Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Fortinet/Fortigate https websites

17-07-2019, 18:10 door Anoniem, 20 reacties
Hi,

Ik zit in spanje in een hotel, achter een fortinet gateway klaarblijkelijk.

En sommige websites die ik wil bezoeken zijn onbereikbaar door filtering blijkbaar, maar het bericht dat ik krijg heeft te maken met certifcaat errors.

Weet iemand wat de fortinet gateway precies doet tav ssl verbindingen?

Ik ging naar https://www.dumpert.nl en kreeg in Safari een foutmelding op het certificaat.

Kijkend naar de details verteld safari mij dat het certificaat voor url : ssl746498.cloudflaressl.com uitgegeven door FG100E4Q17026959 niet vertrouwd is..
Logisch.. want FG100E4Q17026959 is geen vertrouwde CA in de lijst van trusted CA's in Safari.

Maar de vraag is, is de fortinet gateway een man-in-the-middle die ssl verbindingen termineert om zo te kijken naar wat ik doe?

Ik las op fortinet webpagina dat de oplossing om deze deeppacket inspection problemen op te lossen ik het certificaat als trusted moet markeren in m'n keychain.. right.. dat dus niet.
maar hoe zit het met andere https websites, google, apple, etc?
Reacties (20)
17-07-2019, 20:17 door Anoniem
Dit is normaal bij firewalls die SSL inspectie aanbieden.
Je kunt proberen een VPN op te zetten om dit probleem te omzeilen, maar dat moet dan geen SSL/TLS VPN zijn
anders krijg je met je VPN hetzelfde probleem.
En er is een flinke kans dat allerlei VPN's al in dat ding herkend en geblokkeerd worden, dus heel gemakkelijk zal
het vast niet worden.
17-07-2019, 23:56 door Anoniem
Fortigate geeft ook bepaalde IDS alerts niet weer, bijvoorbeeld in het geval van een potentieel verdacht *.ga domein

Suricate Emerging Threats geeft hier wel een IDS alert voor:
Niveau 2 Client IP Onbekend Intern IP ET INFO DNS Query op een verdacht .ga domein
Fortinet's Webfilter zegt hier "Geen alerts gedetecteerd".

In het volgende geval wordt er bij de scan ook geheel geen rekening mee gehouden
met het potentieel verdacht zijn van een * ga domein en wordt de URL als goedaardig beschouwd:

https://zulu.zscaler.com/submission/70cd7331-28bc-467c-8564-cee309925ba3

Alles heeft dus zo zijn voor- en zijn nadelen en dus ook zijn "blinde vlekken".
Alles is een kwestie van interpretatie binnen wat gevonden kan worden.

J.O.
18-07-2019, 01:46 door Anoniem
Ik snap je vraag niet.

Je zit in een hotel, je herkent (correct) een firewall die een SSL sessie met dumpert probeert open te breken - en je gaat ons vragen wat dat ding doet met google, apple en andere websites ?

Uh, gewoon proberen , en kijken of je dezelfde certificaat waarschuwing krijgt als voor dumpert ?

Het zou natuurlijk kunnen dat die firewall 'bekende' of 'trusted' HTTPS sites gewoon niet inspecteert - wegens teveel gezeur van klanten die klagen over de errors, of teveel load .
Als je bedoelde te zeggen dat je die errors niet zag als je met https naar google of apple ging zal dat de reden zijn.
Je verwacht in dat geval ook dat bv internet bankier sites (iig Spaanse) ook geen inspectie krijgen.

Zoals andere mensen ook zeiden - als je met het een of andere vpn / tunnel naar buiten kunt , kun je die inspectie omzeilen.

Itt tot 20:17 denk ik dat VPNs niet snel geblokkeerd zullen zijn - dan zijn de zakelijke klanten Niet Blij .
18-07-2019, 07:35 door Bitje-scheef
SSL inspection is zo ver ik weet altijd afhankelijk van een man-in-the-middle. Bij systemen achter zo een firewall met inspection wordt het certificaat op het device geimporteerd en toegevoegd aan een browser, zodat de man-in-the-middle vertrouwd wordt.

Dit soort zaken wordt veel gebruikt om virussen, malware en verkeerde sites/redirects te blokkeren. Doe je dit niet dan zullen een aantal aanvallen mogelijk zijn omdat de firewall niet in de sessie kan kijken.

Dus het ligt er aan wat voor zaken je bloot wilt geven, of gewoon kiezen voor de free wifi in de lokale pub :-)

Ieder gerespecteerd hotel heeft zijn privacy zaken voor klanten op orde en verwacht bij normaal gebruik geen problemen.
18-07-2019, 07:56 door [Account Verwijderd] - Bijgewerkt: 18-07-2019, 07:57
Door Anoniem: Hi,

Ik zit in spanje in een hotel, achter een fortinet gateway klaarblijkelijk.

Als je de fortinet.com website bezoekt dan word je meteen verwelkomd met een cookietoestemmingsformulier van heb ik jou daar. Ze willen je 'interessante' advertenties kunnen laten zien. Ja daag! (sluit tab af).
18-07-2019, 08:38 door Anoniem
Ik zou terugvallen op een 4G verbinding. Er is geen enkele noodzaak voor DPI middels SSL interceptie door een hotel. 4G is in Spanje gewoon hetzelfde tarief als Nederland.
18-07-2019, 08:41 door Anoniem
Ieder gerespecteerd hotel heeft zijn privacy zaken voor klanten op orde en verwacht bij normaal gebruik geen problemen.

De wens is de vader van de gedachte.
18-07-2019, 08:48 door Anoniem
Door En Rattshaverist:
Door Anoniem: Hi,

Ik zit in spanje in een hotel, achter een fortinet gateway klaarblijkelijk.

Als je de fortinet.com website bezoekt dan word je meteen verwelkomd met een cookietoestemmingsformulier van heb ik jou daar. Ze willen je 'interessante' advertenties kunnen laten zien. Ja daag! (sluit tab af).
En wat heeft dat met TS zijn topic te maken? Post dan niets. Scheelt weer onzin posts.
18-07-2019, 08:55 door Anoniem
Waarom moeite doen? Je kunt in Spanje gewoon 4G gebruiken, probleem opgelost.
18-07-2019, 09:06 door Anoniem
Door En Rattshaverist:
Als je de fortinet.com website bezoekt dan word je meteen verwelkomd met een cookietoestemmingsformulier van heb ik jou daar. Ze willen je 'interessante' advertenties kunnen laten zien. Ja daag! (sluit tab af).

Hoe de website van de leverancier in elkaar steekt doet niet terzake in dit geval. De TS maakt gebruik van een firewall waarop SSL inspectie aanstaat.
18-07-2019, 09:25 door Bitwiper
Zoals anderen hierboven al aangaven vindt bij SSL/TLS inspectie (ook bekend als DPI voor Deep Packet Inspection) een MitM "aanval" plaats.

Ik zou NOOIT zomaar een rootcertificaat van een onvertrouwde partij importeren, want zo'n partij (en mogelijk derden) geef je daarmee mogelijk SYSTEM toegang tot je PC.

Daarnaast heeft Fortinet nog steeds geen goede naam v.w.b. omgang met digitale certificaten en private keys (zie [1] uit 2012, [2] uit 2017 en [3] van 1 maand geleden), dus ook al vertrouw je de eigenaar van het hotel, zou ik nog 3x nadenken.

De vraag is of alle https verbindingen worden onderbroken; wellicht gebruiken ze een whitelist (of blacklist waar dan o.a. dumpert.nl op staat). Ervan uitgaande dat je het FortiGate rootcert niet hebt geïmporteerd: als je geen certificaatfoutmelding krijgt bij het bezoeken van https sites, weet je zeker dat de hotelbaas niet meekijkt in jouw verbinding.

Krijg je ook certificaatfoutmeldingen als je bijvoorbeeld deze site (https://www.security.nl/) of de site van je bank opent?

[1] https://www.security.nl/posting/38728/Verkeer+Fortigate+DPI-apparaten+af+te+luisteren
[2] https://www.security.nl/posting/543229/Fortinet+vpn-software+gebruikte+hardcoded+decryptiesleutel
[3] https://packetstormsecurity.com/files/153394/FortiCam-FCM-MB40-Code-Execution-Privilege-Escalation.html
18-07-2019, 10:45 door Anoniem
Het is mogelijk dat bepaalde sites die je wil bezoeken geblokkeerd worden in de firewall. Er zijn standaard sets filters die gebruikt kunnen worden, maar die kunnen ook handmatig gewijzigd worden.Weet je zeker dat het dumpert.nl was en niet toevallig pornhub.com? Anyways, de standaard pagina die je de firewall terugstuurt als het verzoek geblokkeerd wordt gebruikt een self-signed certificaat die je browser dan -correct- weigert. Als je iets als "wget -v" kan gebruiken moet je kunnen zien wat je terug krijgt. Je kan ook even een aantal sites proberen, bijvoorbeeld cnn.com of zo om te zien of je daar hetzelfde issue hebt.
18-07-2019, 10:58 door [Account Verwijderd] - Bijgewerkt: 18-07-2019, 10:59
Door Anoniem:
Door En Rattshaverist:
Door Anoniem: Hi,

Ik zit in spanje in een hotel, achter een fortinet gateway klaarblijkelijk.

Als je de fortinet.com website bezoekt dan word je meteen verwelkomd met een cookietoestemmingsformulier van heb ik jou daar. Ze willen je 'interessante' advertenties kunnen laten zien. Ja daag! (sluit tab af).
En wat heeft dat met TS zijn topic te maken? Post dan niets. Scheelt weer onzin posts.

Zoals TS zelf al aangeeft is de betrouwbaarheid van de aanbieder hierbij een overweging: las op fortinet webpagina dat de oplossing om deze deeppacket inspection problemen op te lossen ik het certificaat als trusted moet markeren in m'n keychain.. right.. dat dus niet. Op een website voor een commercieel product meteen je potentiële klanten lastig vallen met allerlei reclame die men vindt dat je moet zien is geen goed teken.
18-07-2019, 11:57 door Anoniem
Door En Rattshaverist:
Zoals TS zelf al aangeeft is de betrouwbaarheid van de aanbieder hierbij een overweging: las op fortinet webpagina dat de oplossing om deze deeppacket inspection problemen op te lossen ik het certificaat als trusted moet markeren in m'n keychain.. right.. dat dus niet. Op een website voor een commercieel product meteen je potentiële klanten lastig vallen met allerlei reclame die men vindt dat je moet zien is geen goed teken.
Dit heeft ook helemaal niets te maken met de het issue waar TS last van heeft en de website van de leverancier. Zijn 2 totaal verschillende punten die helemaal niets met elkaar te maken hebben.

Daarnaast Google maakt ook reclame en maar kan ook hele goede producten leveren.
18-07-2019, 13:30 door Anoniem
Als je de fortinet.com website bezoekt dan word je meteen verwelkomd met een cookietoestemmingsformulier van heb ik jou daar. Ze willen je 'interessante' advertenties kunnen laten zien. Ja daag! (sluit tab af).

Erg relevant.
18-07-2019, 13:34 door Anoniem
Als je de fortinet.com website bezoekt dan word je meteen verwelkomd met een cookietoestemmingsformulier van heb ik jou daar. Ze willen je 'interessante' advertenties kunnen laten zien. Ja daag! (sluit tab af).

Geen enkel probleem om de website te gebruiken, terwijl ik cookies blokkeer. Verder gebruikt vrijwel iedere corporate website cookies vandaag de dag. Weinig interessant.
18-07-2019, 17:41 door Anoniem
Fortnite is een game voor kiddos.
Echte bazen spelen CS:GO
18-07-2019, 18:17 door Anoniem
Hallo,

TS hier. Ik zit in Madrid in een hotel, zoals ik aangaf.

Ik probeerde eerst naar bgbender.com te gaan ivm gitaar technieken. Toen kreeg ik een melding dat deze url geblokkeerd was omdat het een nieuwe URL betrof.

""You have tried to access a web page which is in violation of your internet usage policy.

URL: http://bgbender.com/
Category: Newly Observed Domain
Client IP: 192.168.10.39
Server IP: 160.153.136.3
User name: 507
Group name: AUTOPROVISION_WIFI

To have the rating of this web page re-evaluated please click here.""
Met deze URL:

http://url.fortinet.net/rate/submit.php?id=034E3B7E231A6359276A6231312D3229&cat=5A&loc=http://bgbender%2ecom%2f&ver=8

Toen probeerde ik automatisch naar dumpert.nl te gaan en stuitte op de fortinet/fortigate melding en begon mij af te vragen of dit nu echt een MitM zou zijn.
Waarbij ik mij daarna dus af vroeg of de FG deze MitM ook doet bij Google en allerlei andere grotere websites..

Ik heb zojuist ook pornhub geprobeerd , omdat iemand hierboven zich afvroeg of ik dumpert bezocht of pornhub (haha, wat een grap.. zucht).. Maar zelfde resultaat.

Met vpn kom ik er wel gewoon, geen probleem uiteraard. Heb dat ook direct weer aangezet, maar ik hoopte hier wat meer informatie te verkrijgen over het mitm verhaal omtrent andere websites in relatie tot FG troep.

Waarbij mijn dank voor de reacties!

(4G heb ik nog niet op m'n laptop en gebruik te veel om het via m'n personal hotspot te doen, bedankt voor de tip toch)

groet,
TS
19-07-2019, 13:17 door Anoniem
De Forti met SSL inspect breekt je verkeer open om er in te kunnen kijken. Deze zal dan z'n eigen cert aan jou aanbieden, vandaar de waarschuwing die je krijgt. Voor zaken als bank verkeer etc. bestaan er profielen die het verkeer uitzonderen van verdere inspectie. Dit is bijvoorbeeld ook het geval voor diensten als Google die het niet toestaan dat SSL verkeer open gebroken wordt.

Of het überhaupt wenselijk is dat dit soort dingen gebeuren is een 2de discussie.
19-07-2019, 16:07 door Anoniem
Door Anoniem: Hallo,

TS hier. Ik zit in Madrid in een hotel, zoals ik aangaf.

Ik probeerde eerst naar bgbender.com te gaan ivm gitaar technieken. Toen kreeg ik een melding dat deze url geblokkeerd was omdat het een nieuwe URL betrof.

""You have tried to access a web page which is in violation of your internet usage policy.

URL: http://bgbender.com/
Category: Newly Observed Domain
Client IP: 192.168.10.39
Server IP: 160.153.136.3
User name: 507
Group name: AUTOPROVISION_WIFI

To have the rating of this web page re-evaluated please click here.""
Met deze URL:

http://url.fortinet.net/rate/submit.php?id=034E3B7E231A6359276A6231312D3229&cat=5A&loc=http://bgbender%2ecom%2f&ver=8

Toen probeerde ik automatisch naar dumpert.nl te gaan en stuitte op de fortinet/fortigate melding en begon mij af te vragen of dit nu echt een MitM zou zijn.
Waarbij ik mij daarna dus af vroeg of de FG deze MitM ook doet bij Google en allerlei andere grotere websites..

Ik heb zojuist ook pornhub geprobeerd , omdat iemand hierboven zich afvroeg of ik dumpert bezocht of pornhub (haha, wat een grap.. zucht).. Maar zelfde resultaat.

Met vpn kom ik er wel gewoon, geen probleem uiteraard. Heb dat ook direct weer aangezet, maar ik hoopte hier wat meer informatie te verkrijgen over het mitm verhaal omtrent andere websites in relatie tot FG troep.

Waarbij mijn dank voor de reacties!

(4G heb ik nog niet op m'n laptop en gebruik te veel om het via m'n personal hotspot te doen, bedankt voor de tip toch)

groet,
TS

Het is technisch niet heel spannend uiteindelijk - als de client een extra SSL root wil installeren kun je dus prima SSL verkeer inspecteren.
Wat en hoe is gewoon een keuze van de firewall beheerder . Uit je toevoeging hier blijkt dat ze gebruik maken een classificatie service van Fortinet (categorie 'onbekend' ) - de beheerder zal het vinkje 'inspecteren' gezet hebben voor veel categorieen.

Wat ze voor google/FB/Apple e.d. doen kun je alleen maar testen . Het is niet zo dat deze firewall een hardcoded uitzondering heeft, dat zijn allemaal keuzes die een beheerder maakt - of half overlaat aan een leverancier, door een keuze voor een categorie wel of niet te maken.

(zie https://fortiguard.com/webfilter/categories voor het soort categorieen. )

Waarschijnlijk heeft het hotel de Wifi service ook weer ergens afgenomen, en heeft gewoon iemand "si" gezegd op de vraag of er een 'beveiligingsoptie' bij de Wifi moest. Het zal ze nog wat extra geld kosten ook .

Naast natuurlijk gewoon je VPN gebruiken zou je gewoon bij het hotel kunnen klagen dat je bij heel normale sites rare meldingen krijgt, en dat je daarom ontevreden bent over de Internet service in het hotel.
Als er wat vaker geklaagd wordt zullen ze die filtering met hetzelfde gemak weer uitzetten.

(tip die sommige ITers nodig hebben: bij een hotel receptie werken geen mensen om een diepe uiteenzetting over TLS certificaten, trust settings e.d. mee te hebben. Gewoon melden dat je ontevreden bent over rare meldingen van je browser met HUN INTERNET en onbereikbare sites. En evt, als ze willen helpen met het installeren van het root cert weigeren omdat je net genoeg weet om geen onbekende certificaten te laten installeren waar je browser (of de IT afdeling van je bedrijf) voor waarschuwt .

Het zal wel niet veranderen tijdens je verblijf, maar zonder feedback zal het zo blijven.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.