Fortigateについて語ろう6
FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの ネットワーク・プロテクション・ゲートウェイ(NPG)です。 Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System) テクノロジと独自のASIC(FortiAsic)ベースアーキテクチャを採用した、次世代 ネットワークプロテクション・アプライアンスです。 ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。 FortiGateは、4種類のICSA認定取得をしています。 アンチウイルス、ファイアウォール、IPSec、IDS セールスポイントは非常に魅力的ですばらしいのですが、 非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。 フォーティネットジャパン http://www.fortinet.co.jp/ FortiProtect Center http://www.fortinet.com/FortiProtectCenter/ 質問する際には必ずFortiGateの機種、FortiOSのバージョン、 ネットワーク構成・環境を報告してください。 Fortigateについて語ろう5 https://mao.5ch.net/test/read.cgi/network/1593878325/ アラートメールってSQLインジェクション検知とかDDos攻撃検知とかも知らせてくれるの? PaloAlto PA-220の電源なし動作未確認を買いました。 PA-220が一台あったので電源アダプタをつなぎました。 背面のランプはつきました。でも、全面のPWRも何も、何も。 待てど暮せどランプも点かず…ジャンク品として流すことにしました (T_T) >>2 よく思うんだけど、Dos攻撃知ってどーするの?サービス再開出来る手段とかある? Dosポリシーで落ちる前にしきい値で遮断するのでは? だだ、全ポリシー有効にしてログを出すようにするとアラートメールが止まらなくなる。 FortiCloudの無償版提供もそろそろ部分的に終わる兆しがあるなぁ。 FortiOSも最新にすれば良い訳ではない。 そもそも定義体があがってなんぼだから。 なので、Upするとベース定義体のタイムスタンプがやばいのよね。 V7.2.x V7.0.xはその辺改善してるけど。 OSも定義も最新にしないと OSバグやセキュリティホールは定義では治らない >7 まぁいまだに5.4がいるわけですよ。 6.x系も多いけど。 FortiSwitchのFortilinkが、いまいちしっくりこない。。。 なんだろう、スタンドアロンで動かせばいいんじゃないかと思ってしまう自分がいる。 最新と言っても7.2系入れちゃう奴はバグに苦しんでも自業自得だと思う 最新のメジャーバージョンは、修正されるまでしばらくお試しですよね。 心配しなくても日本の代理店は古くさいバージョンしかサポートしない 7.2でmaturity firmware levels入ったから メインツリーで実験すんのやめたw おいおいおいおい?!!!!! cve-2022-42475 ―――こうしてForigateを使用している百数十社の会社の顧客データは盗まれ、 社長は株価ダウンを恐れて隠蔽をし、顧客データは全て密かに中◯に高値で独占売買され、 サイバー部隊の日本人対策用データベースに保存されていくのだった。おわり 公式でSSLVPN機能使ってなければ大丈夫ってアナウンスして欲しいな 実は設定をoffにしてもポートが開いていて攻撃を受けるというオチだったりして こんな危なっかしいVPNじゃなくてIPA純正のシン・テレワークシステムでも使っとけ ユーザー向けにFORTIGATEのSSLVPN使ってる会社は無いだろうけど 管理者とか保守会社がメンテナンス用とかバックアップ用とかで結構使ってたりするんだよな~ >>19 公式に対策としてDisable SSL-VPNとあるけど バグ情報見てないからしらんけどEAP-TLSみたいなんて出来ないん? それでダメならforti自体がアカンことになると思うんだけど >>22 バージョン6.0系の修正が出る可能性あるみたいです。 >>28 認証なしでリモートからコマンド可能なので証明書は関係ないです。 しかも昔のバージョン5からなので致命的 >>32 言葉足らずだったわ VPNを証明書認証でやればええんちゃう?って言いたかった 出来るのかしらんけど >>34 認証無しでも不正操作される問題に認証で対策するのか? SD-WAN機能触ってみたけどSD-WANとは名ばかりだな そもそもファイアウォール自体がSDと言えなくもない。 普通のSD-WANベンダ製品が売れてるって話もあんまり聞かない ブレイクアウト需要は多いけど PaloaltoVM試用版って30日となっているけどいつから30日ですか? インストールし直せば何度も使えますか? FortiGateで0% nice ってなっているんですけど、ここのniceはシステム以外の優先度の 低いプロセスで使っているCPU使用率を表示させているのでしょうか? # get system performance status CPU states: 0% user 0% system 0% nice 100% idle 0% iowait 0% irq 0% softirq nice値によって優先度が変わるというのは理解したように思えるのですが、 よく分からない。。。。 >>41 おそらくその認識かと思います。 公式見るとnice100%だけだとFortiGateの動作が停止してるようです。 https://docs.fortinet.com/document/fortigate/6.4.2/administration-guide/152469/troubleshooting-cpu-and-network-resources Troubleshooting CPU and network resources FortiGate has stopped working If the FortiGate has stopped working, the first line of the output will look similar to this: CPU states: 0% user 0% system 0% nice 100% idle >>46 idleの間違いですね。お恥ずかしい。 指摘ありがとうございます。 niceのパーセントが上がってる時って、ナイスじゃない事が 起きてるってことでOK? 優先度が何かしらで変わるって事は、優先度があがるようにCPU割り当ててる 感じか。 Fortinet JapanのSEさんって、めっちゃメール回答とか安心感ありますわ。 なんだろう、努力した時間の違いなのか? ああいう、カッコいいSEになりたい。 保守対応に該当する問い合わせは保守契約(保守体制フロー)に基づいて代理店に問い合わせてもらうしか無い これはどこのメーカーも基本的には同じ >>52 ほとんどのメーカーは直接やってるイメージ >>53 障害対応のチケットオープンとかエンドユーザが直接メーカとやるかね 代理店、SIerに払ってる保守費は一体どこに消えていくのか エンドユーザとメーカーで直接保守契約を結ぶことってダイレクトサポート(有償サポート)くらいかなぁ 例の病院のVPNでのランサムウェア被害って 使ってるの知ってて連絡の無い保守契約してる業者 イー加減にしろ 保守ベンダから連絡しないでしよう。 保守ベンダは、故障や技術サポートの窓口だから脆弱性情報は聞かれない限り、情報提供もしない。 構築ベンダにセキュリティサポート費用とか払って脆弱性情報貰うか、機器導入してる組織のセキュリティ担当かCERT担当がアンテナたて日々脆弱性情報集めるしかない。 と言っても、IPAのサイトかJPCERTのサイトか、メーカーサイト位しか確認しないけどね。 確認して対処できる人がいるならそもそもそんなことになってないねんな ファルコンとかガチのハッカー雇ってるとこのサービス使えばええんや じぇーくらーととかいううんちに頼るのは悪手 RSSとかでPSIRT情報来るからそういうのをIT/セキュリティ管理者は見ておかないといけないよねってだけの話なんだけど 全部丸投げしてるからねぇ 保守ベンダーだって普通に連絡取る所多いだろ ここで連絡取れないとような所は切られるからな 但し、ベンダーとの関係が悪かったり担当者に問題があったりすると別だが 病院系はヤバい担当者も居ると聞くからどっちが問題かはわからん 影響のデカいセキュリティホールなんかは メールで連絡してくれてもいいんしゃね? とは思う。 ベストエフォートで。 fortiguard PSIRTアドバイザリを見ないの? >>68 Fortinet PSIRT notification mailで検索 情シスがそんなん見るかよ インフラなんて業者任せや 複数拠点でipsecVPN(アグレッシブモード)を行う時の設定をしてみたけど、このサイトでいうB拠点とC拠点の通信ができない(pingが通らない)のは仕様なんだろうか scskのサポート担当に尋ねたらハブアンドスポークでやってくれと言われたが… 私はできるか出来ないかを聞いたんだがなぁ 普通のciscoルータやアライドルータだとできるのに https://tec-world.networld.co.jp/faq/show/10151 >>74 A拠点でB、C向けのIPSEC張れてるなら、B-C間ポリシーをA拠点に入れれば通信通りません? >>76 ポリシーもあるけどB,C拠点のIPSecVPN Phase2設定内の送信先アドレスに双方拠点のアドレス入れる必要もあるね 自分の組んだ環境だと拠点間通信も問題ないわ A拠点もBとの接続設定の送信元アドレスにCのアドレスを含める必要はある >>76 >>77 レスありがとうございます ・A拠点にBC間のポリシー設定済み ・B拠点のポリシーに送信元C拠点のNWアドレスを設定 その逆も然り ・AにおけるAB間のIPsecのphase2の設定の送信元アドレスにC拠点のNWアドレス(AC間のIPsecの設定時に利用しているもの)の設定 BにおけるAB間のIPsecの設定の宛先アドレスにC拠点を設定してます (C拠点の場合も同様に設定してます) 時間があればwebGUIのスクショ載せます 納期近かったから、結局ハブアンドスポークで構築して納品したんですけど ちなみに同じ設定で、どこの拠点もグローバルIPが固定だと通信できちゃいました 同じようにメッシュ型じゃなくA拠点中心のスター型で 後出しになって素人丸出しだけれどFortigate60f ファーム7.2.3です fortigateのddns設定つかえば良かったかもしれんが、これはやってないです ddns使わずに動的グローバルアドレス間のIPSECは出来ないのでは? そうだよ震えろ 日本のIT業界なんてこのレベルのが設計構築してんだ >>81 片側が静的IPならIPSecアグレッシブモード使えば拠点側は動的IPでもDDNSは要らない VPNセッション開始が拠点側からになるだけで通信自体はほぼ変わらん v7.2系使ってる時点でFortigate素人感漂うな 質問してるNetWorldはまだサポートしてないんだからまともな技術サポートを受ける権利が無くなるから本番環境で使うとかアカン >>84 81です。 B拠点(動的)-A拠点経由(静的)-C拠点(動的)なら仰る通りですが、B拠点(動的)--C拠点(動的)でIPSEC接続されたいように見えます。 >>86 サポートはscskみたいですね。 サポートも新しいバージョンはバグがある可能性が高い事は教えてくれないんですかね。 逆にCiscoやアライドでどうやったら出来たんだろう >>83 設定も切り分けも出来ない人が金取って設定してるとか怖すぎるよね どこもそういった人しか居ないんだけどさ >「私はできるか出来ないかを聞いたんだがなぁ」 このくらいのことを構築担当してる業者が訊くとかほんと終わってるのと 理解してない人って整理されて無くて何言ってるかわかんない質問投げてくるから回答する方も大変なんだよね 動的IP-動的IPでのIPsecVPN接続は可能だけど、1から説明しないと行けなさそうな感じなんで おとなしくハブ&スポークでやってって提案されたってとこかな S○SKの技術サポートって他社と比べてどんな感じなんでしょうか? 以前問い合わせしたときに技術レベルに疑問を感じることがあって… どこの業者も構築や設定差ボートはしません 故障時のサポートです って言われた経験ある そう言わんと設定をサポート二丸投げする奴らが居るんだろうな 「DDNS使えばいいですよ」って案内しても「DDNSってなんですか?」「どうやって設定するんですか?」ってくるのが見えてるからね >>93 なるほど。そうっぽいですよね。 >>95 まぁ丸投げはダメでしょうね。 ただ故障サポートって言い切るのも少し違う気します(笑 >>97 の 1つめは >>94 様宛でした。 失礼しました。 だいたいはお金(有償サポート or スキルのある人を雇う)で解決するんだよね まぁそもそも製品独特の設定方法だの仕様だのを外部の人間に把握してろってのがおかしな話なんだ そんなのfortiだのciscoだのが自社で大規模な部隊持っとけって話だけど現実それが無理だからサポートがあるわけで SIerはそういったノウハウ/技術を提供することで顧客からお金をもらう体なんだけどね 顧客の要望を聴き取ってこういう設計のNWがありますよと提案し構築するのが仕事 ベンダー特有の技術を提供するわけではない >>103 製品の内部資料とか公開してんの? それどこのメーカーよ?(笑) 提案してる装置の設定を顧客の代わりに行ったり構築支援したりするのでそういった「技術」は提供してると思うよ なので扱ってるベンダの装置の設定をある程度理解しておく必要はあるかと 「特有の技術」ってのが装置の設定のことを指してないと良いんだけど 流石に一般技術的な話とかマニュアル見ればわかる設定とかの話ではないな 例えばつい先日あった話だが某Ciscoの証明書期限切れによるOSイメージダウンロード検証不可の事象だって OSダウンロードでスタックしてる、証明書が原因らしいってのまではログでわかるかもしれないけど じゃあ何で証明書で認証できてないのとか実はMICとは別の物理的に焼き込まれた証明書でしたーとかCiscoのアナウンスが無いとわからない事だったし >>109 特殊なものは資料も公開されてないからベンダ側で対処するしかないし、ベンダ側でも開発が調べないとわからなかったりするね そういうのじゃなくて、受注していざ構築始めたら「実際に動かしたこと無いので設定よくわかりません」「一応設定してはみたけど期待どおりに動かないんです。なんでですか?」みたいなレベルの 業者様はちょっとご遠慮したいかなと思う 各ベンダ、製品ごとに装置の設定の仕方は異なるわけだから そういうのがわかるのもベンダ特有の技術になるんかなと思った ベンダごとの製品の特徴を知らないと構築どころかコンサルも無理なんだよなぁ メーカじゃないから、そんなのわからなくても僕SIerだから悪くないもん! って、主張するから子供と一緒と言われんじゃろ?わかる >>106 顧客の要望を聴き取って実現できるメーカの製品を選定/提案すると思ってましたが違うんですね 具体的な製品選定は誰がやるんでしょうね 素人で申し訳なくこんな質問して怒られるかもしれませんが 60Fを利用しているのですが、 スタティックルートやファイヤーウォールポリシーの宛先にインターネットデータベースを使うと応答速度が低下する現象はあったりしますでしょうか。 FortigateではASICにオフロード出来ると思いますが、ASICの負荷が高くなった場合は、 CPU処理になるのでしょうかね? 例えば、NTurboが100%になったら、オフロード出来ずCPU処理になるという考えで良いでしょうかね。 >>119 ご回答ありがとうございました! 助かりました! FortiGate 60E (7.2.1)でのIPv6について質問です。 フレッツ光ネクスト回線+朝日ネットのv6契約にて下記のURLを参考に設定済みで、 Windows10/11、Android12/13は正常に外部とv6通信ができています。 https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-asahinet-v6connect-ipip.pdf しかしiPhoneXS/SE2およびiPad mini4、macOS12/13だけ(要はApple製品)がv6で外部と通信できません。 v6アドレスおよびv6ゲートウェイアドレス、v6DNSアドレスをRAから取得済みなのに何故かvne-tunnel(v4 over v6)から外部に抜けます。 Apple製品のプライベートWi-FiをOFFにしたりMacbookで有線接続にしても同様でした。 ただ、FortiGateのwan1が取得しているグローバルv6アドレスに一度ping6コマンドを発すると、 その後は外部のv6サーバにping6が疎通するようになりv6のWebサーバなどにもアクセスできるようになります。 (test ipv6サイトでもOK判定になる) バグなのか上記のPDFでは設定が足らないのか、どなたか同じような環境でv6で抜けられている人いませんか? 7.2.4に上げてみたけど全く同じてすね。 FortiGateだとApple製品でv6できてる人いないんじゃないかなこれ。。 同じ環境でRTX1200だと問題無くv6使えるんですが他に色々便利だからFortiGateを使っていきたいなと。 してあったらごめんだけどセッションヘルパーで58ポート開けてあげて見てもダメかね? >>126 私はふつうに使えてますね。 iPhone / iPad / macOS それぞれ最新パッチ当て済 FOS は7.2.4 で、プロバイダは Asahinet の ipv6 サービス ちゃんとipv6テストサイトで、safari / Firefox / chrome / edge からipv6アドレスで接続出来ているのを確認できます IPv6 tunnel はご提示の手順の方法ではありませんが、ipv6 native でアクセスする分には関係ありませんので、関連性はないかと nd-proxyは有効にしてます。 session helperでプロトコル58は有効にしていませんが、設定しようにもポート番号指定が必須なので設定できず。 >>130 おお、もし良ければv6周りのconfigを教えてもらえませんか? 上のPDFで触れられてないものがあるでしょうか。 仰るとおりv6トンネルのds-lite部分は関係無いと思います。 InternalのmacOSやiPhoneからwan1のv6アドレスにping6するとv6ネイティブで外に通るようになるのがまた解せない。。 >131 Android や windows で通信できている、およびmacOS 側にもIPv6 アドレスが設定されているってことは、 普通のIPv6 設定は問題ないと思うので、macOSに関連するところなんじゃないかなーと思う。 どのIPを使って通信させるのかを判断するのはクライアントなので。 よくわからない状況だけど、ご要望の資料でしてない設定ということなので、ipv6 の delegated 設定と np proxy です Nd proxy はしてそうなので(IPが振られているので)。手順書は、ipv6 tunnel を使ってIPv4 通信をさせることが目的だから この辺の設定はしてないと思う。 ただ、IP振られてるなら通信できても良さそうだなぁとは思います。 蛇足ですがipv6 と ipv4 のポリシーは同じだったら分けたほうがいいと思う。 Ipv4 だとどうしてもNAT が必要になるので、ipv6 native でやりたいならnat 外したポリシーを作ったほうがいいかと思う。 下は、wan で IPv6 NDを受けて、lan へ委任する例(IPv6 のみ) (抜粋) config system interface edit "wan" config ipv6 set dhcp6-prefix-delegation enable set autoconf enable config dhcp6-iapd-list edit 1 set prefix-hint ::/60 next end end next end config system interface edit "lan" config ipv6 set ip6-mode delegated set dhcp6-information-request enable set ip6-send-adv enable set ip6-manage-flag enable set ip6-other-flag enable set ip6-upstream-interface "wan1" set ip6-delegated-prefix-iaid 1 set ip6-subnet ::/60 config ip6-prefix-list edit ::/60 next end config ip6-delegated-prefix-list edit 1 set upstream-interface "wan1" set subnet ::/60 set rdnss-service delegated end next end ありがとうございます。 v4とv6のFWポリシーは分けてます。 頂いた参考設定ですが、これはひかり電話有りのタイプですかね? 後出しになってしまい恐縮なんですがこちらひかり電話を解約したのでHGWの下のFGはRAでv6アドレスを取得してます。 随分前にwan1でdelegateする設定をしたんですがうまくいきませんでした。 帰ったらリトライしてみます。 >>136 はい。光電話タイプです。 anonymous@fusianasan リモートメンテ用に放置されてて侵入されるぐらいなら 自動アップデートがデフォルトでいいよねという FG社の優しさ 中古で買ったFortigate60Fのライセンス買いたいんだけども どうすればいいんだってばよ? 正規ルート外れた箱にライセンス売るとこは基本ないよ。 Fortigate60Fなんですがinternal1でフロー制御を有効にする場合は以下であってますか? config switch physical-port edit internal1 set flow-control both next end fortigateでv6プラス固定IPを利用しています。 この固定IPで他拠点とIPsec VPNは構築できるますか? バグだらけ不具合だらけで品質管理やってないだろ 何回問い合わせさせるのか IPsec VPNの設定で教えてください。 Windows10と11のOS標準VPNクライアントでL2TP/IPsecに接続させたいのですが、 このページを参考に設定をして、クライアントが接続できるところまで確認しています。 https://www.nedia.ne.jp/blog/tech/2021/03/02/17467 VPNクライアント→fortigateのLAN側へのアクセスは出来ていますが、 fortigateのLAN側→VPNクライアントへの通信がうまくいきません。 クライアント側へ遠隔でサポートするために、LAN側からRDPなどでつなぎたいのですが ポリシーの設定をどうすればよいのでしょう? 解説ページの真ん中のほうの、「ALAN→WANのポリシー」の部分で、NATをonにしているので、 クライアント側へ接続できないのだと思いますが、NATをoffにすると クライアント側からもfortigateのLAN側へ通信ができなくなってしまいます。 Windowsデフォルトの機能だからL2TP/IPsec使いたがる人はたまにいるけどFortiClientでも使っておいた方が無難かと ここで訊くってことはどのみち保守とか入ってないんだし FWポリシーで接続できるHP絞っているだけなんですが、ページはほぼ表示されつつもブラウザのタブバー部分だけ読み込みアイコンがやたら続くのは何故でしょうか 軽快で有名な阿部寛のHPはすぐ読み込み完了するのですが企業HPなどが大体この状態に陥ります FortiOSの末尾が数字で終わってたりアルファベットだったりする意味はなんですか? 7.4.6F 7.4.7M 7.0.5 のFやMや何もついてなかったり 解決しました。 Fが新機能含むバージョンで、Mが含まないバージョンでした。 >>151 >fortigateのLAN側→VPNクライアントへの通信がうまくいきません。 もっと具体的に書こう 回線のプラン名とプロバイダのプラン名と接続方式も念のため書こう >>154 ブラウザの開発者ツール/デベロッパーツールなどで確認しよう read.cgi ver 07.5.0 2024/04/24 Walang Kapalit ★ | Donguri System Team 5ちゃんねる