FortiOS ve FortiProxy IP adresi doğrulama özelliğindeki farklı radyüslere sahip sayıların hatalı ayrıştırılmasının yarattığı güvenlik açığı [CWE-1389], kimliği doğrulanmamış bir saldırganın hazırlanmış istekler aracılığıyla IP engelleme listesini atlamasına izin verebilir.
https://kayrasys.com/wp-content/uploads/2020/04/yazı-300x80.png00Berra Aksanhttps://kayrasys.com/wp-content/uploads/2020/04/yazı-300x80.pngBerra Aksan2024-07-22 13:06:352024-10-21 13:47:02FortiOS ve FortiProxy IP Adresi Doğrulama Sırasında Sıfır Karakteri Hatası
FortiOS ve FortiProxy’nin web SSL VPN arayüzündeki XSS [CWE-79] sırasında oluşan girdinin düzensiz şekilde etkisizleştirilmesi kimliği doğrulanmamış ve uzaktan bağlanan bir saldırganın, hedeflenen kullanıcıyı sosyal mühendislik yoluyla sunucusuna kötü amaçlı bir samba sunucusuna yer imi koyması için XSS saldırısı gerçekleştirmesine yol açabilir.
https://kayrasys.com/wp-content/uploads/2020/04/yazı-300x80.png00Berra Aksanhttps://kayrasys.com/wp-content/uploads/2020/04/yazı-300x80.pngBerra Aksan2024-07-17 13:44:212024-07-29 14:44:10FortiOS ve FortiProxy SSL VPN Web UI Cross Site Scripting Güvenlik Açığı
*Watchguard üzerinde olan ayarlamalar tamamlandı.
Fortigate üzerinde olan ayarlamalar – Web arayüzü üzerinden: 1. Git VPN > IPsec Tunnels 2. Seç Create New > IPsec Tunnel, ardından isimlendirmeden sonra Custom seçeneği seçilerek ilerlenir. 3. Açılan ekranda bulunan alanlar Watchguard tarafında girilen değerler doğrultsunda düzenlenir.
4. Authentication kısmında WG üzerinde verilen PSK ve IKE versiyon ayarları tanımlanır.
5. Phase 1 Proposal kısmında Şifreleme ve DF grup ayarları tanımlanır.
6. Phase 2 kısmında WG üzerinde tanımlanmış değerler yazılır.
7. Git Network > Static Route 8. Seç Create New seçeneği ile WG local subnet için route oluşturulur.
IPsec monitor üzerinden kontrol ettiğimizde Tunnel UP duruma geçti. İki lokasyon arasında birbiri ile haberleşmesini istediğimiz farklı subnetler varsa yeni bir Phase2 interface eklememiz yeterli olacaktır. Fortigate tarafında her remote subnet için static route tanımı girilmesi gereklidir, kural tanımlamaları all to all şeklinde yapıldıysa kurallara ekstra müdahale yapılması gerekmeyecektir. Osman BENDER Network & Cyber Security Consultant
Fortimail server modda başka bir mail sunucu üzerinden mail data migration nasıl yapılır?
Bu yazımızda Fortimail’ in server modda kurulumu sırasında, farklı bir mail sunucu üzerinden kullanıcıların posta kutularının migration yapılması için gerekli adımları tamamlıyor olacağız. Posta kutuların kullanıcılar tarafından eksta bir müdahale gerekmeden yeni sunucu üzerine taşınmasını sağlayacağız.
Bu yazı aşağıda konuları içerir:
Fortimail Migration aktif duruma getirme.
Fortimail üzerine farklı bir mail sunucu üzerinden data kopyalama.
Ön Gereksinimler:
Gerekli domain yapılandırılmaları yapılmış Fortimail.
Dataların çekileceği kullanıcı, şifre ve sunucu bilgileri.
CLI üzerinden yapılacak olan ayarlamalar;
# config system global
# set email-migration-status enable
# end
Fortimail admin ayarüzü üzerinden yapılacak olan ayarlamalar;
1. Git Domain & Users > Mail Migration > Remote Mail Server.
2. Seç New gerekli konfigürasyonlar datanın alıınacağı mail server bilgilerine göre düzenlenir.
3. Git Domain & Users > Domain.
4. Seç New Ekleyecek olduğumuz domain bu kısımda eklenir.
5. Git Domain & Users > User.
6. Seç New, Posta kutularının taşınacağı mail adresleri bu kısımda oluşturulur.
7. Oluşturmuş olduğumuz domain edit seçeneği ile açıldıktan sonra Advaced Setting altında, Mail Migration Setting seçeneği açılır.
8. Enable mail migration aktif duruma getirilir. Seç New 2.adımda oluşturmuş olduğumuz Remote mail server kullanılarak ayarlamalar yapılır.
9. Git Domain & Users > Mail Migration > Migration User
10. Seç New , Migrate etmek istedğimiz kullanıcı bilgileri girilir.
11. Seç Start, Migrate işlemi başlatılır,
İşlem tamamlanmış olduğunda, eski mail sunucu üzerinden data migrate işlemi tamamlanmış olacaktır. Bu yazımızda Fortimail Server Mode üzerinde, Farklı bir mail sunucu üzerinden mailbox migrate işlemini tamamladık. Yapılmış olan bu işlemin stabilliği mailboxların çekilmek istendiği mail sunucuya göre değişkenlik göstrebilir.
Osman BENDER
Network & Cyber Security Consultant
Fortimail ve diğer Fortinet ürünleri hakkında bilgi almak için bizimle iletişime geçin.
Bir Firewall üzerinde tanımlı olan Public IP’ler, IPSec tunnel ile başka bir Firewall üzerinden nasıl kullanılır ?
Bu yazımızda FortiOS işletim sistemine sahip iki IPsec tunnel noktası üzerinde Public IP paylaşımımız için gerekli adımları tamamlıyor olacağız. Birbirleri arasında IPsec tunnel bağlantısı olan iki cihaz arasında, bir Firewall arkasında tanımlı olan IP bloğunu, IPsec bağlantısı üzerinden bir diğer Firewall üzerinde kullanabilmeyi sağlayacağız.
Bu Makale aşağıdaki konuları içerir:
IPsec Tunnel üzerinden Public IP route işlemi
Subnet tanımlı olduğu interface den IPsec tunnel’e kural tanımlaması.
Ön Gereksinimler:
Birbirleri arasında IPsec tunnel bağlantısı bulunan iki Firewall.
Kullanılabilir durumda bir IP bloğu veya tek bir IP.
IPsec üzerinden IP paylaşımı için yapılandırma – Web arayüzü üzerinden:
Kaynak FortiGate üzerinde yapılacak olan ayarlamalar;
1. Git Network > Statik Routes.
2. Seç Create New gerekli konfigürasyonlar aşağıda bulunan görselde bulunduğu gibi düzenlenir.
Bu işlem ile Kaynak Firewall da tanımlı olan /27 IP bloğunu Hedef Firewall ile arasında olan Tunnel bağlantısına route etmiş olduk.
3. Git Policy&Objects > Firewall Policy
4. Seç Create New gerekli konfigürasyonlar aşağıda bulunan görselde bulunduğu gibi düzenlenir.
Route etmek istediğimiz /27 IP bloğu Wan interface arkasında tanımlı olduğu için Wan>IPsec tunnel şeklinde natsız bir kural tanımlaması yaptık. Bu işlem ile artık /27 IP bloğunu hedef firewall üzerinde kullanabilir duruma geldik. Hedef Firewall üzerinde yönlendirilmiş olan IP’leri Virtual IP tanımı yaparak veya IP bloğunu boş bir interface üzerine tanımlayıp Public interface olarak kullanabiliriz. Dikkat etmemiz gereken husus Hedef firewall’da dışarıdan içeriye olan kural tanımlamalarında, Wan interface yerine IPsec Tunnel interface seçilmesi gerekmektedir. Aksi taktirde yönlendirilmiş olan IP bloğu kullanılamaz.
Osman BENDER
Network & Cyber Security Consultant
https://kayrasys.com/wp-content/uploads/2020/04/yazı-300x80.png00Osman Benderhttps://kayrasys.com/wp-content/uploads/2020/04/yazı-300x80.pngOsman Bender2022-11-24 21:34:452022-11-24 21:41:45FortiOS IPsec Tunnel Public IP Routing
FortiGate üzerinde VDOM Link Interface nasıl oluşturulur ?
Bu yazımızda FortiOS işletim sisitemleri üzerinde Vdomlar arası bağlantı paylaşabilmek için , Vdom Link interface oluşturmayla ilgili adımları anlatıyor olacağız.
VDOM bağlantıları, trafiğin güvenlik duvarı ilkelerine göre VDOM’ler arasında geçmesine izin vermek için oluşturulan sanal arabirimlerdir. Örnek senaryomuzda root vdom’unda kulllanılan Wan interface’i Test vdom ile paylaşacağız.
Bu makale aşağıdaki konuları içerir:
Vdom Link oluşturma
Oluşturulmuş olan Test Vdom için Wan IP tanımlama.
Oluşurulmuş olan Test Vdom için internet çıkış kural tanımlamaları.
Ön Gereksinimler:
Virtual Domains mode; Multi VDOM olarak seçilmiş bir Fortigate Firewall.
Önceden oluşturulmuş 2 VDOM hesabı.
Vdom Arası Bağlantıyı Yapılandırma İçin – Web Arayüzü üzerinden;
Global Vdom üzerinde yapılacak olan ayarlamalar;
1. Git Global > Network > Interfaces.
2. Seç Create New > VDOM link gerekli konfigürasyonlar aşağıda bulunan görselde bulunduğu gibi düzenlenir.
Ayarların kaydedilmesinden sonra Global VDOM altında oluşturmuş olduğumuz konfigürasyon bu şekilde gözükecektir. Şimdi sırada gerekli kural tanımlamalarını yapmamız gerekmekte.
Fortigate tarafından Test-WAN0 ve Test-WAN1 olarak iki obje oluşturuldu.
Bunlaradan Test-Wan0 root VDOM tarafına, Test-Wan1 test VDOM tarafına bakmaktadır. Gerekli kural tanımlamalarını bu doğrultuda yapıyor olacağız.
Root Vdom üzerinde yapılacak olan ayarlamalar;
Test Vdom Wan IP tanımlası yapabilmemiz için aşağıda bulunan adımlar tamamlanır.
1. Git Policy&Objects > VirtuaIPs
2. Seç Create New > Virtual IP gerekli konfigürasyonlar aşağıda bulunan görselde bulunduğu gibi düzenlenir.
External IP address kısmında Wan İnterface arkasında tanımlı olan boş bir public IP adresi girilir.
Mapped IP address kısmında oluşturmuş olduğumuz VDOM link interfacelerinden Test Vdom tarafına bakan IP adresi girilir.
Herhangi bir filtreleme ve port yönlendirme işlemi yapılmamdan kaydedilir.
3. Git Policy&Objects > IP Pools
4. Seç Create New gerekli konfigürasyonlar aşağıda bulunan doğrultuda düzenlenir.
Bu adımda Test Vdom internete çıkışı için Virtual IP oluştururken kullanmış olduğumuz Public IP’yi kullanarak, NAT IP için kullanmak üzere obje oluşturacağız.
5. Git Policy&Objects > Firewall Policy
6. Seç Create New Bu adımda iki adet kural oluşturacağız.
1.Kural
Test Vdom’una dışarıdan erişim için oluşturmuş olduğumuz Virtual IP tanımını bu adımda kullanacağız. Gerekli Konfigürasyonlar aşağıda bulunan görsel doğrultusunda düzenlenir.
*Nat Kapalı olmalıdır.
2.Kural
Test Vdom internete çıkışı için oluşturmuş olduğumuz IP Pool tanımını bu adımda kullanacağız. Gerekli Konfigürasyonlar aşağıda bulunan görsel doğrultusunda düzenlenir.
Test Vdom üzerinde yapılacak olan ayarlamalar:
Gerekli route ve kural tanımlamaları yapıldıktan sonra, Test Vdomu dışarıdan erişilebilir ve internete çıkabilir duruma gelecektir.
Wan interface arkasına route edilmiş bir IP bloğunu statik route ile Test-Vdom’una route ederek Test vdomda kullanılmasını sağlayabiliriz.
Bu yazımızda örnek senaryomuz üzerinden root vdom’undan test vdomuna internet erişimini paylaşmış olduk. Vdom link vdomlar arası haberleşme yapabilmesi için kullanılmaktadır. Vdomlar arası sanal bağlantı oluşturmaktadır. Örnek senaryomuzda İnternet paylaşımı için vdom link oluşturduk, bunun haricinde vdomları birbiri ile kapalı devre olarak konuşturmak için kullanılabilir.
Osman BENDER
Network & Cyber Security Consultant
Diğer yazılarımızı okumak için bu linkten erişim sağlayabilirsiniz.
Watchguard ve Fortigate arasında IPsec bağlantısı nasıl kurulur?
