Wpisy otagowane ‘Fortigate’

Nowsze wpisy »

FortiOS upgrade

sobota, 14 Marzec 2009

Jeśli komuś się nie chce czytać tego artykułu do końca, to w skrócie: pierwsze podejście nie udało się, kolejne niby tak, ale i tak nie jestem przekonany, że działa wszystko dobrze.

Naładowany pozytywną energią postanowiłem w czwartek z rana zaktualizować firmware w FortiGate 100A. Zgodnie ze wskazówkami zrobiłem wcześniej kopię konfiguracji, bo update nie powinien napsuć, natomiast co do  upgrade, to inżynierowie Fortinet raczej tego nie gwarantują. Niemniej po restarcie z nowym FortiOS konfiguracja była zachowana, ale zmieniła się logika niektórych funkcji, toteż nie zaczęło to od razu działać jak należy.

clipboard011Przede wszystkim, co od razu zauważyłem, inaczej definiuje się reguły z autoryzacją (FSAE). Teraz do każdej Policy można stworzyć jedną lub więcej Identity Based Policy, co w sumie nie jest złe, ale inaczej niż wcześniej i trzeba się przestawić. Poza tym, co ważne, FSAE (wersja 3.5.037, ma nawet parę widocznych nowych opcji) dostarczany z wersją 4.0 FortiOS nie działa dobrze, bo nie pozwala w ogóle zainstalować DC Agenta (w systemie MS Windows 2003 Server Standard pokazuje enigmatyczny komunikat o braku uprawnień). Działa natomiast wcześniejsza wersja – 3.5.032.

dgWspomniany upgrade pozwala zachować konfigurację (dostosowuje ją do nowej wersji), niestety downgrade trochę ją psuje. Sekcje konfiguracji interfejsów są niezmienne, więc można zrobić tą operację zdalnie, a dostęp do urządzenia zostanie. Czy w jedną, czy w drugą stronę, zalecam dokładne przejrzenie ustawień po zmianie wersji FortiOS.

Menu zostało trochę zmienione i niektóre opcje sa w innym miejscu, więc potrzeba trochę czasu by się przyzwyczaić.

clipboard012Z ciekawych rzeczy dodany został User Monitor – podgląd użytkowników uwierzytelnionych (firewall, IPSEC, SSL, IM) – tym samym odchodzi trochę ‘klepania’ w konsoli.

Przy okazji – udało mi się skonfigurować moją zaporę, by rutowała pakiety do jednego z dwóch dostawców w zależności od polityki. Niestety (jeszcze) nie działa odpowiadanie łączem, którym pakiet przyszedł (takie reply-to z pf w OpenBSD).

A na zakończenie – na LinkedIn pojawiła się grupa Enterprise Network Security sygnowana logo Fortinet. Natomiast pod koniec miesiąca wybieram się na szkolenie MS-2199 + FSAE. Mam nadzieję, że na nowym oprogramowaniu.

Tagi:, ,
Zaszufladkowany do Tech | 3 komentarzy »

FortiGate – statystyki

piątek, 6 Marzec 2009

Zacząłem bardziej wykorzystywać zaporę FortiGate (100A). Wiekszość ruchu przepuszczam przez to właśnie urządzenie. Z racji tego, że logi przydają się – zdecydowałem na włączenie FortiAnalyzer‘a do struktury (planujemy zakup FortiAnalyzer 100B).

fortigate-statTymczasem postanowiłem przyjrzeć się temu co zapisuje sama zapora. Informacje o wszystkich zdarzeniach trzymane są w pamięci i dość szybko ‘rotowane’ (przy dużym ruchu ciężko z tego skorzystać). Dotyczy to również statystyk – zerowane są przy restarcie urządzenia.

W naszej konfiguracji serwer poczty jest za urządzeniem i dostępny jako Virtual IP. Należy przy tym pamiętać, że jeśli chcemy uzyskać funkcjonalność binat (dwukierunkowe mapowanie adresów) nie można wykorzystać Port Forwarding – konkretny port można filtrować już w fortigate-maillogpolityce. Wspomniane statystyki zliczają pocztę przychodzącą i wychodzącą tylko w przypadku, gdy połączenie nie korzysta z TLS / SSL. Szczegółowa lista dość niefortunnie przedstawia dane – mianowicie korzystając z nagłówka To: pokazuje odbiorcę wiadomości. W przypadku, gdy ktoś wysyła do większej ilości odbiorców (CC) nagle na liście mamy adresy z domeny nie należącej do nas. Spokojnie, to nie Open Relay ;-)

Oczywiście warunkiem koniecznym do zliczania ruchu SMTP jest włączenie Protection Profile dla danej reguły. Ja w swojej włączyłem tylko filtrowanie spamu dla SMTP.

Tagi:,
Zaszufladkowany do Tech | 2 komentarzy »

FortiOS v4.0

czwartek, 26 Luty 2009

W tym tygodniu światło dzienne ujrzał nowy OS do urządzeń firmy Fortinet. Jestem jeszcze przed aktualizacją na moim FortiGate 100A, ale Release Notes wygląda ciekawie. Pozwoliłem sobie na małe podsumowanie Resolved Issues vs. Known Issues (This section [Known Issues in FortiOS v4.0.0] lists the known issues of this release, but is NOT a complete list. For enquiries about a particular bug not listed here, contact Customer Support.):

Resolved Known
CLI 3 4
Web UI 1 9
System 6 14
HA 7 5
Router 3 2
FW 5
VPN 4 3
WAN opt. 1 2
AV 1 4
IPS 2
Web filter 1
Data Leak Prevention 3
IM 1
P2P 3
App Control 1
Endpoint Control 4
VoIP 1
Log 2 7
FSAE 1
29 71

Nie wiem, którzy są ‘nasi’, ale Known wygrywają ;-)

Tagi:, ,
Zaszufladkowany do Tech | Brak komentarzy »

FortiGate i uwierzytelnianie w Active Directory

poniedziałek, 9 Luty 2009

Udało mi się rozdzielic grupy na FortiGate przy uwierzytelnianiu w AD!

Problem wyglądał tak: mamy wielu użytkowników należących do wielu grup. Tworzymy reguły z autoryzacją – dla każdej grupy osobną. Adresy i porty źródłowe i docelowe takie same. Jeśli użytkownik nie jest członkiem grupy w pierwszej regule zapora nie sprawdza dalszych reguł (inaczej niż w przypadku niedopasowania innych warunków – adresu IP i portu). Żale wcześniej wylałem tutaj: FortiGate – przetwarzanie reguł.

fgad-2Rozwiązaniem takiego problemu jest stworzenie dwóch osobnych grup (z osobnymi protection profile), a następnie umieszczenie ich w jednej regule.fgad Mniej więcej pokazują to zrzuty ekranu, które zrobiłem na swoim urządzeniu. Oczywiście kolejność dodawania grup ma znaczenie w przypadku gdy użytkownicy należą do więcej jak jednej jednocześnie.

W międzyczasie pojawił mi się kolejny problem. Chciałem konkretnemu użytkownikowi PPTP dać dostęp jedynie do konkretnego serwera w DMZ. Niestety grupa PPTP może być jedna i może mieć tylko jeden zakres adresów, jakie są jej przydzielane. Adresów nie da się przydzielić ‘na sztywno’ użytkownikowi. Tym samym wszyscy mają takie same prawa, bo reguła zapory jest jedna. A szkoda, pokombinuję z innymi VPN’ami.

Ciągle jestem przed szkoleniem FortiGate & AD. Chetnie dowiem się czy da się PPTP pożenić z AD.

Tagi:,
Zaszufladkowany do Tech | Brak komentarzy »

FortiGate – przetwarzanie reguł

wtorek, 9 Grudzień 2008

Używam FortiGate jako bramy dla użytkowników. Gdzieś wcześniej już o tym wspominałem. Powód, dla którego pozostałem przy tym, to połączenie z Active Directory poprzez FSEA. Niestety rozwiązanie oprócz ogromnej zalety pojedynczego logowania, ma ogromną wadę. Mianowicie przetwarzanie reguł z autoryzacją kończy się po pierwszej nietrafionej. Troszkę oryginalnej dokumentacji, a potem moje wyjaśnienie:

Firewall policy order
The firewall policies that you create must be correctly placed in the policy list to be
effective. The firewall evaluates a connection request by checking the policy list
from the top down, looking for the first policy that matches the source and
destination addresses of the packet. Keep these rules in mind:
• More specific policies must be placed above more general ones.
• Any policy that requires authentication must be placed above any similar policy
that does not.
• If a user fails authentication, the firewall drops the request and does not check
for a match with any of the remaining policies.
• If you create a policy that requires authentication for HTTP access to the
Internet, you must precede this policy with a policy for unauthenticated access
to the appropriate DNS server.

Czyli filtrując ruch np. HTTP robimy to dla wszystkich, nie możemy rozdzielić grup. Tym samym cała sieć ma identyczny protection profile.

W połowie stycznia będę na szkoleniu Fortinet Server Authentication Extensions (FSAE) + MS-2199 Active Directory Fundamentals, więc może jeśli nie rozwiązanie, to przynajmniej znajdę obejście problemu.

Tagi:, , ,
Zaszufladkowany do Tech | 1 komentarz »

(Lotus Domino| FortiGate Multi-Threat Security Systems) Administrator

wtorek, 7 Październik 2008

Ukończyłem D8760PL, wiem nieco więcej, ale im głębiej zanurzałem się w to zagadnienie, tym bardziej byłem przekonany, że samowolnie nie wdrożę tego nigdzie.
Lotus Domino jest fajny, ma mnóstwo wodotrysków, a gdyby cały świat komunikował się za pomocą jego protokołu (chyba NRPC – Notes Remote Procedure Call), a nie SMTP, to byłoby w ogóle niesamowicie. Może gdybym miał okazję pracować w instytucji, która wykorzystuje co najmniej 50% jego mocy, to bym się przekonał do niego i zmienił zdanie, ale dla 60 osób to trochę ‘armata na wróbla’.

Poza tym chyba nie mogę uciec od projektów OpenSource, układania ‘klocków’ samemu i edytowania milionów plików, żeby cokolwiek działało ;-)

Miałem trochę zastrzeżeń do prowadzącego, ale przelałem to wcześniej na formularz, więc publicznie (tutaj) więcej nie piszę.

Inne zdanie mam o Bartoszu ‘de facto’ Niepsuj, który prowadził FortiGate Multi-Threat Security Systems I – Administration and Content Inspection w Compendium. Dobrze przygotowany merytorycznie, nie było dla niego trudnych pytań i ogólnie sprawiał miłe wrażenie.

Same szkolenie – podobnie jak poprzednie, utwierdziło mnie w przekonaniu, że kiedyś robiłem kawał dobrej roboty (pozdrowienia dla ‘bandy ruterowców’ od jej herszta).
Rozwiązania ze względu na cenę pewnie bym nie wybrał jako zwykłego routera, ale skoro jest wielkim kombajnem, to będę się starał wykorzystać maksymalnie jego możliwości. Bardzo obiecująco wygląda połączenie z Microsoft Active Directory (uwierzytelnianie przy NAT i zestawianie tuneli PPTP) – myślę, że będzie to pierwsza rzecz, jaką ‘rozklikam’ po powrocie. Na szkoleniu jedynie jest wzmianka o tym, ale korzysta się z lokalnej bazy użytkowników. Ćwiczyć nie ma co, bo baza użytkowników jest bazą, kwestia połączenia do niej to jedyna różnica.

Urządzenia FortiGate jako takie mają dokładnie taką samą funkcjonalność, niezależnie czy jest to SOHO czy Enterprise. Różnią się tylko ilością pamięci i mocą procesora, a co za tym idzie, możliwą do obsłużenia ilością sesji. Warto to wiedzieć kupując taki sprzęt.
Zarządzanie przez przeglądarkę daje nam możliwość edycji jakichś 20% opcji (wg szkoleniowca), więc niezbędne będzie poznanie CLI.
Zachwyciła mnie jeszcze wirtualizacja (na tym poziomie szkolenia jest jedynie informacja, że jest). W poprzedniej firmie widziałbym nawet z tego jakieś profity.

Jutro egzamin FCNSA. Zdajemy jako pierwsi w Polsce wg nowego systemu, cokolwiek to znaczy. Połowa z nas obawia się trudności językowych, ale jakoś to będzie :>

Tagi:, , , , , ,
Zaszufladkowany do Poczta, Tech | Brak komentarzy »

Nowsze wpisy »