ささの備忘録

ITインフラSEの備忘録です。ITインフラを中心にしつつ、猫、DIY、バイク、バレーの話をします

ファイアウォール

FortiGateでログを保存するには

こんにちは。
引き続き、FortiGateについて書きます。ログについてです。
FortiGateのログは、分かりにくいですね。どこにどんなログが出るのか?
分かる範囲で整理してみたいと思います。

1.ログの保存先 
FortiGateのログの保存先として、以下があります
内蔵メモリ---私の使っている「FortiGate60D」をはじめとして、ディスクを内蔵しない機器デフォルト保存先。とにかく容量が少なく、再起動で消えるので、長期保存は不可能です。
内蔵ディスク---Eモデルだと、末尾1が付く機器(FortiGate101E等)。上位機種。あと、Dモデルだと100Dや200Dもディスクを積んでました。ある程度の保存は可能です
FortiCloud---無償版は7日なので、内臓メモリよりは良いですね
FortiAnalyzer---高価ですが、本気でログを保存するなら、これでしょうか
Syslogサーバー---別途、サーバー等構築が必要なので、難易度が高いです。FortiAnalyzerなんかに比べると、ビューがないので、ある程度スキルが必要ですね

2.ログ保存設定 
60Dの場合は、「ログ&レポート」-「ログ設定」で、メモリがEnableになっていればOKです
log1

取得するログのレベルは、デフォルト”Warning”ですので、とにかくログを取得したい場合は、”information"に変更します
変更はコマンドで行います

#config log syslogd filter
(filter)#set severity information
(filter)#end

また、システムログやローカルログを取得する場合は、以下の箇所で選択しましょう
例えば、VPNのログなんかはここをチェックしないと、ログが出力されません
log2

次回は、ログの確認方法を書いてみたいと思います

FortiGateOS6.03で「SD-WANインターフェース」を試す

こんにちは。
昨日は関東南部では、珍しく「雪」でした。
寒かった。一日中ストーブ&こたつで、しのぎきったのですが、
今日も、雪が残っているせいか、寒い。早くあったかくならないかな。
枝豆とビール!!がおいしい季節が待ち遠しいです。でも暑かったら暑かったで、冬が待ち遠しくなるんだろうなぁ

さて、
自宅でFortiGateを使用している限りは、絶対に使いませんが、今後、会社で使うかも・・
と思い。「SD-WANインターフェース」を試してました。

・SD-WANとは 
「SD-WAN(Software-Defined WAN)」。広義で言うSD-WANは、拠点間をつなぐWANをソフトウェアによって統合、一括管理し、仮想的なネットワークを実現する事。
FortiGateでも「SD-WAN」というと、いろいろな機能があるようです。
sdwan1

いろいろな機能は、今後必要なタイミングで調べればいいかな
ひとまず、WAN回線の冗長で「SD-WANインターフェース」を設定してみたいと思います

・「SD-WANインターフェース」 
今回、”wan1”と”wan2”を、「SD-WANインターフェース」として設定して、WAN回線をロードバランスしたいと思います

1.まず、FortiGate60Dを初期化し、デフォルトで”wan1”にかかっている、ポリシーを削除します
2.次に、「SD-WAN」を有効化して、インターフェースメンバーに”wan1”と”wan2”を追加します
sdwan2

3.”wan1” ”wan2”それぞれで、インターネット接続します(今回はPPPoE)
sdwan3

4.ルーティングを設定
sdwan4

5.ポリシーを設定(ひとまず、”internal”->”SD-WAN”すべて許可)
sdwan5

6.最後に、「SD-WANポリシー」を設定します
今回は、デフォルトの「送信元IP」のままにします
sdwan6


PC2台つなげて、インターネット上のサーバーにpingすると
192.168.100.100->"wan1”から通信していることを確認
192.168.100.101->"wan2”から通信していることを確認

HTTPアクセスも同様の動作となりました。
ちゃんと、ロードバランシングしています

”wan1”のLANケーブルを抜線します
sdwan8

pingは1回くらい落ちますが、引き続き、
192.168.100.100->"wan2”から通信していることを確認
192.168.100.101->"wan2”から通信していることを確認

HTTPアクセスも同様の動作となりました。
ちゃんと、障害時も動作しています

なかなか、使えそうな機能です。
次回は、Active-StanbyでのWAN回線冗長構成を試してみたいと思います

「FortiGate60D」のinternalスイッチを解除する方法

どうも、ご無沙汰しておりました。

年が開けてから、仕事が忙しく、暇さえあれば検証をしていた為、更新をさぼってました

今回は、自宅で使用している「FortiGate60D」の”internalスイッチポート”を解除してみたいと思います

60Dは、internalポートが「ソフトウェアスイッチ※」になっており、7ポートもinternalポートとして、使用できます。ただし、そんなには使わないケースも多く、配下にスイッチを置いてしまえば、1ポートで十分かなと思います
※スイッチには「ソフトウェアスイッチ」と「ハードウェアスイッチ」があり、ハードウェアスイッチの方が、CPU負荷が低いので、ソフトウェアスイッチより良いかなと思います。ただし、まとめられるポートに制限があるようです

・internalスイッチポートを解除する

スイッチポート(internal)以外から、管理画面にアクセスします。今回はDMZ(10.10.10.1)ポートからアクセスし、コマンドを実行します。コンソールから実施してもOKです。その方が楽ですね

1

<前準備>

スイッチインターフェイス設定を解除するため、デフォルトで紐づいている設定を削除します。

1. DHCPサーバーの削除

# config system dhcp server

# delete 1

# end

※デフォルトではスイッチインターフェイスはDHCPサーバーとしての機能が紐付けされています。

2. ポリシーの削除

# config firewall policy

# delete 1

# end

※デフォルトではスイッチインターフェイスと紐づくポリシーが設定されています

<スイッチインターフェース解除>

デフォルトで設定されたスイッチインターフェイスを削除します。

# config system virtual-switch

# delete internal

# end


無事にスイッチインターフェースが解除されました
(訳があり、以下キャプチャは、100Dの画面です)
sw02

FortiGateのSSLインスペクションで『deep-inspection』を使う

自宅で使っている、Fortigate 60dで、『deep-inspection』を試してみました

導入後、ずっと『certificate-inspection』で使っていましたが、いつか換えないとと思っていました。それぞれの違いは、以下です

・『certificate-inspection』
 SSL/TLSで暗号化された、通信のセッション確立時に実施されるSSLハンドシェイクで、証明書のコモンネームを確認し、WebフィルタのFortiGuardカテゴリで許可された宛先URLか照会します。なお、certificate-inspectionは暗号化された通信の復号化を実施しないため、certificate-inspectionとアンチウイルスの組み合わせではHTTPSからダウンロードしたファイルのスキャンは実施されません。
・『deep-inspection』
 SSL/TLSで暗号化された通信をFortiGate上で復号化しスキャンを実施します。

やはり、今どき、ほぼ「SSL通信」なので、『deep-inspection』にすべきです

しかし、問題が2点あります
<問題>
1.全ての暗号化された通信を復号化してスキャンするため、FortiGateに高い負荷がかる
2.クライアントで証明書エラーが発生する


自宅で使うので、1.は我慢するとして、2.はどうにかする必要がありました

試してみましたので、以下に手順を記載します

・Fortigateより証明書をダウンロードする

Fortigate管理画面の「システム」ー「証明書」をクリック、「Fortinet-CA_SSL」を選択し、「ダウンロード」をクリックします
※もし「証明書」が表示されていない場合は、「フューチャー選択」で追加してください
deep1


・ダウンロードされた「証明書」をインストール

ダウンロードされた、「証明書ファイル」を、クライントPCでダブルクリックします
deep2

証明書ファイルが開きますので、「証明書のインストール」をクリックします
deep3

証明書のインストールウィザードが起動します。保存場所は「ローカルコンピューター」を選択します
deppe4


「証明書をすべて次のストアへ配置する」を選択、ストアは「信頼されたルート証明機関」を選択します
deep5

「完了」をクリックし、証明書をインストールします
deep6

deep7

以上で証明書のインストールが完了しました

以後、『deep-inspection』を選択しても、証明書エラーの表示は出なくなります

『Newly Observed Domain』とは

うちの「FortiGate60D」、基本的にはWebフィルターで、インターネットのアクセスを制限しています

何をフィルターしているかというと、

「アダルト」とか「ドラッグ」「犯罪」等々、うちの子供がアクセスしたら困るサイトを制限してます。その他は適当(いい感じ)で、設定しています

ただし、私のPCやスマホは、自腹で機器を準備している特権で『無制限』で使用!!
そのために、以下のような設定をしています

アドレスオブジェクトを指定

1.私のPCやスマホに割当るIPアドレスは、FortiGateで自動割当(DHCP)しているので、MACアドレスで事前に割当て設定をしておきます
dhcp2

2.割り当てるアドレスが特定できたら、それぞれの「アドレスオブジェクト」を作成します
アドレスオブジェクト2

3.そこまでできたら、あとは「制限していないポリシー」と、「制限ポリシー」を作成しました
policy3 policy4


そうすると、例えば、登録しているアドレスを割り振られている、私の「Let'sNote MX-3」は、無制限アクセス可能。登録していないアドレスが割り振られている、娘のスマホは制限有りとなります

そんな感じです

基本、私の端末はすべて「無制限」なので、どんな制限がかかっているか、今まで良く把握していませんでした

つい先日、何気なく、私のPCへ固定でIPアドレスを割り当て(制限のあるアドレス)、

私が取得したブログ用を開こうとしたところ、

私のブログにアクセスできない!!

ことが発覚。以下の画面がでる、Fortigateが原因とわかります

block02


何か見慣れない文字が、

カテゴリが『Newly Observed Domain』と

どうも、最近ブログ用に、取得したドメイン名だから引っかかっている様子

Webフィルター設定を解除します

webfilter01

これでいけるかと思ったのですが、まだ駄目みたいです

webblock01

今度は、DNSフィルターが引っ掛かっている様子、Webフィルターと同じように設定を解除します
設定画面は、Webフィルターと同じです

以上で無事開くようになりました。

blog01
スポンサードリンク
プロフィール

ささ

名前:ささ
千葉在住、転職の末、現在は事務機器系ITインフラを提供する会社にお世話になる、A型の強いAB型
最近、さくらももこさんがお亡くなりになった事が何よりショックでした。猫に相手にされるよう気を使い、嫁と娘たちにも気を使うこの頃。