Como eu faço para proteger a camada de DNS?

Abordaremos sobre cada camada de segurança individualmente para descobrir os passos que você deve tomar para proteger a sua rede. Primeiro e mais importante é a camada de DNS, o primeiro “mural” de segurança que protege sua rede de ataques.

DNS 101

Domain Name System (DNS) é usado como uma agenda para ajudar o computador encontrar os seus sites  por traduzir um nome de domínio para um endereço IP do site. Por exemplo, o nome de domínio http://www.fortinet.com é traduzido para o endereço IP 66.171.121.34, que permite que o computador encontre com sucesso o site da Fortinet.

As principais funções de um servidor DNS são para manter um registro de nomes de domínio e endereços IP, para que possam redirecionar o tráfego de entrada para onde quer ir.

Ameaças de DNS

Existem três tipos de ataques que envolvem servidores DNS:

  • Sequestro (Hijacking) ocorre quando o malware altera as configurações de DNS da sua rede para apontar para um servidor DNS falso que está sob o controle do atacante.
  • Envenenamento de cache (também chamado de poluição cache ou Cache poisoning) envolve registros de um servidor DNS que está sendo alterado para ligar um nome de domínio legítimo para um endereço IP malicioso.
  • Spoofing envolve um pedido de DNS a ser interceptada por um atacante, cuja resposta parece ter vindo do servidor DNS adequado.

Em todos os ataques acima, você poderia ser enviado para um clone de um site legítimo – talvez o seu site de banco on-line – e ter suas credenciais roubadas quando você tenta fazer login como de costume ou ter um malware baixado no seu computador sem o seu conhecimento.

Escolhendo o servidor DNS

A primeira decisão que você precisa fazer ao escolher um servidor DNS é se você deve usar um servidor externo (e depender de alguém para proteger a camada de DNS) ou gerenciar seu próprio servidor.

A utilização de um servidor externo

Servidor externo

Se sua rede usa servidor DHCP do seu FortiGate para obter endereços IP, as configurações de DNS do seu FortiGate também são usados ​​para toda a rede. Isso permite que as alterações nas configurações sejam feitas de forma rápida e fácil, e significa que se seu FortiGate está usando um DNS seguro, toda a sua rede será também.

Por padrão, o FortiGate usa os servidores DNS FortiGuard. Esta configuração é suficiente para muitas situações, no entanto, há razões para usar outros servidores, tais como requisitos de segurança ou problemas de desempenho (existem várias ferramentas de diagnóstico livres disponíveis que permitem que você compare os tempos de resposta do servidor DNS).

Se você decidiu mudar do padrão para um servidor DNS específico, aqui está uma lista de verificação rápida para ajudá-lo a encontrar um que seja seguro (e lembre-se, você vai precisar de dois deles, a fim de ter um servidor primário e um servidor de backup):

lista de verificação rápida

Como alterar o seu servidor

Depois de ter escolhido dois servidores seguros de usar, mudar os servidores em seu FortiGate é simples. Tudo que você precisa é de acesso administrativo e os endereços IP de seus servidores.

Para alterar os seus servidores de DNS, faça o seguinte:

  • Faça login em seu FortiGate.
  • Vá para Sistema > Network > DNS.
  • Seleccione Specify.
  • Defina os IPs dos servidores DNS primário e secundário.
  • (Opcional) Se você tem um domínio local da Microsoft na sua rede, digite o seu nome para o nome do domínio local.
  • Selecione Apply.

DNS servers

Agora está tudo pronto para usar os novos servidores.

Usando o seu próprio servidor

Configurar um servidor DNS interno pode ser demorado e complicado, por isso só deve ser feita por alguém com uma sólida compreensão de como funciona o DNS.

Se você deseja gerenciar seu próprio servidor DNS, você pode comprar unidades feitas especificamente para esse fim, como uma FortiDNS, você pode dedicar um ou mais computadores para a tarefa  ou você pode configurar o seu appliance FortiGate para funcionar como um servidor DNS . Para mais informações sobre esta configuração FortiGate, confira esta página do Manual FortiOS.

DNS para um servidor Web

Se a sua rede inclui servidores web ou quaisquer outros dispositivos que necessitam de tráfego de entrada da Internet e usam URLs, você terá mais algumas questões DNS. A lista de DNS para o seu site pode ser tanto em um servidor de terceiros ou em seu próprio servidor.

Para ambos os tipos de servidores, a lista de verificação de segurança mostrada acima pode ser usada. Se você estiver executando o seu próprio servidor, certifique-se de tê-lo localizado em uma DMZ, para manter o tráfego de rede de entrada, seguro e separado de sua rede interna. Lembre-se também que os registradores de domínio exigem pelo menos dois servidores DNS, que deve ser idealmente em duas redes separadas.

Informações e Ferramentas

Para mais informações sobre DNS, ou para encontrar algumas ferramentas de DNS, visite os seguintes sites:

Fonte: blog.fortinet.com

Compre produtos Fortinet pelo telefone: (11) 4452-6450 ou e-mail: comercial@danresa.com.br

Compre produtos Fortinet pelo telefone: (11) 4452-6450 ou e-mail: comercial@danresa.com.br

Anúncios

You can’t set duplex/speed settings of the Fortigate interfaces?

You can’t set duplex/speed settings of the Fortigate interfaces.

Important FIX: depends on which interface you are trying to set! [ Thanks to Chen for pointing out ]
Upon careful reexamination turns out that you can’t set duplex/speed settings of 4-port switch interfaces only, i.e. Internal interface of Fortigate 60, 60M, 100A, 200A, and FortiWiFi-60 and also LAN interface of 500A .
Tried on FG100A FortiOS v4.0, build0178,090820 (MR1)

FG100 (dmz2) # set speed
100full 100M full-duplex
100half 100M half-duplex
10full 10M full-duplex
10half 10M half-duplex
auto auto adjust speed

Working most of the time with Cisco gear I’m (and others) used to being able to set duplex/speed
parameters on the physical interfaces to my liking.
This comes as a necessity when connecting cisco to various equipment of differing quality. So it was a surprise to me when I encountered strange layer1/layer2 connectivity problem between some Fortigate 200A and cisco and tried to set manually duplex full/speed 100 on the Fortigate just to find out that it is impossible to do it on the Fortigate.
It was possible back in the days of FortiOS 2.80 (and early 3.0 – I guess up until MR5)  :

# conf sys int
(interface)# edit internal
(internal)# set speed

100full 100M full-duplex
100half 100M half-duplex
10full 10M full-duplex
10half 10M half-duplex

But then Fortinet dropped this option and the only (not direct) explanation
found on their site is this memo:
“Locked-down port policies (forcing speed, duplex, and link capabilities with auto-negotiation disabled) are
outdated. Legacy and historical reasons for forced setup with auto-negotiation disabled date
back many years when the technology was new…”

Now we can see what is the negotiated status of the links
(this command also shows errors/collisions/MTU on the interface) :

FG100 # diagnose hardware deviceinfo nic internal
Description VIA VT6102 Rhine-II
Part_Number N/A
Driver_Name via-rhine
Driver_Version 1.1.17
PCI_Vendor 0×1106
PCI_Device_ID 0×3065
PCI_Subsystem_Vendor 0×3065
PCI_Subsystem_ID 0×1106
PCI_Revision_ID 0×74
PCI_Address 0:12.0
PCI_Bus_Type
Memory 0x0000f400
IRQ 11
System_Device_Name internal
Current_HWaddr 00:09:0f:30:32:11 #In HA set up primary member would have different , virtual MAC address , for more see here FortiOS v3.0 HA Cluster virtual MAC addresses 
Permanent_HWaddr 00:09:0f:30:32:11
Link up 
Speed 100 
Duplex forced full 
FlowControl off
State up(0×00001103)
MTU_Size 1392
Rx_Packets 89944267
Tx_Packets 73437299
Rx_Bytes 370540924
Tx_Bytes 428118992
Rx_Errors 0
Tx_Errors 0
Rx_Dropped 0
Tx_Dropped 0
Multicast 8810
Collisions 0
Rx_Length_Errors 0
Rx_Over_Errors -0
Rx_CRC_Errors 0
Rx_Frame_Errors 0
Rx_FIFO_Errors 0
Rx_Missed_Errors 0
Tx_Aborted_Errors 0
Tx_Carrier_Errors 0
Tx_FIFO_Errors 0
Tx_Heartbeat_Errors 0
Tx_Window_Errors 0
Tx_Single_Collision_Frames 0
Tx_Multiple_Collision_Frames 0
Rx_Frame_Too_Longs 0
Rx_Symbol_Errors 0
Rx_Control_Unknown_Opcodes 0
Rx_Pause_Frames 0
Tx_Pause_Frames 0
Scatter_Gather OFF
poll_intr_switch 0
rx_tasklet_pkts 92505560
xmit queue 0
recv queue -64
phy_id= 1/1

Fonte: http://yurisk.info/2009/06/10/you-cant-set-duplexspeed-settings-of-the-fortigate-interfaces/

Compre FortiGate

Compre produtos Fortinet pelo telefone: (11) 4452-6450 ou e-mail: comercial@danresa.com.br

Fortigate VPN Iphone / Ipad

As configurações abaixo fora retiradas do KB da Fortinet que refere-se ao FortiOS4 MR3, entretanto já testamos na vesrão 5.0 e funciona perfeitamente:

Siga as etapas abaixo:

Setup a User, User Group, and Firewall Addresses:

config user local
edit “testuser”
set status enable
set type password
set passwd <password>
end

config user group
edit “AppleVPNUsers”
set member “test”
end

config firewall address
edit “internal1subnet”
set subnet <ip here subnet here> (ie: 192.168.29.0 255.255.255.0)
next

edit “appleVPNsubnet”
set subnet 10.3.3.0 255.255.255.0
end

Phase 1 Settings:

config vpn ipsec phase1-interface
edit “AppleVPN”
set type dynamic
set interface “wan1”
set dhgrp 2
set peertype one
set xauthtype auto
set mode aggressive
set mode-cfg enable
set proposal aes256-md5 aes256-sha1
set peerid “apple”
set authusrgrp “AppleVPNUsers”
set ipv4-start-ip 10.3.3.1
set ipv4-end-ip 10.3.3.254
set ipv4-netmask 255.255.255.0
set psksecret <tunnel password here>
end

Optional DNS Phase 1 settings:
set domain <domain suffix here>
set ipv4-dns-server1 <DNS server IP here>
set ipv4-dns-server2 <DNS server IP here>
set ipv4-dns-server3 <DNS server IP here>

Phase 2 Settings:

config vpn ipsec phase2-interface
edit “AppleVPNp2”
set keepalive enable
set pfs disable
set phase1name “AppleVPN”
set proposal aes256-md5 aes256-sha1
end

Configure Firewall Policies:

VPN => LAN

config firewall policy
edit <unique firewall policy ID here>
set srcintf “AppleVPN”
set dstintf “internal1”
set srcaddr “appleVPNsubnet”
set dstaddr “internal1subnet”
set action accept
set schedule “always”
set service “ANY”
next

LAN => VPN

edit <unique firewall policy ID here>
set srcintf “internal1”
set dstintf “AppleVPN”
set srcaddr “internal1subnet”
set dstaddr “appleVPNsubnet”
set action accept
set schedule “always”
set service “ANY”
end

If you want VPN clients to access web pages while connected create
another firewall policy from the VPN tunnel out the WAN interface:

config firewall policy
edit <unique firewall policy ID here>
set srcintf “AppleVPN”
set dstintf “wan1”
set srcaddr “appleVPNsubnet”
set dstaddr “all”
set action accept
set schedule “always”
set service “ANY”
set nat enable
end

Static route to route traffic for tunnel clients back out the tunnel:

config router static
edit <unique route ID>
set device “AppleVPN”
set dst 10.3.3.0 255.255.255.0
end

Configuration required on the iPad/iPhone Cisco VPN Client:

description: FortiGate VPN
server: IP of the FortiGate WAN interface that is configured for VPN (interface : wan1
in this case)
account: testuser (a user account on the FortiGate)
password: <configured previously>
Use certificate: off
group name: apple
secret: Pre-shared key for the tunnel, from the phase one step

Fonte: http://kb.fortinet.com/kb/viewContent.do?externalId=FD33376&sliceId=1

Compre FortiGate

Compre produtos Fortinet pelo telefone (11) 4452-6450 ou e-mail comercial@danresa.com.br

Backup Fortigate via Script

Enable SSH Access on the Interface:

config system interface
edit <interface name>
set allowaccess ping https ssh
end
  • Enable SCP on the firewall
config system global
set admin-scp enable
end
  • Add Users Public Key
config system admin
edit admin
set ssh-public-key1 "ssh-rsa ... user@hostname.com"
next
end
  • Backup using SCP

From Linux:

scp admin@<fortinet-ip-address>:sys_config /backup

From Windows:

pscp admin@<fortinet-ip-address>:sys_config /backup

Compre produtos Fortinet pelo telefone: (11) 4452-6450 ou e-mail: comercial@danresa.com.br

Compre produtos Fortinet pelo telefone: (11) 4452-6450 ou e-mail: comercial@danresa.com.br