Forum

Fortigate bazı site...
 
Bildirimler
Hepsini Temizle

[Çözüldü] Fortigate bazı sitelere erişilmiyor.

18 Yazılar
7 Üyeler
8 Reactions
5,977 Görüntüleme
(@serdark54)
Gönderiler: 46
Trusted Member
Konu başlatıcı
 

Merhaba, günlük olarak sık kullandığımız bir çok siteye bugün itibariyle erişemiyoruz. Web filtrelemeyi kapattığım halde bu sorun devam etmektedir. Bu konu ile ilgili yardımcı olur musunuz?
Siteler;

n11.com

gibi

Sanırım sertifika sorunu var ama hangi sertifikayı kullanmam gerekiyor bilemiyorum.

 
Gönderildi : 01/10/2021 11:12

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Konu bunun ile ilgili sanırım

Lets encrypt kök sertifikasinin suresi doldugu icin lets kullanan sayfalara Fortigate veya diger firewall cihazlarindan erisirken sorun yasayacaklar expired certificates allow demek gerekiyor bunun içinde.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 01/10/2021 12:50

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Ama tabi bu bir güvenlik riski, ama hızlı çözülür diye düşünüyorum çünkü aktif çok kullanılan bir sistem bu.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 01/10/2021 12:51

(@qvkare)
Gönderiler: 21
Eminent Member
 
Gönderen: @hakanuzuner

Konu bunun ile ilgili sanırım

Lets encrypt kök sertifikasinin suresi doldugu icin lets kullanan sayfalara Fortigate veya diger firewall cihazlarindan erisirken sorun yasayacaklar expired certificates allow demek gerekiyor bunun içinde.

Hocam bende de aynı sorun var ilk sorum ''expired certificates allow'' bölümünü tam olarak nereden yapıyoruz, ikinci sorum sertifikalar bölümüne baktığımda hepsinin süresi var gözüküyor kök sertifikayı nereden yönetebilirim? Teşekkür ediyorum

 
Gönderildi : 01/10/2021 12:56

(@qvkare)
Gönderiler: 21
Eminent Member
 
Gönderen: @qvkare
Gönderen: @hakanuzuner

Konu bunun ile ilgili sanırım

Lets encrypt kök sertifikasinin suresi doldugu icin lets kullanan sayfalara Fortigate veya diger firewall cihazlarindan erisirken sorun yasayacaklar expired certificates allow demek gerekiyor bunun içinde.

Hocam bende de aynı sorun var ilk sorum ''expired certificates allow'' bölümünü tam olarak nereden yapıyoruz, ikinci sorum sertifikalar bölümüne baktığımda hepsinin süresi var gözüküyor kök sertifikayı nereden yönetebilirim? Teşekkür ediyorum

3331
123

Dediğiniz gibi sertfikanın süresi dolmuş gözüküyor.

Bu ileti 3 yıl önce Selahattin Özcan tarafından düzenlendi
 
Gönderildi : 01/10/2021 12:59

(@serdark54)
Gönderiler: 46
Trusted Member
Konu başlatıcı
 

Fortigate cihazindan settings bölümüne sonra SSL/SS inspection bölümüne girip, fotoğrafta ki ayarların aynısı olacak şekilde yeni bir SSL/SS inspection oluşturmak gerekiyor sorunun çözülmesi için.

 

Bu ileti 3 yıl önce Serdar Karaarslan tarafından düzenlendi
 
Gönderildi : 01/10/2021 13:52

(@salihbulut)
Gönderiler: 91
Estimable Member
 
Gönderen: @hakanuzuner

Konu bunun ile ilgili sanırım

Lets encrypt kök sertifikasinin suresi doldugu icin lets kullanan sayfalara Fortigate veya diger firewall cihazlarindan erisirken sorun yasayacaklar expired certificates allow demek gerekiyor bunun içinde.

Yararlı bilgi. Teşekkürler Hakan hocam.

Yanlız çok ilginç bir durum. "Letsencrypt.org" dahi bir çok site hala açılmıyor ve hala resmi bir açıklama yok bu durumla alakalı.

 
Gönderildi : 01/10/2021 14:25

(@qvkare)
Gönderiler: 21
Eminent Member
 
Gönderen: @serdark54

Fortigate cihazindan settings bölümüne sonra SSL/SS inspection bölümüne girip, fotoğrafta ki ayarların aynısı olacak şekilde yeni bir SSL/SS inspection oluşturmak gerekiyor sorunun çözülmesi için.

 

''Invalid SSL certificates'' direkt allow yaptığım halde bile değişiklik olmadı hocam ben de 

 

 
Gönderildi : 01/10/2021 14:32

(@serdark54)
Gönderiler: 46
Trusted Member
Konu başlatıcı
 

@qvkare 

O sayfa da eğer altta ki fotoğrafta yer alan policylerden kilit işaretliyi değiştirmeye çalışıyorsanız işe yaramıyor yaptığınız değişiklik. Üstte ki mesajımda bulunan fotoğrafın birebir aynısını içeren yeni bir policy oluşturursanız sistem düzelmesi gerekiyor arkadaşım o şekilde yaptı düzeldi.

1

 

 
Gönderildi : 01/10/2021 14:50

(@qvkare)
Gönderiler: 21
Eminent Member
 
Gönderen: @serdark54

@qvkare 

O sayfa da eğer altta ki fotoğrafta yer alan policylerden kilit işaretliyi değiştirmeye çalışıyorsanız işe yaramıyor yaptığınız değişiklik. Üstte ki mesajımda bulunan fotoğrafın birebir aynısını içeren yeni bir policy oluşturursanız sistem düzelmesi gerekiyor arkadaşım o şekilde yaptı düzeldi.

1

 

Dediğiniz gibi yeni bir policy oluşturdum yazınızdaki gibi ve birebir aynısını yaptım ama değişmedi. kilitli certiface da cli console dan işlem yapıp allow haline getirebilir miyim acaba?

 
Gönderildi : 01/10/2021 15:02

(@serdark54)
Gönderiler: 46
Trusted Member
Konu başlatıcı
 

@qvkare Bu işlem için yeterli bilgiye sahip değilim maalesef.

 
Gönderildi : 01/10/2021 15:39

(@qvkare)
Gönderiler: 21
Eminent Member
 
Gönderen: @serdark54

@qvkare Bu işlem için yeterli bilgiye sahip değilim maalesef.

teşekkür ederim, fortigate uzmanı @hakanuzuner hocamı bekliyorum 🙂

Bu ileti 3 yıl önce Selahattin Özcan tarafından düzenlendi
 
Gönderildi : 01/10/2021 15:42

ibrahim yildiz
(@ibrahimyildiz)
Gönderiler: 4596
Co-Helper
 

Support'unuz yok mu durumunuzla ilgili ticket açarsanız daha hızlı çözüm bulursunuz.

'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 01/10/2021 16:59

(@cumhuraltan)
Gönderiler: 704
Üye
 

Selamlar  ,

 

@serdark54  @qvkare 

Aşağıdaki işlemler ile  geçici  çözüm sağlanabilir  ilgili  döküman Distribütör  tarafından  paylaşılmıştır.

 

Bir kök sertifika yetkilisinin (ISRG Root X1) sertifika zinciriyle ilgili devam eden bir sorun tespit edilmiştir. Bu sorun, ister derin (deep) ister yalnızca sertifika denetimi kullanılıyor olsun, tüm SSL denetim ürünleri satıcılarını etkileyecektir.
Bu makalede 30.09.2021 itibariyle baş gösteren, ISRG Root CA sertifikası kullanan web sitelerindeki sertifika hatasının geçici olarak FortiGate sistemlerinde nasıl önleneceği anlatılmaktadır.

 

Öncelikle sisteminizin konfigürasyon yedeğini almalısınız.

 

image

Kurallarınızda kullanılan “SSL/SSH Inspection” profilinizde aşağıdaki gibi “Expired certificates” alanını “Allow” şeklinde düzenlemelisiniz :

 

image

 

Eğer “Deep Inspection” türünde bir derin (deep) ssl/ssh profil kullanıyorsanız, ayar aşağıdaki gibi olmalıdır :

 

image

 

* Eğer, “certificate-inspection” veya “deep-inspection” isimli, değiştirilemeyen profilllerden birini kullanıyorsanız, varolan bu profili aşağıdaki gibi klonlayarak, yeni bir profil olarak kaydetmeli ve gerekli değişikliği uygulayarak kurallarınızda aktif etmelisiniz.

 

***************************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
***************************************************************************
Probleminiz çözüldüğünde, Konunuzu "ÇÖZÜLDÜ" olarak işaretleyerek benzer problemi yaşayanlara yardımcı olabilirsiniz.

 
Gönderildi : 01/10/2021 17:18

(@qvkare)
Gönderiler: 21
Eminent Member
 
Gönderen: @ibrahimyildiz

Support'unuz yok mu durumunuzla ilgili ticket açarsanız daha hızlı çözüm bulursunuz.

 Hocam kendim çözmek istiyorum desteğimiz var ama öğrenmek istiyorum

 
Gönderildi : 01/10/2021 17:18

(@qvkare)
Gönderiler: 21
Eminent Member
 
Gönderen: @cumhuraltan

Selamlar  ,

 

@serdark54  @qvkare 

Aşağıdaki işlemler ile  geçici  çözüm sağlanabilir  ilgili  döküman Distribütör  tarafından  paylaşılmıştır.

 

Bir kök sertifika yetkilisinin (ISRG Root X1) sertifika zinciriyle ilgili devam eden bir sorun tespit edilmiştir. Bu sorun, ister derin (deep) ister yalnızca sertifika denetimi kullanılıyor olsun, tüm SSL denetim ürünleri satıcılarını etkileyecektir.
Bu makalede 30.09.2021 itibariyle baş gösteren, ISRG Root CA sertifikası kullanan web sitelerindeki sertifika hatasının geçici olarak FortiGate sistemlerinde nasıl önleneceği anlatılmaktadır.

 

Öncelikle sisteminizin konfigürasyon yedeğini almalısınız.

 

image

Kurallarınızda kullanılan “SSL/SSH Inspection” profilinizde aşağıdaki gibi “Expired certificates” alanını “Allow” şeklinde düzenlemelisiniz :

 

image

 

Eğer “Deep Inspection” türünde bir derin (deep) ssl/ssh profil kullanıyorsanız, ayar aşağıdaki gibi olmalıdır :

 

image

 

* Eğer, “certificate-inspection” veya “deep-inspection” isimli, değiştirilemeyen profilllerden birini kullanıyorsanız, varolan bu profili aşağıdaki gibi klonlayarak, yeni bir profil olarak kaydetmeli ve gerekli değişikliği uygulayarak kurallarınızda aktif etmelisiniz.

 

Hocam elinize sağlık teşekkür ederim

 
Gönderildi : 01/10/2021 17:20

(@ahmetelmas-2)
Gönderiler: 3
Active Member
 

Deep Inspection profillerinde yukarda anlatıldığı gibi Expired Certificate için davranışını Trust&Allow yaptık. 

Certificate Inspection profili Read-Only olduğu için bu ayarı değiştirilemiyor bu yüzden bu profili klonlayarak (bir kaç yerde klonlamaya da izin vermedi bu yüzden cli üzerinden yaptık) veya aşağıdai şekilde CLI üzerinden yeni profil açıp Certificate Inspection yerine bu yeni profili kullandık. Şu an bi sorun yok.

 

config firewall ssl-ssh-profile
edit "cert_insp_allow_all"
config https
set ports 443
set status certificate-inspection
set expired-server-cert allow
set cert-validation-failure allow
end
config ftps
set status disable
set expired-server-cert allow
set cert-validation-failure allow
end
config imaps
set status disable
set expired-server-cert allow
set cert-validation-failure allow
end
config pop3s
set status disable
set expired-server-cert allow
set cert-validation-failure allow
end
config smtps
set status disable
set expired-server-cert allow
set cert-validation-failure allow
end
config ssh
set ports 22
set status disable
end
config dot
set status disable
set expired-server-cert allow
set cert-validation-failure allow
end
next
end

 
Gönderildi : 02/10/2021 09:25

(@qvkare)
Gönderiler: 21
Eminent Member
 

https://www.fortinet.com/blog/psirt-blogs/fortinet-and-expiring-lets-encrypt-certificates?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+fortinet%2Fblogs+%28Fortinet+All+Blogs%29

yine dediğiniz gibi kilitli olduğu için üsttekiler bende de işe yaramadı ama sonra yukarıdaki bloğu buldum orada yazan cli üzerinden 

config system dns-database
    edit "1"
        set domain "identrust.com"
        config dns-entry
            edit 1
                set hostname "apps"
                set ip 127.0.0.1
            next
        end
    next
end

yaptım sorun çözüldü teşekkürler yardımcı olan herkese

Bu ileti 3 yıl önce Selahattin Özcan tarafından düzenlendi
 
Gönderildi : 02/10/2021 10:01

Paylaş: