Die FortiGate SSL Inspection ist der Prozess des Abfangens von SSL/TLS-verschlüsselter Internetkommunikation zwischen Client und Server, die man deaktivieren kann, wie etwa bei False Positive Ergebnisse. Das Abfangen kann zwischen dem Sender und dem Empfänger und umgekehrt (Empfänger zum Sender) ausgeführt werden. Es ist die gleiche Technik, wie sie bei Man-in-the-Middle (MiTM)-Angriffen ohne die Zustimmung beider Seiten verwendet wird.

FortiGate SSL Deep Inspection in der Praxis

Wenn Deep Inspection verwendet wird, gibt sich die FortiGate als Empfänger der ursprünglichen SSL Sitzung aus. Die FortiGate entschlüsselt und untersucht dann den Inhalt, um Bedrohungen zu finden und zu blockieren. Anschließend wird der Inhalt erneut verschlüsselt und an den echten Empfänger gesendet.

Symptom

In der Praxis kommt es dabei schon mal zu ungewollten Blockierungen. Insbesondere bei der Nutzung von Self-signed SSL-Zertifikate, dabei verhält sich die FortiGate wie eine Blackbox. Auch wird oft festgestellt, dass für Outlook Clients die Verbindung zum Exchange Server verweigert wird, dabei Outlook folgenden Fehler ausgibt.

Es liegt ein Problem mit dem Sicherheitszertifikat des Proxyservers vor.
Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Namen mail.example.org überein.
Outlook kann keine Verbindung zum Proxy-Server herstellen. (Fehlercode 8000000).

Workaround

Um die FortiGate SSL Inspection ganz zu deaktivieren, kann man unter Security Profiles – SSL/SSH Inspection, für das Read-only Profile no-inspection ein Clone anlegen, und diesen entsprechend konfigurieren.

Unter Protocol Port Mapping wird für HTTPS ein ungenutzten Port eingetragen. Hierdurch findet über Port 443 keine SSL Deep Inspection mehr statt.

Das konfigurierte Profile custom-no-inspection für die entsprechnden Policy aktivieren. Für internes routing und in VPN Verbindungen sollte eine SSL Deep Inspection Policy nicht erforderlich sein.

Visual Basic Script Message-Box Pop-up Fenster

IT-Administratoren haben die Möglichkeit, den Benutzern bei der Anmeldung am Arbeitsplatz Informationen anzeigen zu lassen.

Es eignet sich zu diesem zweck die Visual Basic Script MsgBox-Funktion. Dazu die folgenden 3 Zeilen in ein Editor (Notepad) einfügen und den Inhalt zum Beispiel als Datei „logon.bat“ speichern.

echo msgbox("Guten Morgen Mitarbeiter. Bitte Kaffee bei mir nehmen. Vielen Dank und ein schönen Tag"),vbInformation ,"Nachricht"> %temp%\msg.vbs
%temp%\msg.vbs
erase %temp%\msg.vbs

Der VB-Script erzeugt ein Pop-up Fenster mit Information, durch die MsgBox-Funktion. Die Datei msg.vbs wird im Pfad %temp% gespeichert, und nach der ausführung wieder gelöscht.

Der Benutzer kann das geöffnete Fenster mit Klick auf OK schliessen.

In der AD Benutzerverwaltung (dsa.msc) bei den Benutzern im Tab Profile bei Logon script den Dateinamen (logon.bat) eintragen.

Bei Windows Domäne die Datei unter \\server\netlogon speichern.

  Die Freigabe netlogon befindet sich auf dem Server unter %systemroot%\SYSVOL\sysvol\[domain]\scripts. Wird bereits ein Logon Script verwendet, können die Code Zeilen in diesen Script eingefügt werden.

Microsoft Visual Basic Scripting Edition

VBScript („Microsoft Visual Basic Scripting Edition“) is an Active Scripting language developed by Microsoft that is modeled on Visual Basic. It allows Microsoft Windows system administrators to generate powerful tools for managing computers without error handling and with subroutines and other advanced programming constructs. It can give the user complete control over many aspects of their computing environment.

VBScript uses the Component Object Model to access elements of the environment within which it is running; for example, the FileSystemObject (FSO) is used to create, read, update and delete files. VBScript has been installed by default in every desktop release of Microsoft Windows since Windows 98; in Windows Server since Windows NT 4.0 Option Pack; and optionally with Windows CE (depending on the device it is installed on).

A VBScript script must be executed within a host environment, of which there are several provided with Microsoft Windows, including: Windows Script Host (WSH), Internet Explorer (IE), and Internet Information Services (IIS). Additionally, the VBScript hosting environment is embeddable in other programs, through technologies such as the Microsoft Script Control (msscript.ocx).