Schlagwort-Archive: FortiGate Appliance

Die FortiGate Next Generation Firewall nutzt spezielle Security-Prozessoren und Threat Intelligence Security Services von den FortiGuard.

FortiGate SSL Inspection deaktivieren

Die FortiGate SSL/TLS-Inspektion ist der Prozess des Abfangens von SSL/TLS-verschlüsselter Internetkommunikation zwischen dem Client und dem Server. Das Abfangen kann zwischen dem Sender und dem Empfänger und umgekehrt (Empfänger zum Sender) ausgeführt werden – es ist die gleiche Technik, wie sie bei Man-in-the-Middle (MiTM)-Angriffen ohne die Zustimmung beider Seiten verwendet wird.

SSL/TLS Deep Inspection in der Praxis

Wenn Deep Inspection verwendet wird, gibt sich die FortiGate als Empfänger der ursprünglichen SSL-Sitzung aus, entschlüsselt und untersucht dann den Inhalt, um Bedrohungen zu finden und zu blockieren. Anschließend wird der Inhalt erneut verschlüsselt und an den echten Empfänger gesendet.

In der Praxis kommt es dabei schon mal zu ungewollten Blockierungen, insbesondere bei der Nutzung von Self-signed SSL-Zertifikate, dabei verhält sich die FortiGate wie eine Blackbox. Auch wird oft festgestellt, dass für Outlook Clients die Verbindung zum Exchange Server verweigert wird, dabei Outlook folgenden Fehler ausgibt.

Es liegt ein Problem mit dem Sicherheitszertifikat des Proxyservers vor.
Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Namen mail.example.org überein.
Outlook kann keine Verbindung zum Proxy-Server herstellen. (Fehlercode 8000000).

Um die FortiGate SSL Inspection ganz zu deaktivieren, kann man unter Security Profiles – SSL/SSH Inspection, für das Read-only Profile no-inspection ein Clone anlegen, und diesen entsprechend konfigurieren.

Unter Protocol Port Mapping wird für HTTPS ein ungenutzter Port eingetragen, hierdurch findet für Port 443 keine SSL/TLS Deep Inspection mehr statt. Das konfigurierte Profile custom-no-inspection für die entsprechnden Policy aktivieren. Bei Policy für interne und VPN Verbindungen sollte eine SSL/TLS Deep Inspection nicht erforderlich sein.

Credential or ssl vpn configuration is wrong

FortiClient Fehler: Credential or ssl vpn configuration is wrong (-7200)

Bei dem Versuch mit dem FortiClient eine SSL-VPN Verbindung auf Windows 10, Windows Server 2016 oder 2019 zu starten, kann es sein das die Fehlermeldung „Credential or ssl vpn configuration is wrong (-7200)“ erscheint. Die Ursache für den Abbruch bei der Initialisierung der Verbindung zum Endpunkt liegt in der Verschlüsselung, diese in den Einstellungen der Internetoptionen zu finden ist.

Ein weiteres Symptom kann festgestellt werden, so wird die SSL-VPN Verbindung und Authentifizierung zwar erfolgreich aufgebaut, jedoch sind entfernte Geräte nicht erreichbar, ICMP antworten bleiben aus und führen in Time Out.

SSL-VPN Verbindungsfehler beheben

Gemäss Fortinet-Support werden die Einstellungen aus den Windows Internetoptionen übernommen. Die Internetoptionen der Systemsteuerung kann über den Internet Explorer (IE) geöffnet werden, oder mit dem direkten Aufruf von inetcpl.cpl.

Mit drücken der Tasten Win+R und der Eingabe inetcpl.cpl mit OK ausführen.

Wähle das Register Erweitert.

Klicke auf die Schaltfläche Zurücksetzen… Erscheint die Schaltfläche bei Internet Explorer-Einstellungen zurücksetzen nicht, weiter gehen zum nächten Schritt.

Klicke auf die Option Persönliche Einstellungen löschen

Klicke auf Zurücksetzen

Internetoptionen erneut öffnen.

Zurück zu Register Erweitert.

TLS 1.0 verwenden deaktivieren (wird nicht mehr unterstützt)

Website zu Vertrauenswürdige Sites hinzufügen

Die SSL-VPN Gateway URL zu den vertrauenswürdigen Sites (Trusted Sites) hinzuzufügen. Normalerweise ist der SSL-VPN Gateway die FortiGate am Endpunkt.

In den Internetoptionen zum Register Sicherheit gehen und bei Vertauenswürdige Sites die Schaltfläche Sites klicken. Mit der Schaltfläche Hinzufügen die URL https://sslvpn_gateway:10443 hier als Platzhalter.

Hinweis: Hier wurde das Fortinet Standardzertifikat für SSL VPN verwendet – die Verwendung eines validierten gültigen Zertifikates wird jedoch keinen Unterschied machen.

Weiter muss unter Zertifikate der SSL-Status gelöscht werden, dazu geht man zum Register Inhalt und klickt auf die Schaltfläche SSL-Status löschen.

Die SSL VPN Verbindung sollte nun mit dem FortiClient Version 6 oder neuer, auf einem Windows Server 2016 oder neuer, und Windows 10 möglich sein.