• Remote SQL database (MySQL) support
• SQL DB PostgreSQL support

Przyznam, że zaintrygowało mnie to na tyle, że postanowiłem od razu sprawdzić z czym to się je i co można z tego wycisnąć.

Konfiguracja prosta – jak na załączonym obrazku:

Podajemy sposób przechowywania danych (Location): lokalny to prawdopodobnie PostgreSQL i zdalny, czyli MySQL. Wybrałem ten ostatni. Po uzupełnieniu niezbędnych danych (serwer, użytkownik, hasło, baza) zaznaczyłem logowanie wszystkich typów zdarzeń.
Jeśli użytkownik, którego podamy ma prawo do zakładania baz, nic więcej nie musimy robić. W przeciwnym razie należy mu pomóc.
Poniżej kawałek mojego query log‘a:

Connect fa@A.B.C.D on
Query create database if not exists `fortianalyzer`
Query use `fortianalyzer`
Query select tbl_name from table_ref where tbl_name like 'FG100A3907510579-elog-%' and row_num=0


Czyli mamy połączenie z serwerem, próbę założenia oraz podłączenie do bazy, a następnie przeszukanie tabeli table_ref (założona wcześniej). Tabela ta zawiera informacje o innych tablicach z logami – podejrzewam, że zaplanowana została jakaś rotacja (wskazują na to kolumny itime_start, itime_end, dtime_start, dtime_end, row_num). Czemu tylko podejrzewam, a nie wiem? Otóż w przypadku, gdy nie zostanie znaleziony żaden wynik, FortiAnalyzer próbuje stworzyć nową tablicę. U mnie próbuje, bo nikt nie pomyslał, że baza może mieć domyślne kodowanie ustawione na utf8 zamiast np. latin1, a przy ograniczeniach MySQL nie każdą tablicę da się założyć. Jakiej się nie da? Wyczerpująco opisuje to dodatek D.7.2. The Maximum Number of Columns Per Table dokumentacji MySQL.
Zapytanie jak poniżej:

create table `FG100A3907510579-elog-20100409220517` (`id` bigint unsigned not null primary key,`itime` datetime,`dtime` datetime,`cluster_id` varchar(24),`device_id` varchar(16),`log_id` smallint unsigned default 0,`subtype` varchar(255),`type` varchar(255),`timestamp` int unsigned default 0,`pri` varchar(255),`vd` varchar(255),`user` varchar(255),`msg` varchar(255),`ssid` varchar(255),`action` varchar(255),`session_id` int unsigned default 0,`count` int unsigned default 0,`proto` varchar(255),`profile` varchar(255),`cpu` tinyint unsigned default 0,`src` varchar(40),`epoch` int unsigned default 0,`mem` tinyint unsigned default 0,`duration` int unsigned default 0,`infected` int unsigned default 0,`from` varchar(255),`dst` varchar(40),`ha_group` tinyint unsigned default 0,`tunnel_id` int unsigned default 0,`status` varchar(255),`bssid` varchar(255),`tunnel_type` varchar(255),`event_id` int unsigned default 0,`ip` varchar(40),`ha_role` varchar(255),`rem_ip` varchar(40),`src_int` varchar(255),`suspicious` int unsigned default 0,`sn` varchar(255),`to` varchar(255),`total_session` int unsigned default 0,`ap` varchar(255),`scanned` int unsigned default 0,`vcluster` int unsigned default 0,`remote_ip` varchar(40),`carrier_ep` varchar(255),`imsi` varchar(255),`loc_ip` varchar(40),`dst_int` varchar(255),`from_vcluster` int unsigned default 0,`rem_port` smallint unsigned default 0,`src_port` smallint unsigned default 0,`msisdn` varchar(255),`tunnel_ip` varchar(40),`intercepted` int unsigned default 0,`vap` varchar(255),`service` varchar(255),`apn` varchar(255),`out_intf` varchar(255),`blocked` int unsigned default 0,`dst_port` smallint unsigned default 0,`mac` varchar(255),`to_vcluster` int unsigned default 0,`acct_stat` varchar(255),`selection` varchar(255),`reason` varchar(255),`group` varchar(255),`rate` tinyint unsigned default 0,`loc_port` smallint unsigned default 0,`vcluster_member` int unsigned default 0,`vcluster_state` varchar(255),`app-type` varchar(255),`nsapi` tinyint unsigned default 0,`dport` smallint unsigned default 0,`channel` tinyint unsigned default 0,`cookies` varchar(255),`checksum` int unsigned default 0,`dst_host` varchar(255),`nf_type` varchar(255),`vdname` varchar(255),`linked-nsapi` tinyint unsigned default 0,`next_stats` int unsigned default 0,`virus` varchar(255),`imei-sv` varchar(255),`devintfname` varchar(255),`security` varchar(255),`policy_id` int unsigned default 0,`rai` varchar(255),`hostname` varchar(255),`xauth_user` varchar(255),`uli` varchar(255),`xauth_group` varchar(255),`sent` bigint unsigned default 0,`policyid` int unsigned default 0,`rcvd` bigint unsigned default 0,`sess_duration` int unsigned default 0,`hbdn_reason` varchar(255),`banned_src` varchar(255),`end-usr-address` varchar(40),`msg-type` tinyint unsigned default 0,`sync_type` varchar(255),`banned_rule` varchar(255),`state` varchar(255),`vpn_tunnel` varchar(255),`sync_status` varchar(255),`alert` varchar(255),`sensor` varchar(255),`endpoint` varchar(255),`stage` tinyint unsigned default 0,`voip_proto` varchar(255),`deny_cause` varchar(255),`desc` varchar(255),`dir` varchar(255),`kind` varchar(255),`init` varchar(255),`mode` varchar(255),`cert-type` varchar(255),`ui` varchar(255),`exch` varchar(255),`rat-type` varchar(255),`c-gsn` varchar(40),`error_num` varchar(255),`u-gsn` varchar(40),`method` varchar(255),`phase2_name` varchar(255),`spi` varchar(255),`name` varchar(255),`c-sgsn` varchar(40),`request_name` varchar(255),`seq` varchar(255),`c-ggsn` varchar(40),`in_spi` varchar(255),`u-sgsn` varchar(40),`out_spi` varchar(255),`u-ggsn` varchar(40),`c-sgsn-teid` int unsigned default 0,`enc_spi` varchar(255),`c-ggsn-teid` int unsigned default 0,`dec_spi` varchar(255),`message_type` varchar(255),`malform_desc` varchar(255),`tunnel` varchar(255),`u-sgsn-teid` int unsigned default 0,`u-ggsn-teid` int unsigned default 0,`malform_data` int unsigned default 0,`tunnel-idx` int unsigned default 0,`line` varchar(255),`column` int unsigned default 0,`c-pkts` bigint unsigned default 0,`phone` varchar(255),`profile_group` varchar(255),`c-bytes` bigint unsigned default 0,`u-pkts` bigint unsigned default 0,`u-bytes` bigint unsigned default 0,`next_stat` int unsigned default 0,`user_data` varchar(255),`role` varchar(255),`result` varchar(255),`xauth_result` varchar(255),`esp_transform` varchar(255),`esp_auth` varchar(255),`error_reason` varchar(255),`peer_notif` varchar(255))

zakończy się niepowodzeniem, a serwer zwróci błąd:

ERROR 1118 (42000): Row size too large. The maximum row size for the used table type, not counting BLOBs, is 65535. You have to change some columns to TEXT or BLOBs

Nie chce mi się nawet liczyć ile bajtów to zajmuje. A wystarczyło dopisać CHARACTER SET latin1…

Podejrzewam, że po poprawnym założeniu tabeli dopisze się coś do table_ref, ale jest już zbyt późno, a ja mam za dużo lat, żeby dochodzić jak to powinno wyglądać.

Tak czy inaczej – inżynierowie Fortinet tracą jeden punkt.

Jeszcze nie miałem okazji sprawdzić tego w działaniu, ale na pierwszy rzut oka wygląda ładnie, a tego zazwyczaj się obawiam.

Zobacz także:

• Firewall Guru: Software Update – 4.0 MR2
• Firewall Guru: FortiOS 4.0 MR2 – Initial Impressions

Message meets Alert condition
The following intrusion was observed: .
date=2009-11-12 time=08:59:29 devname=FG100A390850nnnn device_id=FG100A390850nnnn log_id=0419016384 type=ips subtype=signature pri=alert fwver=040001 severity=medium carrier_ep="N/A" profile="XXXwww" src=192.168.N.nnn dst=192.168.N.nnn src_int="internal1" dst_int="internal1" policyid=9 serial=2624202 status=detected proto=6 service=http vd="root" count=1 src_port=12656 dst_port=80 attack_id=10478 sensor="protect_http_server" ref="http://www.fortinet.com/ids/VID10478" user="N/A" group="N/A" incident_serialno=215887946 msg="web_server: Oracle.HTTP.Server.XSS"

Ponieważ wszystkie zgłoszenia dotyczą jednego serwera i jednej usługi, pomyślałem początkowo, że to jakiś głupi robot. Z ciekawości chciałem go namierzyć, ale niestety wspomniany raport jako adres źródłowy i docelowy podaje to samo! Głębsza analiza pakietów na bramie (FortiGate) też niczego nie wniosła (pseudo-atak ciągle trwał). Na koniec trafiłem do samego FortiAnalyzer’a, żeby przejrzeć historię zalogowanych połączeń i coś mnie tknęło, żeby sprawdzić stan skanowania.

No tak, 38%. Czyli za tydzień znów się będę zastanawiał…

• Vulnerability Scan:
  • Sensor: all_vulnerabilities
• Port Scan:
  • TCP Ports: Full
  • UDP Ports: Full
• Other Options:
  • Perform TCP 3-way Handshake
  • Scan Dead Host

Przeglądanie raportu zacząłem od pierwszego serwera i znalazłem taki kwiatek:

Zaskoczony obecnością phpMyAdmin, tym bardziej, że kolejny błąd wskazuje już na konkretną wersję phpMyAdmin -FID: 2408 Title: Multiple PHP Remote Code Injection Vulnerabilities in phpMyAdmin 2.6.1, przejrzałem kilka kolejnych ‘błędów’ i mamy tam podatności ATutor 1.5.1, FlatNuke, phpBook (polecam zapoznanie się z informacją na głównej stronie) i jeszcze parę innych. WTF? – pytam się!

Otóż na porcie 2381 nasłuchuje usługa (system to Windows) HP System Management Homepage. To nic innego jak Apache (prawdopodobnie 2.0.43, API 20020903, u mnie przedstawiający się jako CompaqHTTPServer/9.9 HP System Management Homepage/2.0.2.106) z PHP (u mnie 4.3.6) i aplikacją do zarządzania serwerem. Przejrzałem logi odnośnie ciągu ‘phpmyadmin’ i znalazłem coś takiego:

192.168.1.253 - - [04/May/2009:08:23:19 +0200] "GET /scripts/phpmyadmin/libraries/relation_cleanup.lib.php HTTP/1.1" 302 379
192.168.1.253 - - [04/May/2009:08:23:19 +0200] "GET /scripts/phpmyadmin/libraries/select_lang.lib.php HTTP/1.1" 302 374
192.168.1.253 - - [04/May/2009:08:23:19 +0200] "GET /cgi-bin/phpmyadmin/libraries/relation_cleanup.lib.php HTTP/1.1" 302 379
192.168.1.253 - - [04/May/2009:08:23:19 +0200] "GET /cgi-bin/phpmyadmin/libraries/select_lang.lib.php HTTP/1.1" 302 374
192.168.1.253 - - [04/May/2009:08:23:19 +0200] "GET /phpmyadmin/libraries/relation_cleanup.lib.php HTTP/1.1" 302 371
192.168.1.253 - - [04/May/2009:08:23:20 +0200] "GET /phpmyadmin/libraries/select_lang.lib.php HTTP/1.1" 302 366

Nic więcej! Czyli FortiAnalyzer na podstawie kodu odpowiedzi 302 stwierdza, że aplikacja jest, a co za tym idzie – może mieć błędy! Nie podąża w ogóle za otrzymanym adresem i tworzy gigantyczny raport (tak samo jest z każdą znaną przez niego aplikacją).
Na razie skończyłem przeglądanie na pierwszym serwerze, bo w poziomie High miałem 100% false-positive. Co ciekawe, pierwszy błąd na poziomie Medium to: FID: 1587 Title: Compaq WBEM Server Detect. Niby można dodać filtry do sensor, ale jest to ograniczone. Wiem, że to automat, więc zachowuje się tak a nie inaczej, ale raport, który generuje stawia pytanie – dla kogo to? Wydaje mi się, że tylko jako podłoże do bardziej dogłębnych testów po odsianiu sporej ilości błędów. Na pewno nie gotowy dokument do przesłania Zarządowi.

Przy okazji do poczytania (fortinet+blog na Google):

• Fortinet FortiGuard Blog
• Firewall Guru
• Blogs about: Fortigate
• AVFirewalls.com – Fortinet

Przed szkoleniem (odbyło się w Warszawie) nocleg u kahir‘a – mimo, że Aldona i Anita czekały…

A po szkoleniu wyjazd na Warmię do Moich Korzeni. Pogoda się udała. Wiejski piknik również :-)

W międzyczasie dostałem informację o dostawie nowego sprzętu – QLogic SANbox 5600 (przełącznik FC). I od poniedziałku zabawa – w dzień konfiguracja, w nocy przepinanie. Na razie nic to nie wniosło w naszą strukturę, bo macierze (sztuk dwie), które wpiąłem nie wspierają MPIO, więc niezbędne było wydzielenie odpowiednich stref (zone) i tak naprawdę to działa to podobnie jak wcześniej, ale o kilkanaście tysięcy drożej ;-)

Przy okazji – FortiAnalyzer jakoś mnie nie powalił możliwościami, ale kilku stron i ładnych wykresów w comiesięcznym raporcie bezpieczeństwa dostarcza :>

FortiGate w ciągu minionego tygodnia zawiesił się trzykrotnie. Zbiegła się aktualizacja FortiOS (ale troszkę wcześniej, więc może nie ma bezpośredniego wpływu), podłączenie do FortiAnalyzer i, co może najistotniejsze, podłączenie się do sieci użytkowników, którzy sami konfigurują sobie sieć i czasem mylą adres IP z domyślną bramą. Dodam, że MAC adres był poprawny w każdej tablicy ARP urządzeń, które były po drodze. Tak czy inaczej, ostatnie dwie sytuacje zdecydowanie nie powinny mieć wpływu na pracę tego urządzenia. Sprawa więc jest ‘rozwojowa’ .