ささの備忘録

ITインフラSEの備忘録です ITインフラを中心に、 日々忘れないがちな事を、つぶやいていきます

ファイアウォール

FortiGateの『deep-inspection』について

こんにちは
今日は天気も良くて、花見日和です
こんな日は、公園で花見しながら、ビールですよぉ
でも、年々面倒くなり、ゴロゴロしながら、漫画読んだり、YouTube見たりが、最近の定番です

以前「FortiGateのSSLインスペクションで『deep-inspection』を使う」で、お話の続きです、今回は、もう少し「SSLインスペクション」を掘り下げてみたいと思います

具体的には、HTTPSでアクセス時、ダウンロードしたファイルのウィルススキャンが実施されるか?実施されないか?を試してみたいと思います

調べる限りでは、

・『certificate-inspection』:スキャンが実施されない
・『deep-inspection』:スキャンが実施される

です。では、早速試してみました!

『certificate-inspection』ではどうか?

自宅で使用しているFortiGate60Dの、[internal]->[wan1]に、「AVプロファイル」と「certificate-inspection」を適用します
deep01

PCから、テストウィルスファイル「eicar」をダウンロードします
まずは、HTTPプロトコルでダウンロード実施
deep02

すると、きっちりFortiGateで検出してくれました
deep03

次に、HTTPSプロトコルでダウンロードします
deep04

「あれっ」検出されず、ダウンロードされてしまいました
deep05

やはり、「certificate-inspection」では、HTTPSでアクセス時のウィルスキャンは、実施されないようです

『deep-inspection』ではどうか?

次に、「deep-inspection」を適用してみます
deep06

PCから、テストウィルスファイル「eicar」をHTTPSプロトコルでダウンロードします
deep04


きっちりと、テストウィルスを検出してくれました
deep07

この結果からも、HTTPS通信を保護できていなければ、セキュリティが確保できているとは言えません。面倒ですが、ぜひ、『deep-inspection』を使用しましょう!


「FortiGate60D」をUSB経由で管理

こんにちは。

家の近くの公園でも、桜が見ごろになりつつあります
暖かかったら、絶対に花見に行くのですが、昨日から「とにかく寒い」です
この間まで、暑い日もあったのですが、これから花見というタイミングで、
寒くなるんて・・早く暖かくなって欲しいですね

話は変わりますが、先日、Fortinet社主催の「Webiner」に参加しました
「Wienerとは」
ウェビナーは、ウェブとセミナーを組み合わせた造語であり、Webセミナーやオンラインセミナーとも呼ばれる。インターネット上で行なわれるセミナーそのもの、もしくはインターネット上でのセミナーを実施するためのツールを指す


お話をされていたのは、「左門 至峰さん」です

私自身、”ネットワークスペシャリスト”を取得する際に、書籍やWebで良く見かけていましたし、1月にFortiGateの設定本を出版されていたので、是非聞きたいと思ってました

内容は、「 今、必要とされる企業ネットワークセキュリティの勘所」です
おおよそ知っている話が多かったのですが、その中で、

「FortiGateはUSB経由でiphoneで管理ができます」と・・

「えっ。。知らなかった」

という事で、早速試してみました


ipadを使ってFortiGateに接続する

本当は、iphoneを使いたかったのですが、私のスマホはandroidなので、娘のZ会用ipadを使います
ちょっと型は古いですが、まぁ大丈夫でしょう

ipad1

まずは、FortiGate管理用のアプリをダウンロードします
AppStoreで「Fortiexplorer」で検索すると、2個出てきますが、機能が多そうな「Fortiexplorer」をインストールします。ただ、機能制限を解除するには、課金が必要との事・・制限って、嫌な予感がします

ipad2

インストールが完了したら、ipadとFortiGateをUSBケーブルで接続します
ipad4

「Fortiexplorer」を起動すると、自動的に接続しているFortiGateが認識されます
ipad5

接続方式でUSBをクリックします
ipad6

ログイン情報を入力して「Done」をクリック
ipad7

無事接続できました。なんかいい感じのビューです
ipad8


「FortiExplorer」を使ってみる

設定変更はできるのでしょうか

インターフェイスのIPアドレスは変更出来るみたいです。
ipad9

ipad10

但し、ポリシーなどは設定変更や追加は出来ない感じですね
恐らく、このあたりが課金をすれば使用出来るようになるのでしょうか
ipad11

セッション情報をみたいと思い、FortiViewを開きましたが、こちらも思うように見えませんでした
ipad13

課金してみようかと思いましたが、Apple idが娘のものだった為か、ダメでした
ipad12

もし、本当に必要となったときに、制限なしで試してみようと思います。

ちなみに、「FortiExplorer Lite」も同じ感じでした
こちらの方が、見える範囲が狭い感じですね
ipad14


コンソールケーブルからCUIだと、分かりにくい部分を、補足する感じで使える気がします

FortiGate「プロキシモード」と「フローモード」の違い

おはようございます。

この頃、暖かいのは良いですが、花粉のつらい季節になりました。
鼻水は出るし、常に眠い・・
「はぁ~、早く終わってほしい」

今回は、FortiGateの「プロキシモード」と「フローモード」の違いについてメモします

ちなみに、家のFortiGate60Dは「フローモード」で動かしています

なぜかというと・・
最初は「プロキシモード」動かしていたのですが、遅い・・つながらない・・
がたびたびありました。

全てのUTM機能を、internal->wan1ポリシーに適用しているので、60Dの貧弱なスペックでは無理があるのでしょう。本当は、「プロキシモード」にしたいのですが・・

プロキシモード

フローベースよりセキュアで検知率が良い
パケット一旦バッファしてファイルを組み立ててからスキャンするため、多少の遅延がある。
スキャン可能なファイルサイズに制限がある。
デフォルトでは10MB※モデルにより変わります

フローモード

プロキシベースより検知率が低め。
パケット単位でスキャンするため、
ドキュメント、圧縮ファイルにマルウェアが組み込まれていると検知できない場合が多い。
感染したファイルを完全にブロックすることは不可。
スキャン可能なファイルサイズに制限がない。

補足

モードを変更することで、各UTMプロファイルの設定項目が変わります
プロキシモードは、その名前の通り、FortiGateがパケットをプロキシ(代理)してくれるので、より細かな設定が可能です

ですので、推奨は「プロキシモード」

ちなみに、プロキシモードで上限10MBは、以下コマンドで変更可能です

※この上限値は変更可能ですが、負荷やパフォーマンスに影響するため
値を大きくすることについては推奨されません。

■上限値の変更方法
===========================
config firewall profile-protocol-options
edit 【profile_name】
config 【protocol_name】
set oversize-limit 【size_integer】
end
===========================


このモード変更ですが、業務で使用している機器で、実施する場合は、影響が大きいので、皆さんの使っていない時間に実施し、実施後は直ぐに切り戻せるように、慎重に実施しましょう


FortiGateでログを保存するには

こんにちは。
引き続き、FortiGateについて書きます。ログについてです。
FortiGateのログは、分かりにくいですね。どこにどんなログが出るのか?
分かる範囲で整理してみたいと思います。

ログの保存先について

FortiGateのログの保存先として、以下があります
内蔵メモリ---私の使っている「FortiGate60D」をはじめとして、ディスクを内蔵しない機器デフォルト保存先。とにかく容量が少なく、再起動で消えるので、長期保存は不可能です。
内蔵ディスク---Eモデルだと、末尾1が付く機器(FortiGate101E等)。上位機種。あと、Dモデルだと100Dや200Dもディスクを積んでました。ある程度の保存は可能です
FortiCloud---無償版は7日なので、内臓メモリよりは良いですね
FortiAnalyzer---高価ですが、本気でログを保存するなら、これでしょうか
Syslogサーバー---別途、サーバー等構築が必要なので、難易度が高いです。FortiAnalyzerなんかに比べると、ビューがないので、ある程度スキルが必要ですね

ログ保存設定について

60Dの場合は、「ログ&レポート」-「ログ設定」で、メモリがEnableになっていればOKです
log1

取得するログのレベルは、デフォルト”Warning”ですので、とにかくログを取得したい場合は、”information"に変更します
変更はコマンドで行います

#config log syslogd filter
(filter)#set severity information
(filter)#end

また、システムログやローカルログを取得する場合は、以下の箇所で選択しましょう
例えば、VPNのログなんかはここをチェックしないと、ログが出力されません
log2

次回は、ログの確認方法を書いてみたいと思います

FortiGateOS6.03で「SD-WANインターフェース」を試す

こんにちは。
昨日は関東南部では、珍しく「雪」でした。
寒かった。一日中ストーブ&こたつで、しのぎきったのですが、
今日も、雪が残っているせいか、寒い。早くあったかくならないかな。
枝豆とビール!!がおいしい季節が待ち遠しいです。でも暑かったら暑かったで、冬が待ち遠しくなるんだろうなぁ

さて、
自宅でFortiGateを使用している限りは、絶対に使いませんが、今後、会社で使うかも・・
と思い。「SD-WANインターフェース」を試してました。

SD-WANとは

「SD-WAN(Software-Defined WAN)」。広義で言うSD-WANは、拠点間をつなぐWANをソフトウェアによって統合、一括管理し、仮想的なネットワークを実現する事。
FortiGateでも「SD-WAN」というと、いろいろな機能があるようです。
sdwan1

いろいろな機能は、今後必要なタイミングで調べればいいかな
ひとまず、WAN回線の冗長で「SD-WANインターフェース」を設定してみたいと思います

「SD-WANインターフェース」

今回、”wan1”と”wan2”を、「SD-WANインターフェース」として設定して、WAN回線をロードバランスしたいと思います

1.まず、FortiGate60Dを初期化し、デフォルトで”wan1”にかかっている、ポリシーを削除します
2.次に、「SD-WAN」を有効化して、インターフェースメンバーに”wan1”と”wan2”を追加します
sdwan2

3.”wan1” ”wan2”それぞれで、インターネット接続します(今回はPPPoE)
sdwan3

4.ルーティングを設定
sdwan4

5.ポリシーを設定(ひとまず、”internal”->”SD-WAN”すべて許可)
sdwan5

6.最後に、「SD-WANポリシー」を設定します
今回は、デフォルトの「送信元IP」のままにします
sdwan6


PC2台つなげて、インターネット上のサーバーにpingすると
192.168.100.100->"wan1”から通信していることを確認
192.168.100.101->"wan2”から通信していることを確認

HTTPアクセスも同様の動作となりました。
ちゃんと、ロードバランシングしています

”wan1”のLANケーブルを抜線します
sdwan8

pingは1回くらい落ちますが、引き続き、
192.168.100.100->"wan2”から通信していることを確認
192.168.100.101->"wan2”から通信していることを確認

HTTPアクセスも同様の動作となりました。
ちゃんと、障害時も動作しています

なかなか、使えそうな機能です。
次回は、Active-StanbyでのWAN回線冗長構成を試してみたいと思います


スポンサードリンク
プロフィール

ささ

名前:ささ
関東地方に住む40代、子供2人と妻と猫とで暮す
主に「ITインフラ系」の構築に携わる。今の会社は転職の末、お世話になり早20数年。保有資格は、「ネスペ」「セスペ」など
最近、「ソロキャンプ」「DIY」を趣味にするため、いろいろと準備中