ささの備忘録

ITインフラSEの備忘録です ITインフラを中心に、 日々忘れないがちな事を、つぶやいていきます

2019年10月

FortiGateで「deep-inspection」を使う-③

こんにちは、ささです

家で使っているのは、FortiGate60Dで「deep-inspection」試していて、最近気づいたのが・・たかが1~2台でも、60Dで「deep-inspection」は厳しい!!

先日、何気なく、deep-inspectionのテストをしている、ノートPCで、動画をみていたところ、
「なんか、カクカクするな・・」と思い、気のせいかなと思っていたのですが、

FortiGateのダッシュボードをみたところ、CPU負荷が高い!!

1

自宅で、しかもテストだからいいけど・・
職場では使えないな・・と思いました。まぁ、60Dなんて、もう売ってないから使わないかぁー
と思いつつ。。
今度は、ヤフオクでEシリーズを買おうと思いました


続きを読む

FortiGateで「deep-inspection」を使う-②

こんにちは、ささです

前回、FortiGateで『deep-inspection』を使う-①で、WindowsPC1台で、deep-inspectionを試しました

使用して1週間くらい経ちますが、まったく違和感なく使えていて・・
最初の、証明書をインストール手間だけクリア出来れば、ある程度は何とかなるなという感じです

とは言っても、インターネット接続する機器は、WindowsPCだけではなく、iphone、android、その他いろいろです。証明書を入れることができない「その他いろいろ」はおいておいて、今回はまず、IOS端末を接続してみたいと思います

iPadのSSL通信をインスペクションする

iphoneでやってもいいのですが、何かとiPad(古い)の方が、画面が大きくて操作しやすので、今回はiPadで試してみたいと思います
1


1.FortiGateで前回作成した「deep-inspection」を適用したポリシーに、iPadを追加します
 ① まずiPadのアドレスオブジェクトを作成します
  「ポリシー&オブジェクト」-「アドレス」-「新規作成」
 2

 ② ポリシーにiPadオブジェクトを追加します
  前回作成した「deep-inspection TEST」ポリシーに、iPadを追加します
 3

2.iPadでインターネット通信を確認します
 yahooを開こうとすると、識別情報確認画面が表示されます
 5

 メールも開きません
 6


iPadにFortiGateの証明書をインストールする

iPadへの証明書の受け渡しですが、今回はメールに添付します
※メールで受け渡しは、ポリシー設定前に実施します、そうしないと受け取れない・・

1.FortiGateの証明書(Fortinet_CA_SSL.cer)を添付しメールを送ります

2.iPadで受信したメールを開きます
 7

2.添付された証明書ファイルをクリックすると、プロファイルのインストール画面が開きます
 「インストール」をクリック
 8

3.自己証明書なので、警告はでますが、再度「インストール」をクリック
 9

4.iPadのパスコードを入力
 10

5.しつこいですが、「インストール」をクリック
 11

6.インストールが完了しました。プロファイルに追加されている事がわかります
 12

7.インターネットアクセスを確認します※再度deep-inspectionポリシーにiPadを追加します。警告なく閲覧可能になりました
 13

 メールも問題なく送受信できるようになりました

 




FortiGateで「deep-inspection」を使う-①

こんにちは、ささです

以前、「FortiGateのSSLインスペクションで『deep-inspection』を使う」で、「deep-inspection」を設定してみました。
ただ、その時は、試しただけで、その後は「certificate-inspection」を使っているので、
「使えるのか?」
「手間はどのくらいかかるか?」

がわかりません。

今時、WebはほとんどSSLなので、「deep-inspection」にしなかったら、FortiGateでAntiVirusなんて効かせても、意味ないですよーねー

「certificate-inspection」では、SSL通信を復号化しないので、SSL通信に含まれるマルウェアは検知できない!!

せっかく、自宅のゲートウェイは「FortiGate60D」なので・・
「実際に使って試せば、いいじゃん」
ということで、

全体に「deep-inspection」を効かせてしまうと、色々と問題が出てしまうので、
まずは、自分のPC1台で設定して・試してーー>全体に設定、という流れにしたいと思います


PC1台に「deep-inspection」を設定

まずは、対象PC(Panasonic CF-MX3)のアドレスオブジェクトを作成します

1

「ポリシー&オブジェクト」-「アドレス」で、新しいアドレスオブジェクトを作成します
2

「ポリシー&オブジェクト」-「IPv4ポリシー」で、新しいポリシーを作成します
 ※SSLインスペクションを「deep-inspection」に
3

作成したポリシーを、デフォルトポリシー(対象LANすべて)の上に移動します
4

以上で、FortiGate側の設定は、ひとまず完了

クライアントPC側の設定

そのまま、インターネット(www.yahoo.co.jp)に接続してみると、
「証明書エラー」が表示されます
今時、yahooのサイトもSSLですよー
2019-10-19 (1)

証明書エラーを出さないために、FortiGateの証明書をインストールします

「システム」-「証明書」-「ローカル証明書」-[Fortinet_CA_SSL]をダウンロードします
6

「deep-inspection」ポリシーを適用した、CF-MX3に証明書をインストールします
インストール手順は、以前の記事
「FortiGateのSSLインスペクションで『deep-inspection』を使う」
を参照してくださいね
7

インストールが完了すると、証明書エラー表示がでなくなります
8

これで、クライアントPC側の設定は、ひとまず完了

しばらく使ってみて、対応した事や、不具合等々でてくるかと思います
その②で、また報告させていただきます



続きを読む

また「ワイヤレスイヤホン」を買ってみた

こんにちは、ささです。

以前、「Bluetoothワイヤレスイヤホンを買った」でも書きましたが、ワイヤレスイヤホンを買いましたが、合わなくて、使わなくなった事がありました。

その後、走りながら使うことが多かったので、走っても外れないような、フックの付いた有線イヤホンを買って使ってました。
使っていたのは、「audio-technica ATH-SPORT1」です
1
使っていたのは、半年くらいでしょうか
悪くはなかったのですが・・先月、壊れて使えなくなってしまいました

フックの部分が弱くて、使っていくと・・
・耳にかけるフックの部分が破損
・さらに、可動部分が外れる

2

使い方が荒いのか、両耳とも同じ場所が壊れてしまいました
さらに、ケーブルの接触も悪くなり、聞こえにくくなり・・しぶしぶ捨てることに

「やっぱり、シンプルでケーブルのないワイヤレスがいいなぁ」ということで、
再度、ワイヤレスイヤホンを買うことにしました

今回は、失敗しても良いように、「安い」ものを選ぶ事にしました

また、ワイヤレスイヤホンを買った

早速、Amazonで、「値段が安く」て、「見た目が良さそう」なものを選び
「ぽちり」ました

買ったのはこれ、1,800円くらい。82%オフって、定価って意味ないよなぁ
3


で、昨日届き、使い始めました
4

まだ、1日しか使っていませんが、感じた事
<良い点>
・値段の割に見た目が良い(高級感あり)
・イヤホンが軽いし、ケーブルもつながっているので、なくなる心配がない
・やっぱり、ケーブルがつながってないっていい!使いたくなります

<いまいちな点>
・音がこもり気味(値段相応でしょうか)


こんな感じです。

まだ、1日しか使っていないので、しばらく使って、またレビューしますね


続きを読む
スポンサードリンク
プロフィール

ささ

名前:ささ
関東地方に住む40代、子供2人と妻と猫とで暮す
主に「ITインフラ系」の構築に携わる。今の会社は転職の末、お世話になり早20数年。保有資格は、「ネスペ」「セスペ」など
最近、「ソロキャンプ」「DIY」を趣味にするため、いろいろと準備中