ささの備忘録

ITインフラSEの備忘録です ITインフラを中心に、 日々忘れないがちな事を、つぶやいていきます

ファイアウォール

FortiGateで「deep-inspection」を使う-③

こんにちは、ささです

家で使っているのは、FortiGate60Dで「deep-inspection」試していて、最近気づいたのが・・たかが1~2台でも、60Dで「deep-inspection」は厳しい!!

先日、何気なく、deep-inspectionのテストをしている、ノートPCで、動画をみていたところ、
「なんか、カクカクするな・・」と思い、気のせいかなと思っていたのですが、

FortiGateのダッシュボードをみたところ、CPU負荷が高い!!

1

自宅で、しかもテストだからいいけど・・
職場では使えないな・・と思いました。まぁ、60Dなんて、もう売ってないから使わないかぁー
と思いつつ。。
今度は、ヤフオクでEシリーズを買おうと思いました


続きを読む

FortiGateで「deep-inspection」を使う-②

こんにちは、ささです

前回、FortiGateで『deep-inspection』を使う-①で、WindowsPC1台で、deep-inspectionを試しました

使用して1週間くらい経ちますが、まったく違和感なく使えていて・・
最初の、証明書をインストール手間だけクリア出来れば、ある程度は何とかなるなという感じです

とは言っても、インターネット接続する機器は、WindowsPCだけではなく、iphone、android、その他いろいろです。証明書を入れることができない「その他いろいろ」はおいておいて、今回はまず、IOS端末を接続してみたいと思います

iPadのSSL通信をインスペクションする

iphoneでやってもいいのですが、何かとiPad(古い)の方が、画面が大きくて操作しやすので、今回はiPadで試してみたいと思います
1


1.FortiGateで前回作成した「deep-inspection」を適用したポリシーに、iPadを追加します
 ① まずiPadのアドレスオブジェクトを作成します
  「ポリシー&オブジェクト」-「アドレス」-「新規作成」
 2

 ② ポリシーにiPadオブジェクトを追加します
  前回作成した「deep-inspection TEST」ポリシーに、iPadを追加します
 3

2.iPadでインターネット通信を確認します
 yahooを開こうとすると、識別情報確認画面が表示されます
 5

 メールも開きません
 6


iPadにFortiGateの証明書をインストールする

iPadへの証明書の受け渡しですが、今回はメールに添付します
※メールで受け渡しは、ポリシー設定前に実施します、そうしないと受け取れない・・

1.FortiGateの証明書(Fortinet_CA_SSL.cer)を添付しメールを送ります

2.iPadで受信したメールを開きます
 7

2.添付された証明書ファイルをクリックすると、プロファイルのインストール画面が開きます
 「インストール」をクリック
 8

3.自己証明書なので、警告はでますが、再度「インストール」をクリック
 9

4.iPadのパスコードを入力
 10

5.しつこいですが、「インストール」をクリック
 11

6.インストールが完了しました。プロファイルに追加されている事がわかります
 12

7.インターネットアクセスを確認します※再度deep-inspectionポリシーにiPadを追加します。警告なく閲覧可能になりました
 13

 メールも問題なく送受信できるようになりました

 




FortiGateで「deep-inspection」を使う-①

こんにちは、ささです

以前、「FortiGateのSSLインスペクションで『deep-inspection』を使う」で、「deep-inspection」を設定してみました。
ただ、その時は、試しただけで、その後は「certificate-inspection」を使っているので、
「使えるのか?」
「手間はどのくらいかかるか?」

がわかりません。

今時、WebはほとんどSSLなので、「deep-inspection」にしなかったら、FortiGateでAntiVirusなんて効かせても、意味ないですよーねー

「certificate-inspection」では、SSL通信を復号化しないので、SSL通信に含まれるマルウェアは検知できない!!

せっかく、自宅のゲートウェイは「FortiGate60D」なので・・
「実際に使って試せば、いいじゃん」
ということで、

全体に「deep-inspection」を効かせてしまうと、色々と問題が出てしまうので、
まずは、自分のPC1台で設定して・試してーー>全体に設定、という流れにしたいと思います


PC1台に「deep-inspection」を設定

まずは、対象PC(Panasonic CF-MX3)のアドレスオブジェクトを作成します

1

「ポリシー&オブジェクト」-「アドレス」で、新しいアドレスオブジェクトを作成します
2

「ポリシー&オブジェクト」-「IPv4ポリシー」で、新しいポリシーを作成します
 ※SSLインスペクションを「deep-inspection」に
3

作成したポリシーを、デフォルトポリシー(対象LANすべて)の上に移動します
4

以上で、FortiGate側の設定は、ひとまず完了

クライアントPC側の設定

そのまま、インターネット(www.yahoo.co.jp)に接続してみると、
「証明書エラー」が表示されます
今時、yahooのサイトもSSLですよー
2019-10-19 (1)

証明書エラーを出さないために、FortiGateの証明書をインストールします

「システム」-「証明書」-「ローカル証明書」-[Fortinet_CA_SSL]をダウンロードします
6

「deep-inspection」ポリシーを適用した、CF-MX3に証明書をインストールします
インストール手順は、以前の記事
「FortiGateのSSLインスペクションで『deep-inspection』を使う」
を参照してくださいね
7

インストールが完了すると、証明書エラー表示がでなくなります
8

これで、クライアントPC側の設定は、ひとまず完了

しばらく使ってみて、対応した事や、不具合等々でてくるかと思います
その②で、また報告させていただきます



続きを読む

FortiGateのDynamic DNS設定

こんばんはささです。

最近、忙しく、ブログの更新さぼってました
涼しくなってきたことですし、まめに更新していきたいと思います

久々に、FortiGateについて

少し前になりますが、FortiGateの入れ替えの話があり、入れ替え対象はFortiOS4.Xと古く、
設定を確認していたところ・・

「Dynamic DNS」使っていました

あれっ、最近のFortiOSって「Dymamic DNS」なんてあったか?
確認してみましたが、「DNS設定」箇所にもみつかりませんでした
ddns01

機能がなくなったのか~と、その時は終わってしまったのですが、
先日ふとした事で、機能があることに気づきました

Dynamic DNS設定

今まで、FortiGateに設定するDNSサーバーは、プロバイダーが良いと思ってました

何故かというと、デフォルトで設定されている
「FortiGuard DNS」って、何だか、動いているのか?動いていないのか?そもそも遅くないか?と思っていたからです

なので、自宅のFortiGate60Dも、導入設置後、ずっとプロバイダーDNSサーバーのアドレスを
設定していました

そんな中、Fortinet技術の方とお話するタイミングがあり、
「FortiGateのセキュリティ機能を活用するには、FortiGuard DNSを指定する必要があります」
といわれました。
具体的には、「DNSフィルタ」で設定する、Botネット・C&Cサーバーブロックには、FortiGuard DNSの指定が必須のようです

ならば、家のFortiGateの設定も変えようと思い、変更してみました
すると、「Dynamic DNS設定が出たーっ」

ddns02

試しに、設定してみました
ddns03

しっかり、名前解決も出来ました。
ddns04

これから、FortiGateを設置する時、システムDNSサーバーは、FortiGurd DNSに設定しようと思います


FortiGateの『deep-inspection』について

こんにちは
今日は天気も良くて、花見日和です
こんな日は、公園で花見しながら、ビールですよぉ
でも、年々面倒くなり、ゴロゴロしながら、漫画読んだり、YouTube見たりが、最近の定番です

以前「FortiGateのSSLインスペクションで『deep-inspection』を使う」で、お話の続きです、今回は、もう少し「SSLインスペクション」を掘り下げてみたいと思います

具体的には、HTTPSでアクセス時、ダウンロードしたファイルのウィルススキャンが実施されるか?実施されないか?を試してみたいと思います

調べる限りでは、

・『certificate-inspection』:スキャンが実施されない
・『deep-inspection』:スキャンが実施される

です。では、早速試してみました!

『certificate-inspection』ではどうか?

自宅で使用しているFortiGate60Dの、[internal]->[wan1]に、「AVプロファイル」と「certificate-inspection」を適用します
deep01

PCから、テストウィルスファイル「eicar」をダウンロードします
まずは、HTTPプロトコルでダウンロード実施
deep02

すると、きっちりFortiGateで検出してくれました
deep03

次に、HTTPSプロトコルでダウンロードします
deep04

「あれっ」検出されず、ダウンロードされてしまいました
deep05

やはり、「certificate-inspection」では、HTTPSでアクセス時のウィルスキャンは、実施されないようです

『deep-inspection』ではどうか?

次に、「deep-inspection」を適用してみます
deep06

PCから、テストウィルスファイル「eicar」をHTTPSプロトコルでダウンロードします
deep04


きっちりと、テストウィルスを検出してくれました
deep07

この結果からも、HTTPS通信を保護できていなければ、セキュリティが確保できているとは言えません。面倒ですが、ぜひ、『deep-inspection』を使用しましょう!


スポンサードリンク
プロフィール

ささ

名前:ささ
関東地方に住む40代、子供2人と妻と猫とで暮す
主に「ITインフラ系」の構築に携わる。今の会社は転職の末、お世話になり早20数年。保有資格は、「ネスペ」「セスペ」など
最近、「ソロキャンプ」「DIY」を趣味にするため、いろいろと準備中