Forum

Fortigate bazı site...
 
Bildirimler
Hepsini Temizle

[Çözüldü] Fortigate bazı sitelere erişilmiyor.

Serdar Karaarslan
(@serdark54)
Üye

Merhaba, günlük olarak sık kullandığımız bir çok siteye bugün itibariyle erişemiyoruz. Web filtrelemeyi kapattığım halde bu sorun devam etmektedir. Bu konu ile ilgili yardımcı olur musunuz?
Siteler;

n11.com

gibi

Sanırım sertifika sorunu var ama hangi sertifikayı kullanmam gerekiyor bilemiyorum.

Bu konu 4 ay önce Hakan Uzuner tarafından düzenlendi
Alıntı
Konu başlatıcı Gönderildi : 01/10/2021 11:12
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Konu bunun ile ilgili sanırım

Lets encrypt kök sertifikasinin suresi doldugu icin lets kullanan sayfalara Fortigate veya diger firewall cihazlarindan erisirken sorun yasayacaklar expired certificates allow demek gerekiyor bunun içinde.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 01/10/2021 12:50
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Ama tabi bu bir güvenlik riski, ama hızlı çözülür diye düşünüyorum çünkü aktif çok kullanılan bir sistem bu.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 01/10/2021 12:51
Selahattin Özcan
(@qvkare)
Üye
Gönderen: @hakanuzuner

Konu bunun ile ilgili sanırım

Lets encrypt kök sertifikasinin suresi doldugu icin lets kullanan sayfalara Fortigate veya diger firewall cihazlarindan erisirken sorun yasayacaklar expired certificates allow demek gerekiyor bunun içinde.

Hocam bende de aynı sorun var ilk sorum ''expired certificates allow'' bölümünü tam olarak nereden yapıyoruz, ikinci sorum sertifikalar bölümüne baktığımda hepsinin süresi var gözüküyor kök sertifikayı nereden yönetebilirim? Teşekkür ediyorum

CevapAlıntı
Gönderildi : 01/10/2021 12:56
Selahattin Özcan
(@qvkare)
Üye
Gönderen: @qvkare
Gönderen: @hakanuzuner

Konu bunun ile ilgili sanırım

Lets encrypt kök sertifikasinin suresi doldugu icin lets kullanan sayfalara Fortigate veya diger firewall cihazlarindan erisirken sorun yasayacaklar expired certificates allow demek gerekiyor bunun içinde.

Hocam bende de aynı sorun var ilk sorum ''expired certificates allow'' bölümünü tam olarak nereden yapıyoruz, ikinci sorum sertifikalar bölümüne baktığımda hepsinin süresi var gözüküyor kök sertifikayı nereden yönetebilirim? Teşekkür ediyorum

3331
123

Dediğiniz gibi sertfikanın süresi dolmuş gözüküyor.

Bu ileti 4 ay önce Selahattin Özcan tarafından düzenlendi
CevapAlıntı
Gönderildi : 01/10/2021 12:59
Serdar Karaarslan
(@serdark54)
Üye

Fortigate cihazindan settings bölümüne sonra SSL/SS inspection bölümüne girip, fotoğrafta ki ayarların aynısı olacak şekilde yeni bir SSL/SS inspection oluşturmak gerekiyor sorunun çözülmesi için.

 

Bu ileti 4 ay önce Serdar Karaarslan tarafından düzenlendi
CevapAlıntı
Konu başlatıcı Gönderildi : 01/10/2021 13:52
Salih Bulut
(@salihbulut)
Üye
Gönderen: @hakanuzuner

Konu bunun ile ilgili sanırım

Lets encrypt kök sertifikasinin suresi doldugu icin lets kullanan sayfalara Fortigate veya diger firewall cihazlarindan erisirken sorun yasayacaklar expired certificates allow demek gerekiyor bunun içinde.

Yararlı bilgi. Teşekkürler Hakan hocam.

Yanlız çok ilginç bir durum. "Letsencrypt.org" dahi bir çok site hala açılmıyor ve hala resmi bir açıklama yok bu durumla alakalı.

CevapAlıntı
Gönderildi : 01/10/2021 14:25
Selahattin Özcan
(@qvkare)
Üye
Gönderen: @serdark54

Fortigate cihazindan settings bölümüne sonra SSL/SS inspection bölümüne girip, fotoğrafta ki ayarların aynısı olacak şekilde yeni bir SSL/SS inspection oluşturmak gerekiyor sorunun çözülmesi için.

 

''Invalid SSL certificates'' direkt allow yaptığım halde bile değişiklik olmadı hocam ben de 

 

CevapAlıntı
Gönderildi : 01/10/2021 14:32
Serdar Karaarslan
(@serdark54)
Üye

@qvkare 

O sayfa da eğer altta ki fotoğrafta yer alan policylerden kilit işaretliyi değiştirmeye çalışıyorsanız işe yaramıyor yaptığınız değişiklik. Üstte ki mesajımda bulunan fotoğrafın birebir aynısını içeren yeni bir policy oluşturursanız sistem düzelmesi gerekiyor arkadaşım o şekilde yaptı düzeldi.

1

 

CevapAlıntı
Konu başlatıcı Gönderildi : 01/10/2021 14:50
Selahattin Özcan
(@qvkare)
Üye
Gönderen: @serdark54

@qvkare 

O sayfa da eğer altta ki fotoğrafta yer alan policylerden kilit işaretliyi değiştirmeye çalışıyorsanız işe yaramıyor yaptığınız değişiklik. Üstte ki mesajımda bulunan fotoğrafın birebir aynısını içeren yeni bir policy oluşturursanız sistem düzelmesi gerekiyor arkadaşım o şekilde yaptı düzeldi.

1

 

Dediğiniz gibi yeni bir policy oluşturdum yazınızdaki gibi ve birebir aynısını yaptım ama değişmedi. kilitli certiface da cli console dan işlem yapıp allow haline getirebilir miyim acaba?

CevapAlıntı
Gönderildi : 01/10/2021 15:02
Serdar Karaarslan
(@serdark54)
Üye

@qvkare Bu işlem için yeterli bilgiye sahip değilim maalesef.

CevapAlıntı
Konu başlatıcı Gönderildi : 01/10/2021 15:39
Selahattin Özcan
(@qvkare)
Üye
Gönderen: @serdark54

@qvkare Bu işlem için yeterli bilgiye sahip değilim maalesef.

teşekkür ederim, fortigate uzmanı @hakanuzuner hocamı bekliyorum 🙂

Bu ileti 4 ay önce Selahattin Özcan tarafından düzenlendi
CevapAlıntı
Gönderildi : 01/10/2021 15:42
ibrahim yildiz
(@ibrahimyildiz)
Tecrübeli Üye Forum Yöneticisi

Support'unuz yok mu durumunuzla ilgili ticket açarsanız daha hızlı çözüm bulursunuz.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 01/10/2021 16:59
CumhurAltan
(@cumhuraltan)
Üye Forum Yöneticisi

Selamlar  ,

 

@serdark54  @qvkare 

Aşağıdaki işlemler ile  geçici  çözüm sağlanabilir  ilgili  döküman Distribütör  tarafından  paylaşılmıştır.

 

Bir kök sertifika yetkilisinin (ISRG Root X1) sertifika zinciriyle ilgili devam eden bir sorun tespit edilmiştir. Bu sorun, ister derin (deep) ister yalnızca sertifika denetimi kullanılıyor olsun, tüm SSL denetim ürünleri satıcılarını etkileyecektir.
Bu makalede 30.09.2021 itibariyle baş gösteren, ISRG Root CA sertifikası kullanan web sitelerindeki sertifika hatasının geçici olarak FortiGate sistemlerinde nasıl önleneceği anlatılmaktadır.

 

Öncelikle sisteminizin konfigürasyon yedeğini almalısınız.

 

image

Kurallarınızda kullanılan “SSL/SSH Inspection” profilinizde aşağıdaki gibi “Expired certificates” alanını “Allow” şeklinde düzenlemelisiniz :

 

image

 

Eğer “Deep Inspection” türünde bir derin (deep) ssl/ssh profil kullanıyorsanız, ayar aşağıdaki gibi olmalıdır :

 

image

 

* Eğer, “certificate-inspection” veya “deep-inspection” isimli, değiştirilemeyen profilllerden birini kullanıyorsanız, varolan bu profili aşağıdaki gibi klonlayarak, yeni bir profil olarak kaydetmeli ve gerekli değişikliği uygulayarak kurallarınızda aktif etmelisiniz.

 

***************************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
***************************************************************************
Probleminiz çözüldüğünde, Konunuzu "ÇÖZÜLDÜ" olarak işaretleyerek benzer problemi yaşayanlara yardımcı olabilirsiniz.

CevapAlıntı
Gönderildi : 01/10/2021 17:18
Selahattin Özcan
(@qvkare)
Üye
Gönderen: @ibrahimyildiz

Support'unuz yok mu durumunuzla ilgili ticket açarsanız daha hızlı çözüm bulursunuz.

 Hocam kendim çözmek istiyorum desteğimiz var ama öğrenmek istiyorum

CevapAlıntı
Gönderildi : 01/10/2021 17:18
Selahattin Özcan
(@qvkare)
Üye
Gönderen: @cumhuraltan

Selamlar  ,

 

@serdark54  @qvkare 

Aşağıdaki işlemler ile  geçici  çözüm sağlanabilir  ilgili  döküman Distribütör  tarafından  paylaşılmıştır.

 

Bir kök sertifika yetkilisinin (ISRG Root X1) sertifika zinciriyle ilgili devam eden bir sorun tespit edilmiştir. Bu sorun, ister derin (deep) ister yalnızca sertifika denetimi kullanılıyor olsun, tüm SSL denetim ürünleri satıcılarını etkileyecektir.
Bu makalede 30.09.2021 itibariyle baş gösteren, ISRG Root CA sertifikası kullanan web sitelerindeki sertifika hatasının geçici olarak FortiGate sistemlerinde nasıl önleneceği anlatılmaktadır.

 

Öncelikle sisteminizin konfigürasyon yedeğini almalısınız.

 

image

Kurallarınızda kullanılan “SSL/SSH Inspection” profilinizde aşağıdaki gibi “Expired certificates” alanını “Allow” şeklinde düzenlemelisiniz :

 

image

 

Eğer “Deep Inspection” türünde bir derin (deep) ssl/ssh profil kullanıyorsanız, ayar aşağıdaki gibi olmalıdır :

 

image

 

* Eğer, “certificate-inspection” veya “deep-inspection” isimli, değiştirilemeyen profilllerden birini kullanıyorsanız, varolan bu profili aşağıdaki gibi klonlayarak, yeni bir profil olarak kaydetmeli ve gerekli değişikliği uygulayarak kurallarınızda aktif etmelisiniz.

 

Hocam elinize sağlık teşekkür ederim

CevapAlıntı
Gönderildi : 01/10/2021 17:20
Ahmet ELMAS
(@ahmetelmas-2)
Üye

Deep Inspection profillerinde yukarda anlatıldığı gibi Expired Certificate için davranışını Trust&Allow yaptık. 

Certificate Inspection profili Read-Only olduğu için bu ayarı değiştirilemiyor bu yüzden bu profili klonlayarak (bir kaç yerde klonlamaya da izin vermedi bu yüzden cli üzerinden yaptık) veya aşağıdai şekilde CLI üzerinden yeni profil açıp Certificate Inspection yerine bu yeni profili kullandık. Şu an bi sorun yok.

 

config firewall ssl-ssh-profile
edit "cert_insp_allow_all"
config https
set ports 443
set status certificate-inspection
set expired-server-cert allow
set cert-validation-failure allow
end
config ftps
set status disable
set expired-server-cert allow
set cert-validation-failure allow
end
config imaps
set status disable
set expired-server-cert allow
set cert-validation-failure allow
end
config pop3s
set status disable
set expired-server-cert allow
set cert-validation-failure allow
end
config smtps
set status disable
set expired-server-cert allow
set cert-validation-failure allow
end
config ssh
set ports 22
set status disable
end
config dot
set status disable
set expired-server-cert allow
set cert-validation-failure allow
end
next
end

CevapAlıntı
Gönderildi : 02/10/2021 09:25
Selahattin Özcan
(@qvkare)
Üye

https://www.fortinet.com/blog/psirt-blogs/fortinet-and-expiring-lets-encrypt-certificates?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+fortinet%2Fblogs+%28Fortinet+All+Blogs%29

yine dediğiniz gibi kilitli olduğu için üsttekiler bende de işe yaramadı ama sonra yukarıdaki bloğu buldum orada yazan cli üzerinden 

config system dns-database
    edit "1"
        set domain "identrust.com"
        config dns-entry
            edit 1
                set hostname "apps"
                set ip 127.0.0.1
            next
        end
    next
end

yaptım sorun çözüldü teşekkürler yardımcı olan herkese

Bu ileti 4 ay önce Selahattin Özcan tarafından düzenlendi
CevapAlıntı
Gönderildi : 02/10/2021 10:01
Hakan Uzuner beğendi
Paylaş: