Formatando o Fortigate e restaurando Firmware

Para Formatar um FortiGate via TFTP, precisaremos dos seguintes itens:

– Cabo de Rede

– Cabo Console

– Software TFTP

– Software PUTTY

– Interface serial no computador ou um conversor Serial USB, (não podemos utilizar o FortiExplorer via usb para acesso ao FortiBIOS).

O Download dos Softwares estão disponíveis nos links abaixo:

PUTTY: https://the.earth.li/~sgtatham/putty/latest/x86/putty.exe

TFTP: http://tftpd32.jounin.net/download/tftpd32.452.zip

1 – O primeiro Passo, é conectar o Cabo Console, na porta CONSOLE do seu FortiGate e conectar em seu PC.

2 – Após isso, abra o Software PUTTY no PC, e em seguida ligue o FortiGate.

3 – Note que, você conseguirá ver através da Console, o FortiGate iniciando.

1

Read more »

FortiGuard Threat Intelligence Brief

A Fortinet Lançou um novo serviço que traz informações sobre as ameaças mais ativas da ultima semana, proporcionando assim uma visão de quais são as principais preocupações em nosso ambiente.

Segue o relatório desta semana

Activity Summary – Week Ending July 29, 2016

We’ve reached peak summertime (in the Northern Hemisphere, at least), and with that a large portion of workers around the world have left for extended summer vacations. With that, global malware detections among customers have decreased sharply over previous weeks. If cybercriminals can’t get people to open emails or click on links, it becomes difficult for them to find new victims.

 

We discussed in previous briefs a spike in attempts to exploit the CVE-2014-6271 Bash vulnerability. This week we continue to see similar results, suggesting to us that a campaign to discover and exploit vulnerable Unix and Unix-like systems continue. Ensuring you have a robust and agile vulnerability management program is critical to mitigating these largely automated attacks.

 

A unique HTML-based threat emerged this week, and quickly ramped up volume to the top of our lists. We will discuss more on this in the coming paragraphs.

 

Malware Activity

Rank Name Volume
1 HTML/Refresh.BC!tr 1,306,781
2 WM/Agent.BJC!tr.dldr 1,159,850
3 JS/FLoader.DRY!tr.dldr 1,113,100
4 JS/Nemucod.0971!tr 710,695
5 W32/BackDoor.Prosiak.65 476,399

Locky ransomware continues to attack – while volumes compared to previous weeks have declined, the evil Locky ransomware continues to attempt to extort unwitting victims. Admittedly it is a testament to Locky’s effectiveness that criminals have latched on so completely to it, leaving most other ransomware families behind. We are seeing new WM/Agent variants (especially .BJC!tr.dldr) as well as new variants of Nemucod (.0971!tr, among others) that are all being used to distribute Locky.

It is critical to ensure endpoint devices have recent and regular offline backups. Most modern ransomware will also seek remote drives and network shares and encrypt any content it can overwrite. Limiting access to these shares and doing regular access and permission reviews can also help localize damages.

 

“Refresh” appears – HTML/Refresh.BC!tr and some variants appeared on our radar this week. These variants are designed to trick a victim’s Internet browser into redirecting to a specific site of the attacker’s choosing, where they will attempt to use drive-by-download techniques (as well as others) to serve additional malware to the victim.

 

Application Vulnerabilities / IPS

Rank Name Volume
1 Netcore.Netis.Devices.Hardcoded.Password.Security.Bypass 8,673,249,847
2 MS.DNS.WINS.Server.Information.Spoofing 2,435,693,216
3 NTP.Monlist.Command.DoS 236,878,192
4 IPv4.Invalid.Datagram.Size 188,139,345
5 SNMP.Spec.Violation 183,619,882

Neutrino exploit kit use continues to supplant Angler – Since early June, FortiGuard Labs has noticed a large contingent of cybercriminals have switched from using Angler to the Neutrino Exploit Kit. Angler first appeared in late 2013 and has been dominating the exploit kit market since 2015. Some of our researchers who monitor popular underground groups have found evidence that strongly points to many members belonging to the Angler group have been apprehended by authorities.

 

ASUS Routers continue to be targets – FortiGuard Labs again saw a spike in detections of ASUS.Router.infosvr.UDP.Broadcast.Command.Execution this week. This was a vulnerability originally discovered in many of the ubiquitous routers sold by ASUS for home and SMB/SOHO use. A bug in infosvr allowed an unauthenticated user to execute arbitrary commands. These devices provide ideal targets for attackers as they are usually unmonitored and often stuffed in the back of a closet somewhere, making time to detection substantial.

 

Attacks against Windows Server DNS exploit persist – Originally reported in December 2015, the MS.DNS.WINS.Server.Information.Spoofing attack has been prevalent since the beginning of 2016. This vulnerability allows remote code execution if specially crafted requests are sent to an unpatched Windows Server 2008/2012 DNS host. DNS makes for an ideal entry point if the exploit is found – FortiGuard Labs continues to detect a massive amount of these requests moving across corporate networks.

 

Web Filtering

Ransomware attackers move fast – One piece of information we noticed in the past week or two was a seemingly innocuous site with virtually no traffic to speak of suddenly spike over a period of a few days. At its peak, this small site was attempting to deliver literally hundreds of thousands of variants of the Locky ransomware to victims per day. But within a week, the traffic from that site returned to normal levels. This is likely due to many factors: ransomware attackers move through domains quickly to attempt to evade the inevitable shutdown of their subverted sites, site owners being quick to respond to malicious takeover of a sit, and cooperation among security vendors to share information to prevent further damage.

 

Nymaim bots employ fast flux – Fast fluxing is a specialized DNS method among malware authors which is designed to rapidly pivot through domains and IP addresses with the goal of doing so faster than most security products can keep up. This can make it hard for traditional defenses to keep up – by the time a defender has filtered out the malicious IP, the attackers have long since moved on to another. In one recent case, gafbqvx dot com was used to host a final payload of Nymaim. Nymaim is primarily a ransomware program designed to lock a victim out of their computer. In recent months Nymaim has also been seen delivering other malicious programs, especially financial Trojans.

 

 

Radius Single Sign-On (RSSO)

O FortiOS disponibiliza a autenticação de forma transparente através do RSSO para ambientes utilizando Radius, esse modo de operação realiza um Single Sign-ON (SSO) através de mensagens de Accounting Start e Accounting Stop para realizar o Logon e Logoff dos usuários, essas mensagens são enviadas pelo servidor que realizou o logon do usuário, exemplo um usuário realiza o logon em um serviço de WIFI e esse por sua vez envia ao FortiGate a mensagem de Accounting Start contendo algumas informações, como o nome do usuário, endereço IP, Grupo que pertence entre outros, com base nessas informações o FortiOS autentica o usuário de forma automática, sem a necessidade de interação por parte deste.

Read more »

SSL Inspection utilizando certificado do dominio

Olá pessoal, hoje iremos falar de uma dúvida que temos recebido com grande frequência, e que tem incomodado bastantes os administradores de redes!

Conforme postado anteriormente pelo nosso amigo William “post”, “-fiz o bloqueio das paginas HTTPS, funcionou perfeitamente”, legal, mas os usuários  vivem recebendo o alerta de certificado invalido, e pior que isso realmente incomoda.

Uma forma de ser resolver esse problema é utilizar o certificado assinado pelo Domain Controller, já que por padrão as estações membro desse domínio confiam nesse certificado.

Bom vamos ao que interessa.

Primeiro, vamos instalar a feature de AD-CA no Domain Controller:

 

Capture

Read more »

DNS Translation

Após algumas semanas retorno os POST e sempre peco no longo tempo entre eles :(.

Vamos ao que interessa.

Hoje irei falar de uma Feature muito interessante do FortiOS, o DNS Translation, que como o nome diz é a função de tradução de uma requisição de DNS envida a um servidor, onde as querys que passem pelo FortiGate (o dns não precisa ser o Firewall, basta que a query seja encaminhada por uma rede que passe pelo firewall.) são interceptadas pelo FortiOS que realiza a modificação do Reply enviado pelo servidor alterando a resposta ao cliente.

Isso normalmente é muito útil quando temos um servidor com um VIP  interno, porém o DNS é externo fazendo com que as chamadas a esse servidor sejam enviadas ao IP valido e dependendo da configuração impedindo o acesso.

Para realizar essa ação o FortiOS utilizasse do Session-Helper para o Protocolo DNS, por padrão a 5.4 já tem em sua configuração padrão o session-helper para DNS como podemos ver abaixo:

# show system session-helper 14
config system session-helper
    edit 14
        set name dns-udp
        set protocol 17
        set port 53
    next
end

Exemplo SEM DNS Translation configurado:

A origem 10.10.10.1 solicita o endereço IP do endereço www.trtec.com.br  ao servidor de DNS 4.2.2.2 o Reply (resposta) é 187.45.195.136, como podemos ver na imagem abaixo:

dns1

 

Agora vamos realizar a configuração do nosso DNS Translation para alterar a resposta do exemplo acima.

config firewall dnstranslation
    edit 1
        set src 187.45.195.136
        set dst 192.168.1.100
    next
end

Onde SRC é o IP que desejamos modificar e o DST é o IP que desejamos que seja enviado ao cliente.

Exemplo COM DNS Translation configurado:

A origem 10.10.10.1 solicita o endereço IP do endereço www.trtec.com.br  ao servidor de DNS 4.2.2.2, o Relpy (resposta) é interceptada pelo FortiOS e alterada de 187.45.195.136 para 192.168.1.100 , como podemos ver na imagem abaixo:

dns2

 

É isso pessoal, espero que tenham gostado.

 

William Costa

Autenticação para Usuários administrativos no AD.

Esse post foi um pedido do nosso leitor Edson para realizar autenticação do usuários administrativos ao firewall via o AD, mas não apenas a senha como é comum e sim se o usuário administrativo estiver em um grupo ele poderá  acessar a console e gerenciar o Firewall, deixamos de papo e vamos ao “tecniques”.

 

Neste post não irei falar de como configurar o LDAP pois já tem um post aqui sobre isso aqui.

Vamos direto a configuração, o nosso primeiro passo é criar um grupo local com referencia a um grupo do LDAP.

Vá em User & Device > User > User Groups > Create New

GRP

Em Remote clicamos em Create New:

GRP-2

Selecionamos o grupo que desejamos autenticar.

Agora com o Grupo criado e referenciado ao grupo de AD, podemos criar um novo usuário na sessão de Admin em System > Admin > Administrator > Create NEW

GRP-3

Adicione o nome do administrador e selecione em Type a opção remote, em User Group selecione o grupo criado anteriormente e o segredo está em Wildcard, que permite que varias contas de administrador (neste caso as contas do LDAP no grupo GRP-Tecnicos) conectem no Firewall com esse usuário.

GRP-4

Como podemos ver que consegui autenticar com o meu usuário do AD no firewall.

Fico por aqui. Abs.

 

 

Sobre qual assunto vocês gostariam de ler em um novo post?

Pessoal, como não sei se o blog tem uma audiência constante ou não e também estou sem saber sobre o que escrever 🙂

Deixem nos comentários.

Xii Parou, qual era o comando mesmo ? Parte IV

Continuando a serie de posts sobre comandos de diagnostico do Fortigate! : )

Hoje irei comentar sobre o grep que utilizo muito em meus script em bash ( que são bem feios, se um programador ver ele chora 🙁 ), mas, também no Fortigate, vamos ao que é interessa.

O comando grep é utilizado para filtro de saídas de comandos tais como debug, get e show.

Exemplo simples do comando grep é quando queremos ver apenas as linhas de uma configuração que contenham uma determinada entrada:

FGVM00000000  (port3) # get | grep speed
speed               : auto

Neste exemplo queremos apenas a linha que contém a entrada speed.

Read more »

5.4 logo, logo sai do Forno!

Não irei dizer nada sobre a periodicidade dos posts no blog 🙁

A nova versão do FortiOS da Fortinet 5.4 está quase pronta e assim como a 5.2 vai ser um divisor de água entre as versões do Sistema Operacional.

Para dar água na boca, segue algumas features novas e uns prints:

  • A Volta do consumo de banda por IP agora com opção de origem, destino e aplicação:

Add bandwidth column to realtime FortiView pages
The kernel has been updated to store differences in bytes sent/received over time for each session. The GUI will
use this information to calculate bandwidth on a per-session level, and will aggregate this up into FortiView in
order to display bandwidth per source/destination/application/etc.
The bandwidth column will be available on all realtime FortiView pages by default, and can be clicked on to sort in
descending order.
Read more »

VPN no Fortigate com a BM&FBOVESPA, sem mistério.

www.trtec.com.br

Voltei  pessoal, desculpe a demora para atualizações no Blog.

Alguns dias atrás estive em um cliente, uma corretora para estabelecer uma VPN com a BM&FBOVESPA e durante a fase final de configuração da VPN para obter a pre-shared key o suporte da BM&FBOVESPA disse que os cliente deles tem muitos problemas para estabelecer essa vpn com Fortigates tinha pessoas com mais de um mês tentando estabelecer uma vpn, isso me soou estranho já que fechei pelo menos umas 10 vpns entre fortigate e a bolsa, inclusive algumas com Roteamento via Multicast (essa sim me deu um trabalho quando configurei a primeira 🙂 ).

Esse post não tem o intuito de explicar como operar uma VPN IPSEC e sim demonstrar algumas opções e como configura-las para o caso especifico da VPN com a BOLSA.

Vamos deixar de Blah, Blah, Blah e vamos a conf.

Irei usar a própria  documentação de configuração enviada pela bolsa (claro que alterando os IPs 🙂 ) Bolsa_VPN to VPN_parte2 esse será o documento que vamos usar como base dos detalhes da conf no FortiOS 5.2.

Iniciando criando a PHASE 1.

Vá em VPN > IPSEC > Tunnel > Create New

vpn1

Não vamos usar nenhum Template pré definido assim essa configuração é valida para outras versões do FortiOS.

Read more »