Heartbleed_Hazards

Heartbleed Vs FortiGate

Como todos devem estar acompanhando, a vulnerabilidade Heartbleed é uma vulnerabilidade critica existente a muito tempo no OpenSSL porém só foi reportada no inicio de abril de 2014, como podem conferir no site dedicado a vulnerabilidade http://heartbleed.com

O artigo não é dedicado a vulnerabilidade, pois já existem toneladas de material falando sobre ela na internet, na Wikipédia é possível entender bem como é realizada a exploração da vulnerabilidade. Este artigo tem como finalidade ilustrar um problema que passei com uma atualização lançada as pressas pela Fortinet para correção do Bug no FortiGate.

A Fortinet teve um tempo de resposta incrivelmente satisfatório ao lançar um firmware de correção do bug, porém atualizei para este firmware e comecei a ter problemas com as VPNs SSL, que funcionavam perfeitamente antes do upgrade, conferi minuciosamente todas as configurações e estava ok, porém todo o trafego era tratado na regra que aceitava a conexão de autenticação e não na regra de controle entre rede de VPN e redes protegidas.

Me lembrei então que antes de atualizar eu realizei testes de vulnerabilidade e os servidores atrás do firewall que inclusive eram vulneráveis na versão do OpenSSL não apresentavam a vulnerabilidade para a Internet, então verifiquei e encontrei a assinatura de IPS “OpenSSL.TLS.Heartbeat.Information.Disclosure” que protege exatamente desta vulnerabilidade, então resolvi aplicar nas regras de entrada do firewall para testar e obtive sucesso em proteger da vulnerabilidade.

Irei descrever então os passos necessários comentando cada um para que todos sejam capazes de aplicar, considerando que a versão do seu firewall está entre a 5.0 e 5.0.6 que são as versões afetadas.

Atenção, antes de qualquer alteração no seu firewall, faça um backup das configurações.

  1. Levante as portas SSL de entrada do seu firewall que são a porta de administração e a porta de VPN SSL, que iremos considerar para fins ilustrativos a porta 4443 e 10443 consecutivamente.
  2. Crie os objetos de firewall para estes serviços (podendo ser na GUI na qual não descreverei ou na CLI que se encontra exemplificada)
    config firewall service custom
    edit “HTTPS_Admin”
    set category “Web Access”
    set tcp-portrange 4443
    next
    edit “HTTPS_VPNSSL”
    set category “Web Access”
    set tcp-portrange 10443
    next
    end
  3. Com os objetos criados, criamos então um perfil de IPS para proteção do firewall com os comandos abaixo. Neste sensor estou colocando somente a assinatura especifica do Heartbleed, mais podemos colocar outras proteções de vulnerabilidades criticas e altas de SSL substituindo a linha “set rule 38307” por “set rule 308307 14694 23855 12519 37986 29368 30409”
    config ips sensor
    edit “protect_firewall”
    config entries
    edit 1
    set action block
    set rule 38307
    set status enable
    next
    end
    next
    end
  4. Agora já temos todas as dependências criadas para criação da regra, vamos criar a regra propriamente dita com os comandos abaixo, considerando que a interface de internet usada é chamada de “wan1”, caso tenha vários links e não utilize zonas, terá que criar uma para cada interface, no caso de se utilizar zonas, basta utilizar o nome da zona.
    config firewall interface-policy
    edit 0
    set interface “wan1”
    set srcaddr “all”
    set dstaddr “all”
    set service “HTTPS_Admin” “HTTPS_VPNSSL”
    set ips-sensor-status enable
    set ips-sensor “protect_firewall”
    next
    end
  5. Pronto, agora pode testar a vulnerabilidade o observe o log do firewall, ele deve estar apontando no log de IPS um log similar a este
    logheartbleed

Pronto, seu firewall se encontra protegido e livre de problemas devido a lançamentos emergenciais de firmware. Boa Sorte!

The following two tabs change content below.
Atua como Analista de Segurança da Informação Sênior em uma empresa de consultoria de Segurança da Informação e Tecnologia do interior de São Paulo. Trabalha com computação desde 1998 e iniciou suas atividades como Analista de Segurança da Informação em 2002 prestando consultoria e participando de projetos voltados a Segurança da Informação. Também é sócio de uma empresa de soluções de Alta Disponibilidade.

Deixe uma resposta