こんにちは、ささです
久々に「FortiGate」検証です
検証を行うことになった、切っ掛けですが、
最近テレワーク需要が増えたせいか、リモートアクセス相談が増えました
ただ・・
便利の裏には、必ずセキュリティリスクがあります
先日、あるセキュリティベンダーの資料に
「ID/パスワードだけの認証は終わっている」と・・
読みながら「だね」とうなずきました
8文字以上、大文字小文字英数字記号を混ぜる、かつ履歴を24世代までとか、
記憶は無理だし、それを、アクセスサービス毎に分けるなど、不可能です
なので、今時の個人向けサービス同様、インターネットを経由した「リモートアクセス」も、多要素認証が必要かなぁと思うようになりました
自宅でも使っている「FortiGate」を利用して、多要素認証リモートアクセスを試してみたいと思います
手元にある機器で、検証してみました
本当は最新機で試したかったのですが、予算の関係で古い機器になってしまいました、残念
【機器】
・FortiGate60D(OS:v6.0.12):リモートアクセスサーバー
・Hyper-V(Windows Server 2016):アカウント管理、Radiusサーバー、証明書サーバー
・Cisco892:PPPoEサーバー
・ノートPC(Windows10):リモートアクセスクライアント
【実現したい事】
・2要素認証リモートアクセス
-要素 :ドメインユーザー/パスワード、クライアント証明書
-リモートアクセス:SSL-VPN
簡単ですが、検証環境を図にすると以下のような感じです
以下のような流れで、環境を作っていこうと思います
【環境作成の流れ】
1.NPS(Radius)サーバー設定
2.SSL-VPN接続設定(ドメインユーザー/パスワードのみ)※まずは1要素
3.証明機関セットアップ
4.SSL-VPN接続設定(ドメインユーザー/パスワード+証明書)※2要素
次回から、早速環境を作って、報告していきたいと思います
久々に「FortiGate」検証です
検証を行うことになった、切っ掛けですが、
最近テレワーク需要が増えたせいか、リモートアクセス相談が増えました
ただ・・
便利の裏には、必ずセキュリティリスクがあります
先日、あるセキュリティベンダーの資料に
「ID/パスワードだけの認証は終わっている」と・・
読みながら「だね」とうなずきました
8文字以上、大文字小文字英数字記号を混ぜる、かつ履歴を24世代までとか、
記憶は無理だし、それを、アクセスサービス毎に分けるなど、不可能です
なので、今時の個人向けサービス同様、インターネットを経由した「リモートアクセス」も、多要素認証が必要かなぁと思うようになりました
自宅でも使っている「FortiGate」を利用して、多要素認証リモートアクセスを試してみたいと思います
FortiGateリモートアクセス検証構成(2要素認証)
手元にある機器で、検証してみました
本当は最新機で試したかったのですが、予算の関係で古い機器になってしまいました、残念
【機器】
・FortiGate60D(OS:v6.0.12):リモートアクセスサーバー
・Hyper-V(Windows Server 2016):アカウント管理、Radiusサーバー、証明書サーバー
・Cisco892:PPPoEサーバー
・ノートPC(Windows10):リモートアクセスクライアント
【実現したい事】
・2要素認証リモートアクセス
-要素 :ドメインユーザー/パスワード、クライアント証明書
-リモートアクセス:SSL-VPN
簡単ですが、検証環境を図にすると以下のような感じです
環境作成の流れ
以下のような流れで、環境を作っていこうと思います
【環境作成の流れ】
1.NPS(Radius)サーバー設定
2.SSL-VPN接続設定(ドメインユーザー/パスワードのみ)※まずは1要素
3.証明機関セットアップ
4.SSL-VPN接続設定(ドメインユーザー/パスワード+証明書)※2要素
次回から、早速環境を作って、報告していきたいと思います
コメント