This guide shows the configuration steps to use a Samba 4 active directory domain as a source for Fortinet FSSO. Linux based active directory domains are not directly supported by FSSO, therefore we will use the FortiAuthenticator as a „middleware“ which receives the logon events from the samba ad-dc using syslog and sends them to […]
Schlagwort: security
IKEv2 / IPsec Site-to-Site VPN Fortinet FortiGate <-> OpenBSD
This is a step-by-step tutorial to set up a site-to-site VPN between a Fortinet FortiGate and a OpenBSD VPN-Gateway. The Key Exchange will be done using IKEv2 and both sites are using static ip-addresses on their wan interfaces. I typically use the strongest possible cryptographic algorithms between the two sites / vendors in my tutorials. […]
IKEv2 / IPsec Site-to-Site VPN Fortinet FortiGate <-> Mikrotik RouterOS
This is a step-by-step tutorial to set up a site-to-site VPN between a Fortinet FortiGate and a Mikrotik RouterOS. The Key Exchange will be done using IKEv2 and both sites are using static ip-addresses on their wan interfaces. I typically use the strongest possible cryptographic algorithms between the two sites / vendors in my tutorials. […]
FortiClient Realtime Protection nicht aktivierbar
In meinen letzten FortiClient Projekten kam es wiederholt zu Problemen bei der Aktivierung der Realtime Protection des FortiClients auf Windows Systemen.Auf den betroffenen Endgeräten war vorher eine Endpoint Security Lösung eines anderen Herstellers installiert und diese wurde auf den ersten Blick korrekt deinstalliert. Problematisch war in meinen Fällen die weiterhin vorhandene Registrierung des vorherigen Endpoint […]
Windows Native VPN (IKEv2) mit FortiGate und lokalen Nutzern
Möchte man mit einem Windows Endgerät ein Client-VPN zu einer FortiGate als VPN-Gateway aufbauen, so gibt es abseits des Fortinet FortiClients verschiedene Varianten.In diesem Beitrag stelle ich die Konfiguration eines Client-VPN mit IKEv2 zwischen einer FortiGate mit Nutzern in der lokalen Datenbank und der Windows integrierten IKEv2 Implementierung vor. Folgende Komponenten und Versionen wurden in […]
SSL-Zertifikate mit LetsEncrypt auf FortiGate Firewalls nutzen
Seit FortiOS 7.0 unterstützten Fortigate Firewalls die Ausstellung von SSL-Zertifikaten über die Zertifizierungsstelle LetsEncrypt.Das nun folgende Beispiel wurde auf einer FortiGate mit FortiOS 7.0.5 erstellt. Für die Zertifikatsaustellung verwendet LetsEncrypt ein Protokoll mit dem Namen „ACME“, dieses erfordert eine HTTP Kommunikation auf dem TCP Port 80 der FortiGate Firewall.Die notwendige Konfiguration wird auf der FortiGate […]
HTTP Strict Transport Security mit Apache
HTTP Strict Transport Security (HSTS) ist ein Verfahren, dass es einem Angreifer erschweren soll einen Nutzer von einer HTTPS gesicherten auf eine ungesicherte Seite der gleichen Domain umzuleiten. Solche Angriffe sind dann interessant, wenn man sich in dem gleichen WLAN-Netzwerk wie das Opfer befindet, um dann die Session Cookies abzugreifen und die Sitzung zu übernehmen. […]
Fail2Ban und Postscreen
Fail2Ban lässt sich dahingehend erweitern, um auf die Ausgaben von Postscreen zu reagieren und die IP Adressen zu blocken. Man könnte Fail2Ban anweisen die ankommende IP zu blocken, falls diese von Postscreen auf einer Blacklist oder mehreren Blacklists gefunden wurde.Der entsprechende Postscreen Log-Eintrag sieht so aus: NOQUEUE: reject: RCPT from [x.x.x.x]:xxxx: 550 5.7.1 Service unavailable; […]
rspamd und Virustotal
Über die Integration von Virustotal und rspamd ist es möglich E-Mailanhänge auf Malware zu überprüfen, hierbei sollte jedoch beachtet werden, dass nur der Hashwert mit Virustotal abgeglichen wird!Entsprechend werden ausschließlich Dateien erkannt, welche durch andere Nutzer schon auf Virustotal hochgeladen wurden. Um Virustotal als Antivirus Scanner in rspamd einzubinden ist ein Account bei Virustotal notwendig, […]