreichsten Remote Access Lösungen und der FortiAuthenticator ist mein „Schweizer Taschenmesser“ für alle Belange der Authentifizierung.In diesem Artikel zeige ich die Integration der Ivanti Connect Secure mit dem FortiAuthenticator auf Basis von RADIUS.Die Ivanti Connect Secure führt eine primäre Authentifizierung mittels Benutzernamen und Kennwort […]

Neue FortiGate IPS-Signaturen auf Hold setzen

FortiGate Firewalls schauen in der Standardkonfiguration alle 2 Stunden nach neuen IPS-Signaturen (und natürlich nach vielen weiteren dynamischen Updates), dies kann potenziell zu einem Problem werden, wenn sich hier bei der Erstellung der IPS-Signaturen ein Fehler einschleicht.Eine fehlerhafte IPS-Signatur kann je nach Konfiguration des Security Profiles ein schwerwiegendes Problem im Netzwerk verursachen und eigentlich legitimen […]

HTTP Strict Transport Security mit Apache

HTTP Strict Transport Security (HSTS) ist ein Verfahren, dass es einem Angreifer erschweren soll einen Nutzer von einer HTTPS gesicherten auf eine ungesicherte Seite der gleichen Domain umzuleiten. Solche Angriffe sind dann interessant, wenn man sich in dem gleichen WLAN-Netzwerk wie das Opfer befindet, um dann die Session Cookies abzugreifen und die Sitzung zu übernehmen. […]

SMTP Submission mit Postfix

Was ist SMTP Submission?Mithilfe von SMTP Submission öffnet der MTA, in unserem Fall Postfix, den zusätzlichen Port 587.Über diesen Port ist der E-Mail Versand nur möglich, wenn der Nutzer authentifiziert hat. Wofür wird SMTP Submission benötigt?Einige Provider verbieten den Zugriff auf jeden SMTP-Server, außer auf den vom Provider zur Verfügung gestellten.Solange man einen authentifizierten Zugang […]