Fortigateについて語ろう6
FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの
ネットワーク・プロテクション・ゲートウェイ(NPG)です。
Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System)
テクノロジと独自のASIC(FortiAsic)ベースアーキテクチャを採用した、次世代
ネットワークプロテクション・アプライアンスです。
ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル
のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの
アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。
FortiGateは、4種類のICSA認定取得をしています。
アンチウイルス、ファイアウォール、IPSec、IDS
セールスポイントは非常に魅力的ですばらしいのですが、
非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。
フォーティネットジャパン
http://www.fortinet.co.jp/
FortiProtect Center
http://www.fortinet.com/FortiProtectCenter/
質問する際には必ずFortiGateの機種、FortiOSのバージョン、 ネットワーク構成・環境を報告してください。
Fortigateについて語ろう5
https://mao.5ch.net/test/read.cgi/network/1593878325/ アラートメールってSQLインジェクション検知とかDDos攻撃検知とかも知らせてくれるの? PaloAlto PA-220の電源なし動作未確認を買いました。
PA-220が一台あったので電源アダプタをつなぎました。
背面のランプはつきました。でも、全面のPWRも何も、何も。
待てど暮せどランプも点かず…ジャンク品として流すことにしました (T_T) >>2
よく思うんだけど、Dos攻撃知ってどーするの?サービス再開出来る手段とかある? Dosポリシーで落ちる前にしきい値で遮断するのでは?
だだ、全ポリシー有効にしてログを出すようにするとアラートメールが止まらなくなる。 FortiCloudの無償版提供もそろそろ部分的に終わる兆しがあるなぁ。
FortiOSも最新にすれば良い訳ではない。
そもそも定義体があがってなんぼだから。
なので、Upするとベース定義体のタイムスタンプがやばいのよね。
V7.2.x V7.0.xはその辺改善してるけど。 OSも定義も最新にしないと
OSバグやセキュリティホールは定義では治らない >7
まぁいまだに5.4がいるわけですよ。
6.x系も多いけど。 FortiSwitchのFortilinkが、いまいちしっくりこない。。。
なんだろう、スタンドアロンで動かせばいいんじゃないかと思ってしまう自分がいる。 最新と言っても7.2系入れちゃう奴はバグに苦しんでも自業自得だと思う 最新のメジャーバージョンは、修正されるまでしばらくお試しですよね。 心配しなくても日本の代理店は古くさいバージョンしかサポートしない 7.2でmaturity firmware levels入ったから
メインツリーで実験すんのやめたw おいおいおいおい?!!!!!
cve-2022-42475 ―――こうしてForigateを使用している百数十社の会社の顧客データは盗まれ、
社長は株価ダウンを恐れて隠蔽をし、顧客データは全て密かに中◯に高値で独占売買され、
サイバー部隊の日本人対策用データベースに保存されていくのだった。おわり 公式でSSLVPN機能使ってなければ大丈夫ってアナウンスして欲しいな 実は設定をoffにしてもポートが開いていて攻撃を受けるというオチだったりして こんな危なっかしいVPNじゃなくてIPA純正のシン・テレワークシステムでも使っとけ ユーザー向けにFORTIGATEのSSLVPN使ってる会社は無いだろうけど
管理者とか保守会社がメンテナンス用とかバックアップ用とかで結構使ってたりするんだよな~ >>19
公式に対策としてDisable SSL-VPNとあるけど バグ情報見てないからしらんけどEAP-TLSみたいなんて出来ないん?
それでダメならforti自体がアカンことになると思うんだけど >>22
バージョン6.0系の修正が出る可能性あるみたいです。 >>28
認証なしでリモートからコマンド可能なので証明書は関係ないです。
しかも昔のバージョン5からなので致命的 >>32
言葉足らずだったわ
VPNを証明書認証でやればええんちゃう?って言いたかった
出来るのかしらんけど >>34
認証無しでも不正操作される問題に認証で対策するのか? SD-WAN機能触ってみたけどSD-WANとは名ばかりだな そもそもファイアウォール自体がSDと言えなくもない。 普通のSD-WANベンダ製品が売れてるって話もあんまり聞かない
ブレイクアウト需要は多いけど PaloaltoVM試用版って30日となっているけどいつから30日ですか?
インストールし直せば何度も使えますか? FortiGateで0% nice ってなっているんですけど、ここのniceはシステム以外の優先度の
低いプロセスで使っているCPU使用率を表示させているのでしょうか?
# get system performance status
CPU states: 0% user 0% system 0% nice 100% idle 0% iowait 0% irq 0% softirq nice値によって優先度が変わるというのは理解したように思えるのですが、
よく分からない。。。。 >>41
おそらくその認識かと思います。
公式見るとnice100%だけだとFortiGateの動作が停止してるようです。
https://docs.fortinet.com/document/fortigate/6.4.2/administration-guide/152469/troubleshooting-cpu-and-network-resources
Troubleshooting CPU and network resources
FortiGate has stopped working
If the FortiGate has stopped working, the first line of the output will look similar to this:
CPU states: 0% user 0% system 0% nice 100% idle >>46
idleの間違いですね。お恥ずかしい。
指摘ありがとうございます。 niceのパーセントが上がってる時って、ナイスじゃない事が
起きてるってことでOK?
優先度が何かしらで変わるって事は、優先度があがるようにCPU割り当ててる
感じか。 Fortinet JapanのSEさんって、めっちゃメール回答とか安心感ありますわ。
なんだろう、努力した時間の違いなのか?
ああいう、カッコいいSEになりたい。 保守対応に該当する問い合わせは保守契約(保守体制フロー)に基づいて代理店に問い合わせてもらうしか無い
これはどこのメーカーも基本的には同じ >>52
ほとんどのメーカーは直接やってるイメージ >>53
障害対応のチケットオープンとかエンドユーザが直接メーカとやるかね
代理店、SIerに払ってる保守費は一体どこに消えていくのか エンドユーザとメーカーで直接保守契約を結ぶことってダイレクトサポート(有償サポート)くらいかなぁ 例の病院のVPNでのランサムウェア被害って
使ってるの知ってて連絡の無い保守契約してる業者
イー加減にしろ 保守ベンダから連絡しないでしよう。
保守ベンダは、故障や技術サポートの窓口だから脆弱性情報は聞かれない限り、情報提供もしない。
構築ベンダにセキュリティサポート費用とか払って脆弱性情報貰うか、機器導入してる組織のセキュリティ担当かCERT担当がアンテナたて日々脆弱性情報集めるしかない。
と言っても、IPAのサイトかJPCERTのサイトか、メーカーサイト位しか確認しないけどね。 確認して対処できる人がいるならそもそもそんなことになってないねんな
ファルコンとかガチのハッカー雇ってるとこのサービス使えばええんや
じぇーくらーととかいううんちに頼るのは悪手 RSSとかでPSIRT情報来るからそういうのをIT/セキュリティ管理者は見ておかないといけないよねってだけの話なんだけど
全部丸投げしてるからねぇ 保守ベンダーだって普通に連絡取る所多いだろ
ここで連絡取れないとような所は切られるからな
但し、ベンダーとの関係が悪かったり担当者に問題があったりすると別だが
病院系はヤバい担当者も居ると聞くからどっちが問題かはわからん 影響のデカいセキュリティホールなんかは
メールで連絡してくれてもいいんしゃね?
とは思う。
ベストエフォートで。 fortiguard PSIRTアドバイザリを見ないの? >>68
Fortinet PSIRT notification mailで検索 情シスがそんなん見るかよ
インフラなんて業者任せや 複数拠点でipsecVPN(アグレッシブモード)を行う時の設定をしてみたけど、このサイトでいうB拠点とC拠点の通信ができない(pingが通らない)のは仕様なんだろうか
scskのサポート担当に尋ねたらハブアンドスポークでやってくれと言われたが…
私はできるか出来ないかを聞いたんだがなぁ
普通のciscoルータやアライドルータだとできるのに
https://tec-world.networld.co.jp/faq/show/10151 >>74
A拠点でB、C向けのIPSEC張れてるなら、B-C間ポリシーをA拠点に入れれば通信通りません? >>76
ポリシーもあるけどB,C拠点のIPSecVPN Phase2設定内の送信先アドレスに双方拠点のアドレス入れる必要もあるね
自分の組んだ環境だと拠点間通信も問題ないわ
A拠点もBとの接続設定の送信元アドレスにCのアドレスを含める必要はある >>76
>>77
レスありがとうございます
・A拠点にBC間のポリシー設定済み
・B拠点のポリシーに送信元C拠点のNWアドレスを設定 その逆も然り
・AにおけるAB間のIPsecのphase2の設定の送信元アドレスにC拠点のNWアドレス(AC間のIPsecの設定時に利用しているもの)の設定 BにおけるAB間のIPsecの設定の宛先アドレスにC拠点を設定してます (C拠点の場合も同様に設定してます)
時間があればwebGUIのスクショ載せます
納期近かったから、結局ハブアンドスポークで構築して納品したんですけど ちなみに同じ設定で、どこの拠点もグローバルIPが固定だと通信できちゃいました 同じようにメッシュ型じゃなくA拠点中心のスター型で
後出しになって素人丸出しだけれどFortigate60f ファーム7.2.3です fortigateのddns設定つかえば良かったかもしれんが、これはやってないです ddns使わずに動的グローバルアドレス間のIPSECは出来ないのでは? そうだよ震えろ
日本のIT業界なんてこのレベルのが設計構築してんだ >>81
片側が静的IPならIPSecアグレッシブモード使えば拠点側は動的IPでもDDNSは要らない
VPNセッション開始が拠点側からになるだけで通信自体はほぼ変わらん v7.2系使ってる時点でFortigate素人感漂うな
質問してるNetWorldはまだサポートしてないんだからまともな技術サポートを受ける権利が無くなるから本番環境で使うとかアカン >>84
81です。
B拠点(動的)-A拠点経由(静的)-C拠点(動的)なら仰る通りですが、B拠点(動的)--C拠点(動的)でIPSEC接続されたいように見えます。
>>86
サポートはscskみたいですね。
サポートも新しいバージョンはバグがある可能性が高い事は教えてくれないんですかね。 逆にCiscoやアライドでどうやったら出来たんだろう >>83
設定も切り分けも出来ない人が金取って設定してるとか怖すぎるよね
どこもそういった人しか居ないんだけどさ >「私はできるか出来ないかを聞いたんだがなぁ」
このくらいのことを構築担当してる業者が訊くとかほんと終わってるのと
理解してない人って整理されて無くて何言ってるかわかんない質問投げてくるから回答する方も大変なんだよね 動的IP-動的IPでのIPsecVPN接続は可能だけど、1から説明しないと行けなさそうな感じなんで
おとなしくハブ&スポークでやってって提案されたってとこかな S○SKの技術サポートって他社と比べてどんな感じなんでしょうか?
以前問い合わせしたときに技術レベルに疑問を感じることがあって… どこの業者も構築や設定差ボートはしません
故障時のサポートです
って言われた経験ある
そう言わんと設定をサポート二丸投げする奴らが居るんだろうな 「DDNS使えばいいですよ」って案内しても「DDNSってなんですか?」「どうやって設定するんですか?」ってくるのが見えてるからね >>93
なるほど。そうっぽいですよね。
>>95
まぁ丸投げはダメでしょうね。
ただ故障サポートって言い切るのも少し違う気します(笑 >>97 の 1つめは >>94 様宛でした。
失礼しました。 だいたいはお金(有償サポート or スキルのある人を雇う)で解決するんだよね