Comunidad FORTIGATE.es

Hola a todos soy nuevo en el uso del fortigate-a100 y estoy aprendiendo a usarlo el mismo ya esta en produccion mis firmas ips me detectaron un ataque adjunto los logs

essage meets Alert condition
The following intrusion was observed: "applications: MS.PowerPoint.Malformed.NamedShows.Record.Code.Execution".
date=2009-04-15 time=14:40:12 devname=FG100A3907511672 device_id=FG100A3907511672 log_id=0419070000 type=ips subtype=signature pri=alert vd=root fwver=040000 policyid=1 serial=10731 attack_id=13590 severity=critical carrier_ep=N/A profile=N/A sensor="protect_client" src=65.55.85.7 dst=192.168.97.21 src_port=80 dst_port=50424 src_int="wan1" dst_int="internal" status=detected proto=6 service=50424/tcp user=N/A group=N/A ref="http://www.fortinet.com/ids/VID13590" count=1 incident_serialno=1447711475 msg="applications: MS.PowerPoint.Malformed.NamedShows.Record.Code.Execution"


essage meets Alert condition
The following intrusion was observed: "tcp_reassembler: TCP.Stealth.Activity, paws out-of-range".
date=2009-04-15 time=14:55:38 devname=FG100A3907511672 device_id=FG100A3907511672 log_id=0419070000 type=ips subtype=signature pri=alert vd=root fwver=040000 policyid=1 serial=16909 attack_id=107937794 severity=low carrier_ep=N/A profile=N/A sensor="protect_client" src=70.38.40.114 dst=192.168.97.21 src_port=80 dst_port=54227 src_int="wan1" dst_int="internal" status=detected proto=6 service=54227/tcp user=N/A group=N/A ref="http://www.fortinet.com/ids/VID107937794" count=1 incident_serialno=1447711477 msg="tcp_reassembler: TCP.Stealth.Activity, paws out-of-range"

ssage meets Alert condition
The following intrusion was observed: "tcp_reassembler: TCP.Stealth.Activity, paws out-of-range".
date=2009-04-15 time=13:42:03 devname=FG100A3907511672 device_id=FG100A3907511672 log_id=0419070000 type=ips subtype=signature pri=alert vd=root fwver=040000 policyid=1 serial=319512 attack_id=107937794 severity=low carrier_ep=N/A profile=N/A sensor="protect_client" src=200.41.88.16 dst=192.168.97.21 src_port=80 dst_port=40955 src_int="wan1" dst_int="internal" status=detected proto=6 service=40955/tcp user=N/A group=N/A ref="http://www.fortinet.com/ids/VID107937794" count=1 incident_serialno=1117634675 msg="tcp_reassembler: TCP.Stealth.Activity, paws out-of-range"

y otro log donde el source es mi fuente y el destino ip publicas, basicamente ya he tomado las medidas revisando el log de mi proxy para ver las pc y tomar las medidas correctivas-

el problema que tengo ahora es que el fortigate me ha baneado mi proxy bloquenadole el acceso y en el browser me da este mensaje An attack was detected, originating from your system. Please contact the system administrator.

me gustaria me den una mano para quietar el banner de mi proxy y que recomendaciones me pueden dar acerca de los logs que estoy recibiendo.

Les quedo agredecidos por la atencion a mi inquietud.

Saludos
Fernando

hola, como estas?.Contanos antes que firmware tenes y como es tu esquema de red.
tenes el fortigate y a demas un proxy? que hace tu proxy ?

como tenes configurado el ips? tendrias que revisar que firmas estas aplicando.

saludos
Gabriel

Hola Gabriel te contesto
mi unidad es un fortigate-a100 con foritos 4.0
mi esquema de red es el siguiente

ISP1--------- |
|----------> Fortigate-a100------>Switch Cisco 3750(donde esta conectada la Lan) |------>Proxy Linux con iptables
ISP2--------- |
|----> Clientes

Los clientes hacen la peticion web al proxy que no es transparente y este a la vez sale al Fortigate, tuve ciertos alertas de synflood como habras apreciado en los log que puse, el porblema esta que con unos de los administradores para bloquear los synflood pusimos en la opcion porner en cuarentena indefinidamente a la ip atacante y me banea mi ip del proxy.

en la proteccion ips estoy usando la default (protect_client protect against client-side vulnerabilities [Editar] ) a la cual el unico cambio que le hice fue lo quwe mencione mas arriba horita, lo que mas me interesaria saber es como desbloqeuo o quito el banner que hizo el fortigate a mi proxy, y bueno mas adelante ver que configuracion o medidas puedo realizar.

Saludos

hola, ya estas usando el 4.0 ? es muy nuevo. Bien. Tenes politidas de dos?

para que usas el proxy ????????? que es loquye haces ahi que no podrias hacer en el fortigate?

saludos

hola, ya estas usando el 4.0 ? es muy nuevo. Bien. Tenes politidas de dos?
Si tiene politicas dos, estoy usando las que trae por default

para que usas el proxy ????????? que es loquye haces ahi que no podrias hacer en el fortigate?

por esquema de la red se usa el proxy para todas las peticiones web de los clientes, los clientes no salen por nat si no por el proxy server, se que puedo sacarlos por el forti, pero el esquema cuando entre a trabajar en esta empresa estaba asi, mas bien ellos tenian los fotigate en un rincon sin uso y puse uno de ellos operativos, ademas el proxy actua de firewall con iptables haciendo un back to back en la protección.

El problema que tengo es que el fortigate me baneo mi proxy y me gustraia saber como desbanearlo por asi decirlo

Hola, como estas? lo que haces con el proxy podes hacerlo con el fortinet, pero bueno no importa.

a que le llamas banearlo? en los post que pusiste fueron logs de ips, tu salida de internal a wzn, siempre viene de la ip del proxy, eso es una contra que tenes, que no podes determinar por ip local a quien bloquearlo algo y a quien no.
pero deberias tener una politica de la ip del proxy hacia internet, y ahi no pongas ips , salvo que sea algo especifico.

saludos
gabriel

Gracias Gabriel por tu respuesta y atencion.

Te cuento que el unico que tiene salida al internet es el proxy, pero el problema es que el fortigate me baneo la ip de mi proxy como tal y cuando trata de salir con esa ip fija me dice que ha sido bloqueado, por el momento para salir del bache le cambie la ip al proxy, hay una referencia como desbloquear esa ip?

me llamo mucho la atencion de que el fortigate puede hacer lo mismo, una consulta osea via nat o tambien tiene la capacidad de proxear???? , he visto las bondades de este equipo y es verdad ser puede hacer las mismas politicas como un proxy..

te quedo agradecido por tu gestion.