Fortigate – zarządzanie procesami

Posted on 15 grudnia 202126 marca 2023 by tomeks

Lista procesów.

# diagnose sys top

lub wyszukanie konkretnego procesu np proxyd

# diag sys process pidof proxyd

Ubicie procesu

# diagnose sys kill 11 <process_id>

lub 

# fnsysctl killall <process name>

np 

# fnsysctl killall proxyd

DIRB to skaner treści internetowych

Posted on 4 grudnia 20214 grudnia 2021 by tomeks

DIRB wyszukuje istniejące obiekty sieciowe. Działa poprzez uruchomienie ataku słownikowego na serwer sieciowy i analizę odpowiedzi. Wraz z dirb instalowany jest zestaw wstępnie skonfigurowanych list słownikowych pomocnych w skanowaniu. Słowniki znajdują się w katalogu /usr/share/wordlists/dirb/. Możemy skorzystać z innych otwarto źródłowych słowników np: SecList

DIRB jest pomocny w audycie aplikacji internetowych podczas testów bezpieczeństwa wykorzystujących „Fuzzing”. Fuzzing to technika testowania oprogramowania, w której wysyłamy do programu różne losowe, prawidłowe i nieprawidłowe dane, następnie obserwujemy działanie programu.

Instalacja

$ sudo apt install dirb

Przykład użycia

$ dirb https://adres.strony/ /usr/share/wordlists/dirb/common.txt

-----------------
DIRB v2.22
By The Dark Raver
-----------------

START_TIME: Sat Dec  4 20:30:41 2021
URL_BASE: https://adres.strony/
WORDLIST_FILES: /usr/share/wordlists/dirb/small.txt

-----------------

GENERATED WORDS: 959

---- Scanning URL: https://adres.strony/ ----
+ https://adres.strony/0 (CODE:301|SIZE:0)
+ https://adres.strony/admin (CODE:302|SIZE:0)

Tutaj znalazł 2 obiekty „0” i „admin”

iDrac6 KVM problem z połączeniem

Posted on 3 listopada 20213 listopada 2021 by tomeks

Starsze wersje iDrac KVM wykorzystują SSLv3, który uznawany jest za niebezpieczny. Aby uruchomić zdalny dostęp KVM musi na czas połączenia uznać SSLv3 jako bezpieczny.

W katalogu instalacji javy w pliku lib\security\java.security komentujemy linijkę zawierającą jdk.tls.disabledAlgorithms=SSLv3

Fortigate – Zmiana adresu ip w konsoli

Posted on 22 października 202125 listopada 2021 by tomeks

Konfiguracja IP statycznego

config system interface
  edit port1
    set mode static
    set ip 192.168.0.100 255.255.255.0
  next
end

Konfiguracja bramy domyślnej

config router static
  edit 1
    set device port1
    set gateway <class_ip>
  next
end

Konfiguracja IP – DHCP

config system interface
  edit port1
    set mode dhcp
  next
end

Tutel przez ssh

Posted on 17 października 202116 listopada 2021 by tomeks

Aby ustawić tunel ssh do zdalnego portu lokalnego na Linuxie lub Windowsie w konsoli zestawiamy połączenie ssh poleceniem:

# ssh -L <port>:<host>:<hostport> -N -f <user@host_lub_ip> [-i <sciezka_do_klucza_prywatnego>]

Np. zostanie zestawione połączenie z adresem X.X.X.X i powiązany port 5901 z portem 5600 na naszej maszynie z której zestawiamy tunel

$ ssh -L 5600:localhost:5901 -N -f user@X.X.X.X -i e:\keys\user.pem

W Windowsie uprawnienia do klucza prywatnego powinien posiadać tylko właściciel, można to ustawić za pomocą gui lub terminala

$ icacls .\user.pem /inheritance:r
$ icacls .\user.pem /grant:r "%username%":"(R)"

Sprawdzanie czy nasza Samba jest odporna na Zerologon CVE-2020-1472

Posted on 6 października 202112 października 2021 by tomeks

Jeżeli nasza Samba pracuje jako kontroler domeny możemy sprawdzić czy jest odporna na ten atak.

Rozwiązaniem problemu jest ustawienie w pliku smb.conf

server schannel = yes

Od wersji 4.8 domyślnym zachowaniem Samby było wymuszanie bezpiecznego kanału dla wszystkich klientów, co jest wystarczającą poprawką przeciwko znanym exploitom ataku CVE-2020-1472. We wszystkich wersjach możemy sprawdzić to ustawienie za pomocą testparm.

$ testparm -v -s|grep schannel
Load smb config files from /etc/samba/smb.conf
Loaded services file OK.
Server role: ROLE_DOMAIN_PDC

    client schannel = Yes
    server schannel = Yes

Jeśli rolą serwera jest kontroler domeny, upewnij się, że parametr „server schannel” jest ustawiony na „yes”, aby mieć pewność, że bezpieczny kanał jest zawsze ustanawiany.

Fortigate – IP Reputation Filtering

Posted on 3 września 202124 marca 2023 by tomeks

Ta funkcja umożliwia zasadom zapory filtrowanie ruchu zgodnie ze skonfigurowanym poziomem reputacji. Jeśli poziom reputacji źródłowego lub docelowego adresu IP jest równy lub wyższy niż poziom ustawiony w zasadach, pakiet jest przekazywany dalej, w przeciwnym razie pakiet jest odrzucany.

Pięć domyślnych poziomów reputacji to:

Znane złośliwe witryny związane z serwerami botnetów, witrynami phishingowymi itp.
Witryny świadczące usługi wysokiego ryzyka, takie jak TOR, proxy, P2P itp.
Niezweryfikowane witryny.
Renomowane strony z mediów społecznościowych, takie jak Facebook, Twitter itp.
Znane i zweryfikowane bezpieczne witryny, takie jak Gmail, Amazon, eBay itp.

Domyślny minimalny poziom reputacji w zasadzie wynosi zero, co oznacza, że filtr reputacji jest wyłączony.

Aby ustawić poziom i kierunek reputacji w polityce:

config firewall policy
    edit 1
        set uuid dfcaec9c-e925-51e8-cf3e-fed9a1d42a1c
        set srcintf "wan2"
        set dstintf "wan1"
        set dstaddr "all"
        set reputation-minimum 3
	set reputation-direction source
        set action accept
        set schedule "always"
        set service "ALL"
        set logtraffic all
        set auto-asic-offload disable
        set nat enable
    next
end

reputation-direction to kierunek początkowego ruchu, aby reputacja zaczęła działać.