FortiGate-VMX v.2

Teniendo en cuenta que para el próximo año 2017 el 50% de las compañías a nivel global tendrán modelos de cloud híbridas hoy os presentamos el nuevo Fortigate para plataformas cloud híbridas o privadas.

Esta versión de firewall es perfecta para la securización de tráfico “East-West” de aplicaciones o databases de nuestra red.

Antes de realizar la implantación es importante conocer el “size workload” de la red. En el caso de no ser suficiente con la versión virtual que presentamos hoy una buena práctica sería usar para analizar Layer-4 un edge firewall mientras que para Layer-7 usariamos el FGT-VMXv.2

Una vez hayamos decidido por ejemplo si usaremos un Firewall físico en modo load balancing hacia varios VM fortigates, o si será un entorno full virtual vamos a ver su instalación:

  1. Licencia

El proceso es como un Fortigate físico, una vez realizada la compra del device, via mail recibiremos el “license registration code”.

screen-shot-2016-11-27-at-17-38-07

2) FortiGate-VMX Service Manager

Ir a “support.fortinet.com” y en la sección “Register/Renew” descargar el “license file” en local.

Descargaremos también la imagen (.ovf) de la página de Fortinet

Se configurará en Fortigate los parámetros de NSX

screen-shot-2016-11-27-at-17-53-44

FGT#config sys global
FGT(global)#config nsx setting
FGT(setting)#exec nsx service add 

Ya por último ya veremos que el servicio “FGTVMXV2” ya aparece.

screen-shot-2016-11-27-at-17-59-32

 

Publicado en Uncategorized | Deja un comentario

Connection String Attacks

Aunque a dia de hoy ya son muy reducidos los ataques las cadenas de conexión veo importante comentar en qué consiste así como un caso muy curioso.

Los Web Servers tienen una cadena de conexión para indicar la comunicación con el servidor que contiene info muy valiosa generalmente las instancias de una BBDD.

La info que acompaña una cadena de conexión es sensible ya que puede contener información relativa a ubicaciones de servidores, redes internas, credenciales del sistemas y arquitectura de la red.

Los ficheros usados para establecer la conexión con servidores como SQL pueden ser UDL, ODC y DSN. Puesto que todos son archivos en texto plano, con “google dork” aún encontramos info sobre las cadenas de conexión como mostramos a continuación:

screen-shot-2016-11-26-at-20-07-27

Como cursiosidad allá por el 2009 la empresa myLittleTools presentó las herramientas myLittleSQLAdmin y MyLittleBackup que eran vulnerables y facilmente se conseguía acceder a BBDD de clientes importantes haciendo ataques SSRF.

Aquí os mostramos la publicación en un blog en el que reconocen la presencia del bug minimizando al máximo la importancia.

screen-shot-2016-11-26-at-20-13-00

 

Publicado en Pentesting | Etiquetado , , , | Deja un comentario

Forti CLI Commands

After find out that Fortinet is recognized as a leader in Unified Threat Management (UTM) by the Gartner Magic Quadrant… I think that is mandatory get any certification because is a Manufacturer that is growing in 35+ countries around the world.

I have created a list with the main CLI commands to help a proper troubleshooting.

screen-shot-2016-10-30-at-23-54-41*This CLI commands list was created during the NSE4 certification.  
Publicado en Fortigate, Uncategorized | Deja un comentario

SSL Content – Fortinet

En la mayoría de casos no es posible analizar el tráfico encriptado porque el Firewall no posee la “Private Key” requerida para desencriptar.

En el caso de tráfico SSL existe una opción que consiste en usar el Fortigate en modo main in the middle.

screen-shot-2016-10-25-at-00-19-54

Funcionamiento:

  1. Cliente consulta un wer server mediante HTTPS (https://google.es)
  2. El Web Server contesta a la petición del Client enviando un certificado con public key.
  3. Fortigate intercepta el certificado emitido por el web server y genera uno nuevo para la consulta hacia https://google.es. Esta vez el certificado será publicado con el CA interno de Fortinet. Se generará un nuevo par de secret/public keys. De este modo sí se podrá desencriptar el tráfico SSL.

En muchas ocasiones este proceso genera un error ya que el nombre del certificado no coincide con el nombre del certificado del sitio web.
En versiones anteriores a la 5.2 ya que el SSL/SSH inspection es aplicado de manera general en la política, para evitar problemas de certificado con sitios permitidos se utilizaba el comando de CLI https-url-scan, en esta nueva versión 5.2

Para evitar errores de certificado para sitios permitidos en versiones superiores a la 5.2 se ha agregado la funcionalidad de hacer excepciones por categorías, direcciones o fqdn esto se puede observar en la parte de SSL Inspection Options.

Screen Shot 2016-10-25 at 00.30.52.png

Como podeis comprobar Fortinet por defecto ya lleva un certificado para estos casos llamado: “Fortinet_CA_SSLProxy”

Publicado en Fortigate | Deja un comentario

Meraki Wireless

Después de varios dias peleándome con los nuevos APs de Meraki, en concreto el modelo MR32 he decidido explicaros brevemente un problema común que os podeis encontrar.

Antes que nada debemos de saber que la gestión de los APs Meraki se realiza desde del cloud (https://account.meraki.com/secure/login/dashboard_login) y por ello la VLAN de gestión debe de tener salida a Internet permitiendo los puertos necesarios (Firewall_Rules_for_Cloud_Controller_Connectivity). Además la red de gestión debe de tener DHCP puesto que la primera vez arranca un AP éste coge la IP por DHCP.

Una vez realizado esto ya tendremos acceso al dashboard de meraki y veremos algo tal que así:

dashboard

La primera vez que accedemos al dashboard deberemos de crear un “Network” que para Meraki es una empresa o un conjunto de Access Points.

Ahora ya sólo nos queda configurar las redes de servicio que son lo SSID. Para ello vamos a Wireless > Configure > SSID

  1. Modificaremos el nombre del SSID a publicar con rename. En nuestro caso pusimos GUEST.
  2. Iremos a Edit setting para indicar:

a.Tipo de autenticación: Open, WEP/WPA2 o 802.1X

setting_1

b. Asignamiento de IP: “bridge” porque dispositvo de LAN es el DHCP server

setting_2

Deberemos también indicar el ID de la VLAN del SSID GUEST:

setting_3

Después también más features opciones como son activar un portal cautivo (Splash page).

Ya con estos pasos tendremos nuestra red wifi funcionando y no habremos tardado más de 10 minutos. Pero como ya sabemos el mundo del Networking no es trivial y nos podemos encontrar muchos problemas.

Vamos a suponer que como a mi me pasó tenemos una mala experiencia y los usuarios se desautentican continuamente. Esto lo veremos en: Wireless > Access Points > Event Log

setting_4

Lo que debemos de hacer en este caso es revisar la configuración inicial y verificar que cliente esté introduciendo la password correctamente. Si esto está OK vamos a aprovechar la facilitad que nos brinda Meraki para hacer un “Packet Capture”. Porque aquí es tan sencillo como ir a Network-Wide > Monitor > Packet Capture y pondremos el tiempo en segundos.

Capturae_Meraki

Así que en mi caso me coordine con cliente y antes de que hiciera las pruebas programé la captura de paquetes durante 1 minuto y medio (90segundos) y al abrirlo con Wireshark vi que había un AP Aruba que propagaba paquetes beacons y creaba interferencias con mi Meraki.

Para solucionar  estas interferencias fui a Wireless > Monitori > Air Marshall y añadí el AP Aruba en la whitelist.

setting_5

Ya con todo esto funcionó sin problemas.

 

Publicado en Uncategorized | Deja un comentario

Despliegue de VoIP con CISCO

Como Ingeniero de Networking experto en VoIP hace apróximadamente 3 semanas tuve que realizar una configuración desde 0 con centralita Call Manager y un Contact Center para una empresa importante a nivel Internacional.

Voy a aprovechar el escenario con el que me encontré para explicaros como realizar un despliegue 100% de VoIP con Cisco.

El despligue va a consistir en las siguientes fases:

  • Solicitar al operador de telefonía que nos facilite los DDIs de la empresa.
  • Configuración en Call Manager de las llamadas Inbound / Outbound
  • Configuración numeraciones análogicas para los Faxes
  • Añadir todos los dispositivos en Call Manager
  • Configuración Gateways

Por último para asegurar un correcto funcionamiento se realizará troobleshooting con ayuda de:

  • Dialed Number Analizer
  • Debug en el gateway
  • TranslatorX

El post será subido a lo largo de la semana en: http://blog.networkfaculty.com/es/

Publicado en VoIP | Deja un comentario

VTI -VPN Tunnel Interfaces

The VTI interfaces is used in router-based VPN. In checkpoint firewall is possible use with GAIA and SPLAT OS. The different modes are:

-Numbered: Is configured a unique local and remote IP address. This unique IP isn’t same that another interface.

-Unnumbered: Is not need to configure a IP address. Is configured in Proxy interfaces and is supported by GAIA and IPSE SO.

Screen Shot 2016-01-03 at 14.27.26

To see the VTI status, use the ‘vpn shell’ command. If appear this output contact with us.

Screen Shot 2016-01-03 at 14.21.51

 

 

Publicado en Checkpoint | Deja un comentario