Fortigateについて語ろう5
■ このスレッドは過去ログ倉庫に格納されています
FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの
ネットワーク・プロテクション・ゲートウェイ(NPG)です。
Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System)
テクノロジと独自のASIC(FortiAsic)ベースアーキテクチャを採用した、次世代
ネットワークプロテクション・アプライアンスです。
ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル
のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの
アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。
FortiGateは、4種類のICSA認定取得をしています。
アンチウイルス、ファイアウォール、IPSec、IDS
セールスポイントは非常に魅力的ですばらしいのですが、
非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。
フォーティネットジャパン
http://www.fortinet.co.jp/
FortiProtect Center
http://www.fortinet.com/FortiProtectCenter/
質問する際には必ずFortiGateの機種、FortiOSのバージョン、 ネットワーク構成・環境を報告してください。 セキュリティ構築たんとーさんはだいぶ呑気なもんだな。利便性や運用しらん!セキュリティ高いのが正義!そんな投げっぱな構築やってると顧客減るけど大丈夫?
UTMなんて一番最初に予算削られるとこですよ >>567
知らんかった〜。
お客さんにビルトインCAのままADで端末に配布しとるわ〜
ま、担当外れたからどうでもええわ〜。 今のご時世いの一番にコスト削減するのがUTM周りとか
そんな時代遅れか知恵遅れな顧客はこっちから願いさげですぅ〜 >>570
プライベートCAなりで作ってFortiGateにインポートしたものならコンフィグとして残るのでレストアは可能ですが
ビルトインの方はS/N固有になるのでレストアできないですね
同機種のFortiGateが2台あればすぐ試せるかと思います プライベートCA建てた方がいいとは言われるけど、deep-inspection用の証明書はshow fullで秘密鍵ごと取れるから移せるよ。 FortigateのIPSテンプレートのhigh_securityってデフォルト状態で運用すると問題ある?
素人考えであれだけどハイセキュリティっていうくらいだからある程度安全性あるのかなって思うんだけど FortigateのUTM機能なんておもちゃレベルじゃないの? >>574
やってみました。確かに引き継がないですね。
大変勉強になりました。 中小企業でしか使われてないわな。fortigate
あとライセンス切れは家庭。 結局どのあたりがどういう理由でおもちゃレベルなんでしょう?? それを言わないが、あるんだよと思わせたいパロアルトの思惑 ひと昔前に比べればだいぶ洗練されてきたけど
デカい案件ではやっぱりパロ使うわ 具体的な技術議論なんて出来ないなんちゃってエンジニアの吹き溜まり FortiDDNSの挙動がよくわからん。
故障交換後に「取得可!!」ってなったと思ったのにだめとか >>589
おおおおおお
こんな技ちゃんとあるんだ。NetvolanteDNSよりも春香に親切じゃん >>557-558
初期設定で、IPv4でのWANへのアクセスは問題なかったので、
Default Allowかと思っていました。
実際は、SPIでLANからWANへの通信が登録されて、
帰りのパケットが許可されていたので、通信できていたようです。
WANからLANへのIPv6パケットは、明示で許可しないとダメですよね。
>>547
ひとまず、WANからLANへのIPv6をすべて許可する
プロファイルを一番上に追加したら、クライアントPCで
IPv6アドレスが取得できて、test-ipv6.comは8つOKでした。
これから、プロファイルなりポリシーなり、いろいろといじってみます。 556です。
httpでもhttpsでも、eicarのあるURIは知れ渡っているので、
Edgeでのダウンロードは、Windows10クライアント側ででブロックされていました。
curlで試して、httpのブロックはうまくいきました。
ダウンロードすると、httpsはそのままzipがローカルに保存できるが、
httpはファイルダウンロードされずにCLIにBlockedのHTMLが表示されました。
あとで、自己署名証明書を入れて、deep-inspectionを有効にして、
curlでもhttpsのダウンロードが検出できるか、試してみます。 556です。
>>563-568
Fortigateが交換されるたびに、
クライアントにCA証明書インストールしなおしで事足りる規模です。
>>572
ActiveDirectoryもいらない規模。
>>569
クライアントの台数と通信量によるでしょう。
少ない台数から、負荷を見ながら少しずつ増やしてみる予定です。
Fortigateを明示的なhttp-proxyとして使えば、
LAN側のTLS処理が無くなり、負荷が下がると思います。
CA証明書も不要だけど、クライアントへのProxy設定は別途必要。
(で、合っている?)
>>571 自己批判乙。 >>574-575
うちも、クライアントPCに都度CA証明書インストールでも大丈夫な規模ですが、
故障交換時に、再度CA証明書インストールを避けられるなら、避けたいです。
> deep-inspection用の証明書はshow fullで秘密鍵ごと取れる
から移せるとは、どのようにするのでしょうか。
ヒントをいただきたいです。
Openssl等を使って、現用の秘密鍵から自己署名証明書をつくって、取っておく。
代替のFortigateに書き込むと、クライアント側の証明書はそのまま利用できる、
というイメージでしょうか。 >>593
>Fortigateを明示的なhttp-proxyとして使えば、
>LAN側のTLS処理が無くなり、負荷が下がると思います。
>CA証明書も不要だけど、クライアントへのProxy設定は別途必要。
FortiGateとPC間がHTTPということであればPCがリクエスト出すときにHTTPでGET要求なりを出す必要があります(サイトのURLがHTTPの必要あり)
それと、HTTPで来たリクエストをFortiGateが受けてHTTPSでリクエストする機能は無かったように記憶しています
バーチャルサーバのSSLオフロードの逆みたいな感じですね(これもできなかったような記憶)
そしてプロキシとして使う場合はASICオフロードは効かないのでパフォーマンスも下がりますね 例えば5555 -> 80でフォワーディングする時って
ポリシーで許可するポートって5555でいいの?それともフォワーディングした後の80にするの? カタログのSSLスキャンのスループット凄いと思ったけど
これIPS有効のみの数値? さくらいんたのJPRS 990円 SSL証明書って問題なく使えますよね? 7.02です。DoH有効にしてたら、定期的にネットが遮断されてFortigateの管理ページにもつながらなくなります。
偶然フリーズする直前にログインしてたら、メモリが足りないというようなことが表示されていたのですが、
DoHの機能はまだベータ提供ということなのでしょうか? SSL-VPNでプールアドレスを/24で設定してるんだけど
接続と切断を繰り返すとトンネルIPアドレスを受け取れませんってエラーでて接続できなくなるんですけどどうしてでしょうか??
Fortiを覗いてみる限り何故かセッションが切れずにずっと繋がったままになっててアドレスを握ってるみたいなんですけど
クライアントで接続切った時にセッションも同時に落とす(tunnel-downさせたい)設定とかって無いんでしょうか??
アイドルタイムアウト自体はデフォルトの5分にしてあります SSL-VPNで付与したIPアドレスをVPN接続切れても開放しないバグがあったようなので問い合わせ or バージョンアップしてみるといいかも >>605
ありがとうございます
バグなんですねこれ……結構致命的な気がしますけど……
OSのバージョンアップしてみます >>605
かさねがさねすみません
そのバグについてのレポートみたいなのってどこかにあったりしますか? >>604
SSL-VPNポータル編集で以下チェック入れてもダメ?
ユーザを一度に単一のSSL-VPN接続に制限する >>611
チェック入れた後再起動で上手くいきました、ありがとうございます。
別にチェック入れることに支障はないんですけど酷いですねこれ >>611
一旦よくなったと思ったんですけどやっぱりダメでした
接続と切断を繰り返すうちに一ユーザだけで何十個もアドレス握っちゃってますね
枯渇した後も以前のセッションが残っていれば既存のセッションを切断して接続しますか?のダイアログがでるようにはなりましたけど新規ユーザはどうしようもないですね
酷いですねこれ(笑) >>617
家の(FortiOS7.03)で試してみたけどそんな症状が出ないなぁ
FortiOSとFortiClientのVersionって何使ってます? >>618
7.01ですね
Clientは最新のものです うちもtokenと50E/SSL VPNつかってるけどそんな症状でないなぁ 情報共有どうもです
IPoEで繋げてるのがいかんのですかね……
アドレスプールにv6もいれた方がいいとかあったりします?? 7.01か
6系ではどこもそんな症状無いなぁ
個人的にはそんなβテスター向けリリース使うからだと思うが… >>622
Fortigateの最新バージョン系統はバグ多いよね
複数メジャーバージョンある場合は本番環境は安定バージョン選ぶよね >>622
ありがとうございます
バージョンですかね……?取り敢えず最新にはあげてみます 1年毎にアップデート出るけどさー
テストしたんか?
って感じのが初期はアルアルだわ
known issueが育つまで
待って考えてるわw 60Fでも、やっぱしpppoeは、遅いんやろか?
200Eでは、それなりにスピードでてる。
200EのCPUは、Celeron G1820 2.7GHz ちなみに100Dは、Atom D525 1.8GHz
だった 50EだけどPPPoEで700Mbps出てるよ
もうこれ以上はフレッツ側が限界な気がするけど
700Mbps出てるときもCPU使用率50%くらいだったな >>628
ありがとう。
スピードはでてるが、CPU負荷は高いですね。 >>628
ちな、セキュリティ機能なしのポリシー利用でpppoeで700mでてcpu50パーってことですか? >>630
IPSとAppコントロール(モニタリングのみ)を有効にして700Mbps出た時にCPU50% Windowsでhostsファイルイジる代わりに、Fortigateに設定することってできるの?
DNSエントリに登録すれば良さげだけど、DNSゾーンとかが分からない… >>632
Workgroup運用でドメイン名がないんだけど、エントリにホスト名とIPアドレスを指定すると、FQDNにドメイン名が補完されちゃう。(とりあえずドメイン名はworkgroupにしてみた) TLDがworkgroupのオレオレドメインで運用するなら
fortigateにDNSゾーン作って(fortigateがTLD管理出来るかは知らない。出来なければ適当にドットを1つ以上含むドメインに変更して)、
Windows側はTCPIP設定の詳細設定のDNSタブの検索DNSサフィックスに作ったDNSドメイン記載しとけば
名前解決時に補完(例えばping host1とコマンド打てば、host1.workgroupでDNS問い合わせ)してくれる。 オリジナルの業務アプリケーションの通信記録を取るために、
簡単なカスタムアプリケーションシグネチャーを登録したいのですが、
「変更を保存できませんでした」と表示され登録できません。
Fortigate-60E FortiOS v7.0.4 build0301 (GA)
バーチャルワイヤーペアで通信を監視中、プロキシベース、SSL deep-inspection。
クライアントPCのWindows10のルート証明書にFortinet_CA_SSLを登録済みです。
ポリシー&オブジェクト > ファイアウォールバーチャルワイヤーペアポリシーで、
設定したセキュリティプロファイル APP Defaultを設定しました。
ログ&レポート > アプリケーションコントロール で、
宛先IPアドレス(ホスト名)と、アプリケーション名が見られる状態です。
ttps://help.fortinet.com/fortiproxy/11/Content/Admin%20Guides/FPX-AdminGuide/700_Security-Profiles/720_CustomSignatures.htm
を見て、カスタムアプリケーションシグネチャを登録しようとしているのですが、
「変更を保存できませんでした」と表示され登録できません。
簡単に
F-SBID (--name "Original_App" ; --service HTTP; )
としても、登録できないため、シグネチャの構文エラーではないと思われます。
どの辺をいじるとよいか、お分かりの方、よろしくお願いします。 forticlientを使用したipsec VPNで日本国内のみからの接続に制限したいのですがうまく行きません。
どなたか成功してますか? >>636
グローバルが一つだと外部に晒したipにポリシーを当てることができないので無理かも。
グローバルが複数なら、一つを外部インターフェースにもう一つをループバックにして、その間の通信に国内のipだけを透過ルーティングするポリシー書いて、ループバックに振ったグローバルでipsecを受けるみたいなことをする必要があったと思います。 >>638
ip1個しか割り当てられないのはpppoeでもdhcpでも固定でもipsecではポリシーかけられないですね。
ssl-vpnならできるけどそれではダメですか?遅い? >>638
LoopbackとバーチャルIPの組み合わせでできる >>639
ipsecご要望でして・・・
>>640
バーチャルipにて内部に転送をかけるポリシーに日本ipのみみたいな感じでしょうか? >>642
なるほどこっちでもいけそうですね。
やってみます!
皆さんありがとう! local in policyて自分で追加できるのか
いい情報貰った >>635
FortiOS v7.0.4 で、カスタムアプリケーションシグネチャーを登録、
どなたかできた方いませんか。 もしどなたかわかる方いらっしゃれば教えて頂きますでしょうか
■スタティックルート
0.0.0.0/0 wan2
■バーチャルIP
wan1宛 ⇒ DMZ1宛
上記環境で、wan1宛に外から来た通信をwan2ではなくwan1に返す為に
以下設定を追加したのですが、上手くいきませんでした
■ポリシールート
着信インターフェース:DMZ1
宛先GW:wan1のGW
一方で以下設定を追加した場合は上手くいきました
■スタティックルート
"wan1に通信してきた外部のアドレス" "wan1のGW"
上記ポリシールートで通信がうまくいかないい理由はどんな事が考えられるでしょうか? >>646
同じようなことをやろうとして苦労した記憶があります。
自分は結局pbrはあきらめて、
646の構成で言うwan1先にいるルータ側でnaptさせて、
外部ipをwan1の持つipと同セグ(直接接続ルートになるのでスタティックルートもPBRも記載不要になる)に変換させることで対応しました。 上記はwan1先にルータがいて自由にさわれることが前提の場合の話です。
また、ルーティング記載不要と書きましたがそれはwan1側の話でwan2側のdgwはもちろん必要です。
あと>>500で自分が似たような質問しているので
参考になるかは微妙ですがどうぞです。 ポリシルートを設定するときにはその宛先に対するルーティングテーブルがあることが必要ですがそこは大丈夫でしょうか PBRするときはその先にルートがある必要があるから、WAN1とWAN2それぞれに
0.0.0.0/0があるように書いてAD値をWAN2が小さくなるように設定したうえで
PBRすると動くと思うよ。 回答くださった皆さんありがとうございます
教えて頂いた情報を参考に再度設定してみようと思います
>>647
RPFチェックという仕組みも有るんですね
>>648
>>649
wan1先ルータでのNAPTは盲点でした
ルータの設定変更について検討してみます
過去の質問回答も参考になりました
>>650
wan1宛のルーティングテーブル無いです…
ポリシールートだけでルーティングしてくれるものと勘違いしてました
wan1宛のデフォルトルートも作成して、プライオリティ値をwan2宛の
デフォルトルートよりも高くする事をまずは試してみたいと思います >>651
助言ありがとうございます
AD値で優劣をつける方法と
AD値は同じにして、プライオリティ値で優劣をつける方法では
どちらが良いとかありますでしょうか? プライオリティのほうが良いです
ADだとベストパスが消えない限り次点のパスは有効にならないはずなんで 自分ならwan1とwan2でvdom分けます。
そうすればwan1がpppoe=ダイナミックゲートウェイの場合でも問題なし。
今回はルータ渡しのようですが、pbrではダイナミックゲートウェイで書けなかった記憶が。
もちろんvdom間を適切に繋いであげる必要があります。 FortiClientVPNでIPSEC接続時に、
クライアント証明書認証はできるのでしょうか。
(できればRadiusを使用したい)
FortiClientVPNには、クライアント証明書を指定する項目があるのですが、
FortiGateのIPSECの認証設定では、"事前共有鍵"か"シグネチャ"しか選択できないので、
もし、ご存じのかたがいらっしゃれば教えていただけないでしょうか。 >>654、655
他ご回答下さった皆さんありがとうございます
スタティックルート追加、プライオリティ値調整で無事行いたい事ができました >657
ご回答ありがとうございます!
週末試してみます。 すみません、fortigate詳しい方にお聞きしたいのですがDHCPv6-PDの再移譲って最新の60Fとかであれば出来ますかね?
フレッツ光ネクストのひかり電話有りの契約で上位WANルーターから/58でもらったprefixを
fortigateで受けて配下のコアスイッチに/60などで再移譲したいと考えています
同じような構成で出来ている等の情報ありましたら教えて頂けると助かります 情報ありがとうございます!
手元にまだ実機がないので届き次第上のURLを参考に設定してみます Fortigateでアルテリアのクロスパス使う方法知りませんか?どうも上手く接続出来なくて… SSL-VPN WebモードでアドレスのIP部分をいじると
メニューに表示されてないものへもアクセスできてしまうのですが
特定ユーザーだけ
特定のアドレスのものへしかアクセスできないようにしたりは可能でしょうか。
参考になるドキュメントやサイトご存じであればおしえてください。 >>666
出来ないと思うよ
IPアドレスじゃなくてIDベースで制御するリモートアクセスとしてIAPって製品分野が出来上がってる
zscaler ZPA, akamai EAP, netskope NPA とかそのあたり
必須要件だったらそういうの検討してもいいかもね >>666
ポリシーを細かく分ければできないことはないはず トラフィックシェイパーについて、教えてください。
設定する事で、下限の帯域は確保しつつ、上限帯域に制限した通信が可能という認識で
間違いないでしょうか。
業務ネットワークと同じネットワーク内で、インスタライブ配信を実施してるんですが
ブロックノイズが出るのがどうしても気になって。
LAN⇔WANのポリシーにトラフィックシェイパー設定して、改善するもんでしょうか。
動画配信の為に、ネットワークを別にした方がいいのか、お知恵をお借りしたく。
回線はN○○PC系です。
プロバイダはIPv6非対応。 ■ このスレッドは過去ログ倉庫に格納されています