ささの備忘録

ITインフラSEの備忘録です ITインフラを中心に、 日々忘れないがちな事を、つぶやいていきます

ファイアウォール

2019年09月05日22:05
カテゴリ
IT
ファイアウォール

FortiGateのDynamic DNS設定

こんばんはささです。

最近、忙しく、ブログの更新さぼってました
涼しくなってきたことですし、まめに更新していきたいと思います

久々に、FortiGateについて

少し前になりますが、FortiGateの入れ替えの話があり、入れ替え対象はFortiOS4.Xと古く、
設定を確認していたところ・・

「Dynamic DNS」使っていました

あれっ、最近のFortiOSって「Dymamic DNS」なんてあったか?
確認してみましたが、「DNS設定」箇所にもみつかりませんでした
ddns01

機能がなくなったのか~と、その時は終わってしまったのですが、
先日ふとした事で、機能があることに気づきました

Dynamic DNS設定

今まで、FortiGateに設定するDNSサーバーは、プロバイダーが良いと思ってました

何故かというと、デフォルトで設定されている
「FortiGuard DNS」って、何だか、動いているのか?動いていないのか?そもそも遅くないか?と思っていたからです

なので、自宅のFortiGate60Dも、導入設置後、ずっとプロバイダーDNSサーバーのアドレスを
設定していました

そんな中、Fortinet技術の方とお話するタイミングがあり、
「FortiGateのセキュリティ機能を活用するには、FortiGuard DNSを指定する必要があります」
といわれました。
具体的には、「DNSフィルタ」で設定する、Botネット・C&Cサーバーブロックには、FortiGuard DNSの指定が必須のようです

ならば、家のFortiGateの設定も変えようと思い、変更してみました
すると、「Dynamic DNS設定が出たーっ」

ddns02

試しに、設定してみました
ddns03

しっかり、名前解決も出来ました。
ddns04

これから、FortiGateを設置する時、システムDNSサーバーは、FortiGurd DNSに設定しようと思います


2019年04月06日11:40
カテゴリ
IT
ファイアウォール

FortiGateの『deep-inspection』について

こんにちは
今日は天気も良くて、花見日和です
こんな日は、公園で花見しながら、ビールですよぉ
でも、年々面倒くなり、ゴロゴロしながら、漫画読んだり、YouTube見たりが、最近の定番です

以前「FortiGateのSSLインスペクションで『deep-inspection』を使う」で、お話の続きです、今回は、もう少し「SSLインスペクション」を掘り下げてみたいと思います

具体的には、HTTPSでアクセス時、ダウンロードしたファイルのウィルススキャンが実施されるか?実施されないか?を試してみたいと思います

調べる限りでは、

・『certificate-inspection』:スキャンが実施されない
・『deep-inspection』:スキャンが実施される

です。では、早速試してみました!

『certificate-inspection』ではどうか?

自宅で使用しているFortiGate60Dの、[internal]->[wan1]に、「AVプロファイル」と「certificate-inspection」を適用します
deep01

PCから、テストウィルスファイル「eicar」をダウンロードします
まずは、HTTPプロトコルでダウンロード実施
deep02

すると、きっちりFortiGateで検出してくれました
deep03

次に、HTTPSプロトコルでダウンロードします
deep04

「あれっ」検出されず、ダウンロードされてしまいました
deep05

やはり、「certificate-inspection」では、HTTPSでアクセス時のウィルスキャンは、実施されないようです

『deep-inspection』ではどうか?

次に、「deep-inspection」を適用してみます
deep06

PCから、テストウィルスファイル「eicar」をHTTPSプロトコルでダウンロードします
deep04


きっちりと、テストウィルスを検出してくれました
deep07

この結果からも、HTTPS通信を保護できていなければ、セキュリティが確保できているとは言えません。面倒ですが、ぜひ、『deep-inspection』を使用しましょう!
2019年03月30日12:05
カテゴリ
IT
ファイアウォール

「FortiGate60D」をUSB経由で管理

こんにちは。

家の近くの公園でも、桜が見ごろになりつつあります
暖かかったら、絶対に花見に行くのですが、昨日から「とにかく寒い」です
この間まで、暑い日もあったのですが、これから花見というタイミングで、
寒くなるんて・・早く暖かくなって欲しいですね

話は変わりますが、先日、Fortinet社主催の「Webiner」に参加しました
「Wienerとは」
ウェビナーは、ウェブとセミナーを組み合わせた造語であり、Webセミナーやオンラインセミナーとも呼ばれる。インターネット上で行なわれるセミナーそのもの、もしくはインターネット上でのセミナーを実施するためのツールを指す

お話をされていたのは、「左門 至峰さん」です

私自身、”ネットワークスペシャリスト”を取得する際に、書籍やWebで良く見かけていましたし、1月にFortiGateの設定本を出版されていたので、是非聞きたいと思ってました

内容は、「 今、必要とされる企業ネットワークセキュリティの勘所」です
おおよそ知っている話が多かったのですが、その中で、

「FortiGateはUSB経由でiphoneで管理ができます」と・・

「えっ。。知らなかった」

という事で、早速試してみました


ipadを使ってFortiGateに接続する

本当は、iphoneを使いたかったのですが、私のスマホはandroidなので、娘のZ会用ipadを使います
ちょっと型は古いですが、まぁ大丈夫でしょう

ipad1

まずは、FortiGate管理用のアプリをダウンロードします
AppStoreで「Fortiexplorer」で検索すると、2個出てきますが、機能が多そうな「Fortiexplorer」をインストールします。ただ、機能制限を解除するには、課金が必要との事・・制限って、嫌な予感がします

ipad2

インストールが完了したら、ipadとFortiGateをUSBケーブルで接続します
ipad4

「Fortiexplorer」を起動すると、自動的に接続しているFortiGateが認識されます
ipad5

接続方式でUSBをクリックします
ipad6

ログイン情報を入力して「Done」をクリック
ipad7

無事接続できました。なんかいい感じのビューです
ipad8


「FortiExplorer」を使ってみる

設定変更はできるのでしょうか

インターフェイスのIPアドレスは変更出来るみたいです。
ipad9

ipad10

但し、ポリシーなどは設定変更や追加は出来ない感じですね
恐らく、このあたりが課金をすれば使用出来るようになるのでしょうか
ipad11

セッション情報をみたいと思い、FortiViewを開きましたが、こちらも思うように見えませんでした
ipad13

課金してみようかと思いましたが、Apple idが娘のものだった為か、ダメでした
ipad12

もし、本当に必要となったときに、制限なしで試してみようと思います。

ちなみに、「FortiExplorer Lite」も同じ感じでした
こちらの方が、見える範囲が狭い感じですね
ipad14


コンソールケーブルからCUIだと、分かりにくい部分を、補足する感じで使える気がします
タグ :
FortiGate
USB
管理
2019年03月20日06:32
カテゴリ
IT
ファイアウォール

FortiGate「プロキシモード」と「フローモード」の違い

おはようございます。

この頃、暖かいのは良いですが、花粉のつらい季節になりました。
鼻水は出るし、常に眠い・・
「はぁ~、早く終わってほしい」

今回は、FortiGateの「プロキシモード」と「フローモード」の違いについてメモします

ちなみに、家のFortiGate60Dは「フローモード」で動かしています

なぜかというと・・
最初は「プロキシモード」動かしていたのですが、遅い・・つながらない・・
がたびたびありました。

全てのUTM機能を、internal->wan1ポリシーに適用しているので、60Dの貧弱なスペックでは無理があるのでしょう。本当は、「プロキシモード」にしたいのですが・・

プロキシモード

フローベースよりセキュアで検知率が良い
パケット一旦バッファしてファイルを組み立ててからスキャンするため、多少の遅延がある。
スキャン可能なファイルサイズに制限がある。
デフォルトでは10MB※モデルにより変わります

フローモード

プロキシベースより検知率が低め。
パケット単位でスキャンするため、
ドキュメント、圧縮ファイルにマルウェアが組み込まれていると検知できない場合が多い。
感染したファイルを完全にブロックすることは不可。
スキャン可能なファイルサイズに制限がない。

補足

モードを変更することで、各UTMプロファイルの設定項目が変わります
プロキシモードは、その名前の通り、FortiGateがパケットをプロキシ(代理)してくれるので、より細かな設定が可能です

ですので、推奨は「プロキシモード」

ちなみに、プロキシモードで上限10MBは、以下コマンドで変更可能です

※この上限値は変更可能ですが、負荷やパフォーマンスに影響するため
値を大きくすることについては推奨されません。

■上限値の変更方法
===========================
config firewall profile-protocol-options
edit 【profile_name】
config 【protocol_name】
set oversize-limit 【size_integer】
end
===========================


このモード変更ですが、業務で使用している機器で、実施する場合は、影響が大きいので、皆さんの使っていない時間に実施し、実施後は直ぐに切り戻せるように、慎重に実施しましょう


2019年02月10日12:18
カテゴリ
IT
ファイアウォール

FortiGateでログを保存するには

こんにちは。
引き続き、FortiGateについて書きます。ログについてです。
FortiGateのログは、分かりにくいですね。どこにどんなログが出るのか?
分かる範囲で整理してみたいと思います。

ログの保存先について

FortiGateのログの保存先として、以下があります
内蔵メモリ---私の使っている「FortiGate60D」をはじめとして、ディスクを内蔵しない機器デフォルト保存先。とにかく容量が少なく、再起動で消えるので、長期保存は不可能です。
内蔵ディスク---Eモデルだと、末尾1が付く機器(FortiGate101E等)。上位機種。あと、Dモデルだと100Dや200Dもディスクを積んでました。ある程度の保存は可能です
FortiCloud---無償版は7日なので、内臓メモリよりは良いですね
FortiAnalyzer---高価ですが、本気でログを保存するなら、これでしょうか
Syslogサーバー---別途、サーバー等構築が必要なので、難易度が高いです。FortiAnalyzerなんかに比べると、ビューがないので、ある程度スキルが必要ですね

ログ保存設定について

60Dの場合は、「ログ&レポート」-「ログ設定」で、メモリがEnableになっていればOKです
log1

取得するログのレベルは、デフォルト”Warning”ですので、とにかくログを取得したい場合は、”information"に変更します
変更はコマンドで行います

#config log syslogd filter
(filter)#set severity information
(filter)#end

また、システムログやローカルログを取得する場合は、以下の箇所で選択しましょう
例えば、VPNのログなんかはここをチェックしないと、ログが出力されません
log2

次回は、ログの確認方法を書いてみたいと思います

タグ :
ログ
メモリ
FortiCloud
FortiGate
スポンサードリンク
プロフィール

ささ

名前:ささ
関東地方に住む40代、子供2人と妻と猫とで暮す
主に「ITインフラ系」の構築に携わる。今の会社は転職の末、お世話になり早20数年。保有資格は、「ネスペ」「セスペ」など
最近、「ソロキャンプ」「DIY」を趣味にするため、いろいろと準備中