Firewall

Bloqueando acesso ao aplicativo Skype com Fortinet

Vamos bloquear o Skype utilizando o Fortinet em nossa organização.

Acesse o firewall, UTM Security Profiles

image

Vamos criar um novo profile, clique no sinal de + do lado esquerdo

image

New Application Control List

Name: Skype Blocked

OK

image

“Creat New”

image

Deixe somente marcado “Category” – “P2P” – “Popilarity” – “Technology” – “Browser-based” – “Peer-to-Peer” – “Risk” – “Excessiver-Bandwaidth”

Na caixa de pesquisa digite “Skype”

image

Seleciona “Skype”, em “Action” e clique em “Block”

image

Veja que foi criar a regra de bloqueio de aplicação

image

APPLY

Ainda não está funcionando pois não vinculamos o perfil a regra de acesso a internet, o Skype ainda está funcionando.

image

Agora vamos vincular o perfil de bloqueio do skype a regra de acesso a internet

Em “Policy”, Policy

image

Vamos na regra de acesso a internet

Em “UTM Security Profiles” habilite “Application Control” e escolha o perfil que criamos “Skype Blocked”

 

image

OK

A regra já está funcionando.

Agora o Skype não conecta

image

Vamos ver os LOGS do fortinet

Em “UTM Security Profiles”, Monitor, Application Monitor

image

O site do Skype conecta normalmente, pois não bloqueamos a URL nem a categoria.

image

Alterando mensagem de bloqueio de sites específicos Fortinet

Vamos alterar a mensagem de bloqueio de sites específicos do Fortinet, neste exemplo vamos colocar uma mensagem mais amigável para o usuário.

No fortinet, System, Config, Replace Message:

image

Escolha do lado direito “URL Block Page”

image

Ao selecionar a mensagem acima, você verá esta mensagem padrão:

image

Vamos editar o código fonte (você poderá usar qualquer editor de HTML ou editor de texto)

Está é a mensagem padrão

image

Este é o código fonte

==================================================================

<!DOCTYPE html PUBLIC “-//W3C//DTD HTML 4.01//EN”>
<html>
<head>
<meta http-equiv=”Content-Type” content=”text/html; charset=UTF-8″>
<style type=”text/css”>
html,body{
height:100%;
padding:0;
margin:0;
}.oc{
display:table;
width:100%;
height:100%;
}.ic{
display:table-cell;
vertical-align:middle;
height:100%;
}div.msg{
display:block;
border:1px solid #30c;
padding:0;
width:500px;
font-family:helvetica,sans-serif;
margin:10px auto;
}h1{
font-weight:bold;
color:#fff;
font-size:14px;
margin:0;
padding:2px;
text-align:center;
background: #30c;
}p{
font-size:12px;
margin:15px auto;
width:75%;
font-family:helvetica,sans-serif;
text-align:left;
}
</style>
<title>
The URL you requested has been blocked
</title>
</head>
<body>
<div class=”oc”>
<div class=”ic”>
<div class=”msg”>
<h1>
The URL you requested has been blocked
</h1>
<p>
The page you have requested has been blocked, because the URL is banned.
<br />
<br />
URL = %%URL%%
<br />
%%OVERRIDE%%
</p>
</div>
</div>
</div>
</body>
</html>

===================================================================

Vamos editar agora

Alterei o titulo para:

<title>
Acesso a este site foi negado devido a politica de acesso a internet da organização SupportBrazil
</title>

===================================================================

Agora alteramos o titulo da mensagem que é exibida no navegador

<h1>
A página que tentou acessar está bloqueada de acordo com as politicas da organização SupportBrazil
</h1>
<p>

image

Agora vamos alterar a mensagem exibida

</h1>
<p>
A página que tentou acessar tem seu acesso bloqueado de acordo com a politica da organização SupportBrazil, se a página que está tentando acessar por favor crie um Ticket para equipe de TI informando a URL e motivo que ela deve ser desbloqueada para a organização ou entre em contato com o ramal 55555.<br />
<br />

 

image

Pronto veja como ficou o novo código fonte

==================================================================

<!DOCTYPE html PUBLIC “-//W3C//DTD HTML 4.01//EN”>
<html>
<head>
<meta http-equiv=”Content-Type” content=”text/html; charset=UTF-8″>
<style type=”text/css”>
html,body{
height:100%;
padding:0;
margin:0;
}.oc{
display:table;
width:100%;
height:100%;
}.ic{
display:table-cell;
vertical-align:middle;
height:100%;
}div.msg{
display:block;
border:1px solid #30c;
padding:0;
width:500px;
font-family:helvetica,sans-serif;
margin:10px auto;
}h1{
font-weight:bold;
color:#fff;
font-size:14px;
margin:0;
padding:2px;
text-align:center;
background: #30c;
}p{
font-size:12px;
margin:15px auto;
width:75%;
font-family:helvetica,sans-serif;
text-align:left;
}
</style>
<title>
Acesso a este site foi negado devido a politica de acesso a internet da organização SupportBrazil
</title>
</head>
<body>
<div class=”oc”>
<div class=”ic”>
<div class=”msg”>
<h1>
A página que tentou acessar está bloqueada de acordo com as politicas da organização SupportBrazil
</h1>
<p>
A página que tentou acessar tem seu acesso bloqueado de acordo com a politica da organização SupportBrazil, se a página que está tentando acessar por favor crie um Ticket para equipe de TI informando a URL e motivo que ela deve ser desbloqueada para a organização ou entre em contato com o ramal 55555.<br />
<br />
URL = %%URL%%
<br />
%%OVERRIDE%%
</p>
</div>
</div>
</div>
</body>
</html>

==================================================================

Agora copie este novo código fonte e cole no fortinet em:

image

Veja como ficou

image

Clique em “Salve”

Agora vamos ver como ficou a nova mensagem de bloqueio

Está era a mensagem antiga

image

Agora a nova mensagem

image

Bloqueando sites específicos Fortinet

Vamos bloquear alguns sites específicos manualmente, neste exemplo não iremos utilizar categorização WEB na Fortinet.

Vamos lá, em UTM Security Profiles

image

Web Filter, URL Filter, Creat New

Name: neste exemplo vamos utilizar “RESTRICT”

OK

image

Agora em dentro de “RESTRICT” “Creat New”

URL: Neste exemplo vamos bloquear qualquer coisa .uol.com.br “*.uol.com.br”
Type: Wildcard (Utilizando esta opção, conseguimos bloquear *.domínio
Action: Block
Enable: Deixe habilitado.

OK

image

Agora vamos vincular ao profile em web filter, neste exemplo iremos bloquear para toda empresa *.uol.com.br

Em Web Filter, Profile, Default, Advanced Filter, habilite a opção “Web URL Filter” “RESTRICT”

Apply

image

Agora vamos criar um regra de acesso a internet

Em “Policy”, Police, Creat New

Policy Type: Firewall
Policy Subtype: Address
Incoming Interface: port1 (LAN)
Source Address: all
Outgoing Interface: port3 (WAN2)
Destination Address: all
Schedule: always
Service: ALL
Action: ACCEPT
Enable NAT: Deixe habilitada
Log Allowed Traffic: Deixe habilitada esta opção

Em UTM Security Profiles, habilite “Web Filter”, deixe no modo “ON” selecione o “Default” em profile

OK

image

Regra criada

image

Vamos fazer o teste e verificar se realmente está sendo bloqueado a URL que informamos.

Veja que o acesso a internet está normal

image

Agora vamos acessar o site www.uol.com.br

image

Agora vamos tentar acessar um site dentro do domínio uol.com.br, neste exemplo http://email.uol.com.br

O bloqueio ocorreu com sucesso.

image

Publicando SSH de forma segura com Fortinet (NAT)

Vamos fazer a publicação da porta 22 SSH para acessar a uma maquina Linux de forma segura passando pelo nosso Firewall Fortinet.

Temos este cenário: Maquina Debian 7 e Fortinet e uma range /25 de IP públicos (172.16.0.0/25) e uma range interna PRIVADA 10.10.10.0/24.
Em post anterior mostrei como publicar um WEB SERVER na porta 80 TCP, vamos utilizar a mesma linha e a mesma range de IP Públicos 172.16.0.1 – 172.16.0.126

image

Vamos acessar nosso firewall e começar a criação de objetos e regras.

Em Firewall Objects, clique em Address, Address, Creat New.

Name: Escolha um nome amigável ou o nome do servidor, neste exemplo DEBIAN-SSH
Color: A sua escolha
Subnet / IP Range: o IP do servidor DEBIAN 10.10.10.150
Interface: Porta1 (LAN) interface privada da rede
Show in Address Lits: deixe habilitada

image

Agora vamos criar o IP Pool, em Virtual IP, IP Pool

Create New

Name: PUBLIC_172_16_0_6
Type: Overload
External IP Range/Subnet
ARP Reply: Deixe habilitado
OK

image

Agora vamos criar o Virtual IP, em Virtual IP, Virtual IP, Creat New

Name: Port_22_SSH
Comments: Porta de acesso SSH
Color: a sua escolha
External Interface: neste exemplo “port3 (WAN2), pois nesta porta que está de cara na internet
Type: Static NAT
External IP Address/Range: 172.16.0.6 – 172.16.0.6 (Nosso IP Público)
Mapped IP Address/Range: 10.10.10.150 – 10.10.10.150
Port Forwarding: Deixe habilitada esta opção
Protocol: Vamos habilitar TCP
External Service Port: 22 – 22
Map to Port: 22 – 22

OK

image

Agora vamos criar a regra de NAT de saída (OUT) para o servidor

Em policy

image

Creat New

Policy Type: Firewall
Policy Subtype: Address
Incoming Interface: port1 (LAN)
Source Address: DEBIAN-SSH (Nosso servidor já criado)
Outgoing Interface: port3 (WAN) nossa porta que está ligada na internet
Destination Address: All
Schedule: always
Service: SSH_Port_22 (neste exemplo escolhi somente a porta 22 para deixar mais seguro)
Action: ACCEPT
Enable Nat: Vamos deixar habilitada
Use Dynamic Pool: Public_172_16_0_6 (Nosso IP público)
Log Alloweb Traffic: vamos habilitar para LOGAR todo o trafico

OK

image

Agora vamos criar a regra de NAT (IN) para acessar externo ao nosso servidor DEBIAN

Em policy, creat new

Policy Typer: Firewall
Policy Address: Address
Incoming Interface: port3(WAN) nossa porta ligada na internet
Source Address ALL, podemos também determinar que somente algumas redes ou somete um IP pode acessar, eu recomendo deixar especificado um RANGE ou IP para acessar, por exemplo se tem um parceiro que cuida deste servidor em sua empresa, peça ao parceiro fornecer seu IP Público de acesso a internet, ai podemos especificar que somente este IP pode acessar, lembrando que seu parceiro forneceu um IP Público Dinâmico (aquele que muda sempre que há um nova conexão) será necessário sempre alterar este IP em objetos>
Outgoing Interface: port1 (LAN)
Destination Address: Port_22_SSH (Criamos este objeto com o IP do Servidor DEBIAN e já com a porta SSH 22 configurada)
Schedule: always (podemos definir também um dia e horário com inicio e fim para acesso
Service: SSH_Port_22 (para deixar ainda mais seguro o acesso)
Action: ACCEPT
Log Allowed Traffic: Deixe habilitada para vermos os Trafico

OK

image

Agora vamos testar a conexão com o PUTTY com o IP interno 10.10.10.150

image

Acessado com sucesso

image

Agora vamos acessar pelo IP Público 172.16.0.6

image

Agora conseguimos o acesso, veja a mensagem do certificado

image

Clicamos em “SIM”

Acessado com sucesso

image

Fortinet criando regras de acessos a site interno (NAT)

Vamos criar um regra de NAT para publicarmos um site interno em nosso servidor WEB passando por nosso Firewall (Fortinet), neste exemplo vamos utilizar:

1–> Um servidor Windows Server 2008 R2 com IIS – IP Privado 10.10.10.144

2–> Um Fortinet (Firewall), vamos utilizar duas interfaces uma Privada (LAN) 10.10.10.100 e uma interface Publica (WAN) IP 172.16.0.3

Neste exemplo temos a seguinte configuração de IP público 172.16.0.0/25 ou seja 172.16.0.1 – 172.16.0.126

image

Agora vamos as configurações

Interface LAN do firewall port1

IP 10.10.10.100/24

image

Interface WAN port3

IP 172.16.0.3/27

image

Agora vamos criar os objetos no Firewall

Clique em “Firewall Objects”

image

Depois em “Address” e “Creat New”

image

Name: Vamos usar o nome do servidor, neste exemplo “WIN-O4SBIGBT2RR”
Color: A sua escolha
Type: Subnet
Subnet / IP Range: 10.10.10.144 (IP de nosso servidor)
Interface: Escolha a interface LAN port1
Show in Address List: Vamos deixar habilitado
Clique em OK

image

Agora temos nosso objeto Servidor criado

image

Agora vamos criar para Virtual IP

Em Firewall Objects clique em Virtual IP

image

Clique em “Create New”

image

Name: Vamos colocar um nome amigável, neste exemplo “Port_80_WEB”
External IP Address/Range: vamos colocar um IP válido neste nossa range de IP’s públicos, neste caso 172.16.0.5-172.16.0.5
Mapped IP Address/Range: vamos colocar o IP de nosso servidor WEB 10.10.10.144
Port Forwarding: vamos habilitar
Protocol: Vamos marcar “TCP”
External Service Port: vamos colocar a porta 80, lembrando que essa será a porta externa para comunicação.
Map to Port: vamos colocar 80, lembrando que aqui é a porta interna do servidor

image

Agora em “Firewall Objects” vamos em IP POLL

image

Clique agora em “Creat New”

image

Name: um nome amigável neste exemplo PUBLIC_172_16_0_5
External IP Range/Subnet: 172.16.0.5-172.16.0.5
Type: vamos habilitar “Overload”
ARP Reply: vamos deixar habilitado

image

Agora vamos criar as politicas, clique em “Policy”

image

Clique em “police” – Creat New” (Está será a regra de saída OUT)

Police Type: Firewall
Police Subtype: Address
Incoming interface: port1(LAN)
Source Address: nosso servidor WEB “WIN-04SBIGBT2RR”
Outgoing Interface: port3 (WAN2)
Destination Address: all
Schedule: always
Service: HTTP (liberamos somente esta porta 80, pois neste servidor só roda o IIS), desta forma fica mais seguro
Action: ACCEPT
Enable NAT: habilite esta opção
Use Dynamic IP Pool: está opção tem que ser marcada, aqui vamos colocar o IP público para poder funcionar a regra de NAT neste exemplo como já criamos em IP Pool “PUBLIC_172_16_0_5
Log Allowed Traffic: habilite está opção para podermos monitorar o trafego que passando pelo Firewall.

image

Agora vamos criar a regra de entrada “IN”

Clique em “Policy” – “Create New”

Policy Type: Firewall
Policy Subtype: Address
Incoming Interface: port3 (WAN)
Source Address: “all” aqui decidimos da onde vem o trafego, podemos determinar algumas range’s de IP, mas não é neste caso, deixaremos com “ALL” qualquer lugar
Outgoing Interface: port1(LAN) a porta LAN
Destination Address: vamos colocamos nosso “Virtual IP” que criamos o “Port_80_WEB”, este diz que a porta 80 será direcionada para nosso servidor com IP 10.10.10.144
Schedule: ALL
Service: “HTTP”
Action: ACCEPT
Log Allowed Traffic: vamos deixar habilitado para podermos ver o trafego

Clique em ok.

image

Pronto acabamos de publicar nosso servidor WEB de forma segura.

Acessado pelo servidor em http://localhost

image

Acessado pelo servidor em http://10.10.10.144

image

Agora acessado de forma pública, pelo IP PÚBLICO

image

Configure SNMP Fotinet (CLI)

Connect console (CLI)

FW-SP-01# config system snmp community (enter)

FW-SP-01# edit 1 (Enter)

FW-SP-01# config hosts (enter)

FW-SP-01# edit 1 (enter)

FW-SP-01# set interface port1 (Interface monitoring SNMP)

FW-SP-01# set IP 0.0.0.0/0 (releasing all IP interface to monitor)

FW-SP-01# set source-ip 0.0.0.0 (releasing the class of IP)

FW-SP-01# end (enter)

FW-SP-01# set status enable (enter)

FW-SP-01# set query-v1-port 161 (enter)

FW-SP-01# set query-v1-status enable (enter)

FW-SP-01# set query-v2c-port 162 (enter)

FW-SP-01# set query-v2c-status enable (enter)

FW-SP-01# set status enable (enter)

FW-SP-01# set name public (Name community)

FW-SP-01# end (enter)

FW-SP-01# config system snmp community (enter)

FW-SP-01# show (enter)

FW-SP-01 (community) # show

config system snmp community

edit 1

config hosts

edit 1

set interface "port1"

next

end

set name "public"

set query-v2c-port 162

next

end

image

image

image

Alterando a porta de saída de email Fortinet

 

Entre via console (CLI)

Para verificar a porta execute o seguinte comanado:

get system email-server (enter)

Terá a resposta abaixo, a porta está como 25

lanspofwl002 # get system email-server 
type                : custom 
reply-to            : email@dominio.com.br 
server              : 10.1.3.11 
port                : 25
source-ip           : 0.0.0.0
source-ip6          : ::
authenticate        : disable 
security            : none 

 

Vamos alterar para 587

Execute o seguinte comando:

config system email-server (enter)

set port 587 (enter)

end (enter)

Depois execute:

get system email-server (enter)

lanspofwl002 # get system email-server 
type                : custom 
reply-to            : email@dominio.com.br 
server              : 10.1.3.11 
port                : 587
source-ip           : 0.0.0.0
source-ip6          : ::
authenticate        : disable 
security            : none 

Pronto, porta alterada, você pode alterar o tipo de autenticação com este mesmo comando.

 

Abs..