Fortigate 80c https...
 
Bildirimler
Hepsini Temizle

Fortigate 80c https sertifika sorunu  

  RSS
gokhancetin
(@gokhancetin)
Üye

Herkese kolay gelsin.

2013 3. ayakadar sorunsuz kullandığım fortigate 80c, lisans süresinin bitmesi dolayısıyla web filter daki https scanning i devre dışı bırakmıştım.O şekilde düne kadar sorunsuz kullandım

Dün itibariyle 2 yıllık lisans aldık(sonunda) . https scanning i devreye aldım. Tüm terminallerde tüm sayfalarda sertifika hatası vermeye başladı ve hiç bir sayfayı açmamaya başladı

Firmware aynı firmware o günden bugüne policy lerde ip ekle çıkardan başka değişiklik yapmadım. fortinet i 3-4 kez yeniden başlattım.fortinet güncel gözüküyor. Sorun düzelmedi.Daha sonra firmware i v4.MR3 Patch 15 e kadar sırayla yükselttim.  Değişen bişey yok.

O zamana kadar sorunsuz kullandığım cihaz neden böyle bir sorun çıkarttı anlamadım. 

Şu an gpo ile sertifika yüklemesi yaptım. Applicatin kontrol den engelleme yapınca istemediğim siteler açılmıyor ama ekrana uyarıda gelmiyor.

Daha önce http ilede bağlansa https ilede bağlansa benim hazırladığım(copy - paste yaptığım )engellenmiş sayfadır bilgi işlemi arayınız uyarısı geliyordu. şimdi bir uayarı yok.neyi yanlışlıkla yada bilerek değiştirmiş olabilirim.

Teşekkürler

Alıntı
Gönderildi : 10/12/2013 15:59
Omer SAHIN
(@OmerSAHIN)
Üye

Bildiğim kadarıyla App Control' ün HTTPS scaning ile bir bağlantısı yok. Site bazında yasaklama yapacaksanız örneğin "abcxyz.com" adresini yasaklayacaksınız öncelikle UTM Profiles > Web Filter > Profile  kısmına gelip sağ üst taraftan değişiklik yapmak istediğiniz Profilin adını seçip bekleyin. Gelecek olan ekranda Inspection Mod kısmının Proxy modunda olması gerekiyor. Aksi takdirde URL filter ile yasaklamış olduğunuz bir sitenin HTTP tarafı bloklanır ancak HTTPS tarafı bloklanmaz. Bu nedenle Proxy seçeneği seçilir ve alttan da HTTPS Scaning işaretlenir. Daha sonra URL filter da sitenin tüm subdomainleri ve alt klasörleri *abcxyz.com*   şeklinde bloklanır. 

Application Kontrol kısmını sadece belirttiğiniz dosya uzantıları ve türlerine karşı sensör konfigurasyonu amacıyla kullanılır. Örneğin torrent türü dosyayı veya *.exe uzantılı bir dosyanın açılamaması ve indirilememesi amacıyla kullanılır. Site bazında Filtrelemek için URL Filter, İçerik bazında filtrelemek için Content Filter, Dosya türü bazında filtrelemek için Application Control ve Kategori bazında filtreleme için Fortiguard Categories kullanılır. 

Ayrıca şöyle bir ihtimal daha var. Yasaklanan site açılmıyor ama uyarıda vermiyor demişsiniz. System > Config > Replacement Message bölümünü de incelemenizi tavsiye ederim. Versiyon güncellemeleri sonrası buradaki mesajlarında güncellenmiş olma ihtimali var.  

CevapAlıntı
Gönderildi : 14/12/2013 16:53
gokhancetin
(@gokhancetin)
Üye

Dediğiniz şekilde yapılı zaten kurallar. Https scanning i işaretleyince tüm terminallerde ilk sayfada sertifika hatası veriyor devam et diyincede sayfa izinli bile olsa sayfa engelli uyarısı çıkıyor.

Son seçenek makinayı(Fortigate) resetleyip sıfırdan kurulum yapacağım bu gidişle :((

CevapAlıntı
Gönderildi : 17/12/2013 15:06
Vasvi UYSAL
(@vasviuysal)
Saygın Üye Forum Yöneticisi

ilk sayfada gelen sertifika hatasında adres cubugunun hemen yanından sertifikayı goruntuledikten sonra

sertifikayı export edip kaydettiğiniz sertifikayı uzerine cift tıklayarak guvenilir kok sertifika yetkilileri deposuna girmeyi deneyebilirmisiniz acaba 

CevapAlıntı
Gönderildi : 17/12/2013 15:10
gokhancetin
(@gokhancetin)
Üye

Sorun şu an bir terminal hariç düzelmiş gözüküyor. Bu şekilde yedeğini aldım. Haftasonu fortigate yazılımını V5.0 a yükseltip tekrar deneyeceğim. Bakalım sonumuz hayrolsun :))

 

CevapAlıntı
Gönderildi : 18/12/2013 16:24
Savas Demir
(@savasdemir)
Saygın Üye

v5.05 e geçebilirsiniz

http://docs.fortinet.com/fgt/sysadmin/fortigate-https-webfiltering-without-ssl-deep-scan-50.pdf

Normal
0

false
false
false

EN-US
X-NONE
X-NONE

/* Style Definitions */
table.MsoNormalTable
{mso-style-name:"Table Normal";
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-parent:"";
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin:0cm;
mso-para-margin-bottom:.0001pt;
mso-pagination:widow-orphan;
font-size:10.0pt;
font-family:"Times New Roman","serif";}

FortiOS 5.0 ile ssl
inspection/deep scan yapmaya gerek olmadan https filtreleme gelistirildi ve CN
yanind SNI (Server Name Inspection) ozelligi de eklendi. 

Bu sayede ssl inspection
yapmadan artik bir onceki ornekteki https://youtube.com  da
bloklamak mumkun oluyor.

Dolayisiyla musterilerde
browserlara FGT in SSL_Proxy sertifikasini girmek, musteriden kendi CA inden
subordinate sertifika/root sertifika alip Fortigate uzerine yuklemek vb.. Gibi
islemlere aslinda gerek kalmiyor.

Bunu yapmanin yontemi
ilgili web filter profile icerisinden “scan encrypted connections” secenegini
kaldirmak.

 

Burada 2 konu var dikkat
edilmesi gereken;

  • SSL inspection profile her ne kadar web filtering icin
    kullanilmayacak olsa da ilgili policy icerisinde secilmeli (bu 5.2 ile
    duzenlenecek tekrar)
  • Fortigate sadece “blokladigi” https siteler icin kendi
    seri nosunu iceren bir sertifika cikariyor. Bunun nedeni ssl inspection
    yapmasi degil (zaten yapmiyor) ama bloklanan sayfa bir https site oldugundan
    kullaniciya donen blok sayfasi da https uzerinden olmali dogal olarak. Bu
    sayfayi yaratabilmek icin kendi sertifikasini sunuyor kullaniciya. Bunu
    kaldirmak isterseniz ilgili web filter profile da CLI uzerinden asagidaki
    degisikligi yaparak blok sayfasini/sertifika uyarisini da
    kaldirabilirsiniz.

config webfilter profile

    edit
"default"

     
 set https-replacemsg disable

    end

end

 

 

CevapAlıntı
Gönderildi : 20/12/2013 15:17
gokhancetin
(@gokhancetin)
Üye

Bugün sorunlu bilgisayarda kurulu olan internet explorer 8i kaldırınca sertifika hatası son buldu. Sorun ie 8 miş .:) Garip :))

CevapAlıntı
Gönderildi : 21/12/2013 22:55
Paylaş: