「Fortinet FortiGate」カテゴリーアーカイブ

FortiOS 5.6メモ(更新終了)

FotiOS 6.2に以降したのでこちらは更新終了です。大して更新しなかったけど・・

FortiOS 6.2 メモ(随時更新したい・・・)

メモ。

バージョン:v5.6.2 build1486 (GA)→v5.6.3,build1547,171204 (GA)

 


■雑記

・デフォルトAVはExtended DB?(5.0の時からAV定義が1.00000だったから90D固有?)

・PaloAltoライクなアプリケーションベースのポリシーを書くには設定が必要。AVとかのフローベースとは別にフローベースにする。後でキャプチャを貼る。

・微妙なWAF機能が追加された?けど、これNGFWモードだと使えない。

・インダストリアルアタック定義とはなんぞや・・・業界ごとのなんかなのか?

・DNSフィルタ機能確認

・NGFWモードは正直イマイチっぽい。あとからもとに戻したらはじけ飛びそう。FortiGateの良さであるポリシー単位のNATができずセントラルNATテーブルになる。よりPaloっぽい。

・ポリシーのアクションのLEARNってなんや。

 


■NGFWモード

PaloAltoライクなアプリケーションベースのポリシーを書くためには設定の変更が必要。

システム->設定のインスペクションモードを「フローベース」かつNGFWモードを「ポリシーベース」に。
※VDOMごとに変更できる。

こんなポリシーが作れるようになる

従来なら443/tcpを許可した中でアプリケーションコントロールで制御する、という方式だがいきなりアプリケーションが使える。
※このため5.6以降ではライセンスが無くてもアプリケーションコントロールは使える・・・らしい。

これ、設定でプロキシモードに戻すと、「アプリケーション」のところが飛んでしまう模様。。。
なので、このままモードをプロキシに戻すと「test1」 のポリシーは全許可になってしまう。恐ろしい。

で、フローとプロキシで使えるセキュリティプロファイルの違いは以下の通り。
※GUIベースで確認。Feature Visibilityは全部有効にした状態。

これはどっちでいくか迷うけど、せっかく5.6にしたんだからフローだよなー。
FortiGateらしいなんでも来いな使い方ができないかなー。

プロキシモード フローモード
アンチウイルス アンチウイルス
Webフィルタ DNSフィルタ
DNSフィルタ 侵入防止
アプリケーションコントロール ForitClientプロファイル
侵入防止 SSLインスペクション
アンチスパム Webレーティングオーバーライド
情報漏えい防止 カスタムシグネチャ
VoIP  
ICAP  
Webアプリケーションファイアウォール  
FortiClientプロファイル  
プロキシオプション  
SSLインスペクション  
Webレーティングオーバーライド  
Webプロファイルオーバーライド  
ICAPサーバ  
カスタムシグネチャ  

ポリシーの編集画面はこんな感じ。NATがポリシーごとに変えられない模様。

ポリシー続き。プロファイルはだいぶ減る。

アンチウイルス(AV)については設定が若干変わる。

プロキシモードの場合はプロトコルを決められる。

フローモードの場合は、スキャンモードにフルとクイックが選択できる。
スキャンできる通信はどういうものになるのか、特殊なポート(8080とか)もスキャンできるのかは要調査かな。

フル(Full)とクイック(Quick)の違いはこんな感じ(ヘルプより引用)。

Flow AV in FortiOS 5.4 and 5.6

In FortiOS 5.4 and 5.6, there are two modes available for flow-based virus scanning: Quick and Full scan mode. Full mode is the same as flow-based scanning in FortiOS 5.2 (see below). Quick mode uses a compact antivirus database and advanced techniques to improve performance. You can designate quick or full scan mode when configuring the antivirus profile in the GUI. Alternatively, use the following CLI 

 

 


■VDOM

90Dは(とういか2桁台?デスクトップモデル?)は、GUIからVDOMが切れないので、CLIでVDOMを有効化する。

config system global
set vdom-admin enable
end

お!VDOMごとにインスペクションモード変更できる!

 


■WAF(Webアプリケーションファイアウォール)

プロキシモードのみ利用可能。
VDOMごとにインスペクションモードは変えられるので、うまいこと設定すれば、ヴァーチャルワイヤにしてWAFだけ有効にしたVDOMを通せばフローモードでも使えるかな?

でもやっぱりあやしい・・・。

 

 


■VXLAN

FortiOS 5.6.2からサポートされたらしい。

設定方法:http://kb.fortinet.com/kb/documentLink.do?externalID=FD38614

IPSec over VXLANのみ対応。あれ、これならL2TPとあんま変わらないきがしないでもない?
IPSecのインターフェースをソフトウェアスイッチで実インターフェースとまとめてしまう感じかな?

FortiOS 5.6.3ではVTEPも使える模様だが、config system vxlanコマンドがVDOM環境では使えない?

VTEP:VXLAN support (289354)

VXLANの参考になりそうなSlide


■IPSec

IPSsecを2本はって、両方ともプロキシID(セレクタ?)を「0.0.0.0/0」「0.0.0.0/0」にすると片方しかアップしない?
※設定変えてしまって後から「0.0.0.0/0」に戻すには以下のコマンドで

set src-subnet
set dst-subnet

■その他関連記事

Macネタ – 12 – macOSのAntiVirusとかFortiClientとか

ども。こんばんは。

さて、久々のMacネタはアンチウイルス(ウイルス対策)です。

さようならIntego
こんにちはFortiClient
やっぱりさようならFortiClient
こんにちはBitdefender

という話です。

まずは、Intego。先日有効期限が切れました。
※購入時の話はここで。

で、Intego Mac Internet Security X9やめます。

パターン更新頻度もあんまり多くなかったし、パーソナルファイアウォール(プロセスの通信があるたびに許可、拒否を聞いてくれる)は良かったんですが、ちょっといいことも悪いこともなかったかなという印象。
そんなにパフォーマンスは悪くなかった気がしますけどね。

なので、まずはアンインストールします。

アンインストールはインストール時のdmgからやらないと行けないとサイトに書いていました。
dmg残しておいてよかったよ。

■Intego Mac Internet Securityのアンインストール

さて、アンインストールはすんなりいきました。

■FortiClientのインストール

これ、かなりハマりました。

先に要点をまとめますと・・・

・FortiNetのダウンロードサーバが弱い!何度もチャレンジすべし
・FortiOS(FortiGate側のバージョン)とFortiClientのバージョンがずれてるとAVとかが有効にならずVPN接続のみになってしまう
・FortiGate側は自分のFortiOSに対応してるかどうかなど関係なく最新のFortiClientに更新されてしまう。
※うちの場合だと、FortiOS 5.2だったのに、FortiClient 5.6系になっていた。以下参考画面。


・古いFortiClientはダウンロードできない。SCSKさんのサイトからダウンロードする
※SCSKさん毎度感謝です!
・FortiOS 5.2に対応する最新のFortiClientは5.4.3(FortiClient_5.4.3.529_macosx.dmg)だった。
※リリースノートでは5.4.3だとすでにFortiOS 5.2は対応してないように読み取れるが実際はうまく行ったっぽい
・FortiGateで、FCT-Accessを有効にしておく(←これは認識していた)。FortiClientがFortiGateと通信するポートが8010。これ、ちゃんと登録時に「IPアドレス:8010」で登録しないと、デフォルトでは「8013」に通信しに行くために通信できない。これハマった。

まずは、FortiClientをFortiGateの画面からダウンロードします。

※ライセンスはデバイス1台につき10クライアントまで無償。ただしサポートは受けられない。(コミュニティベース)

dmgからインストールします。

さて、こっからハマりまくります。

・「Failed to connect to the update server.」と「You have no authority to get update.」のエラーのどちらかが繰り返しでる・・・。色々悩んだが結局何十回かやっていればダウンロードできた。

・うまくいったパターン。

・インストールします

とりあえず、

さて、登録しますが、ここでまたハマります。
※ちなみにこれって大量に配布するときはコマンドラインオプションとかで自動化できるのかな。

・「FortiGate or FortiClient Enterprise Management Server(EMS) was not found.」とな。
で、これはポート番号の問題です。

なので、こんな感じでポート「8010」指定でどうぞ。

うまく行けば登録できます。

ふぅ。あれ?アンチウイルスとかでなくね?あれ?あれ?

はい。冒頭で書きましたとおり、FortiClientのバージョンとFortiGate(FortiOS)のバージョンが大きくずれていたことでAVとかが出てきませんでした。。。

FortiClientのリリースノートにはちゃんと対応するFortiOSのバージョンなどが記載されています。
※それならFortiGate側もちゃんと自分のFortiOSに対応したFortiClientのバージョンにとどめておいてほしい・・・

しょうがないので、SCSKさんのサイトからちょっと古いFortiClientをいれて見たらこんな感じ!いい感じ!

で、少しテストしてみました。

・AV(アンチウイルス)

これね、ファイル消してくれない。。いわゆる削除とか駆除とか隔離してくれない。。。
これはFortiClientが古いからなのか?ちょっとがっかり。

・URLフィルタ

キャプチャないですが、どうもFortiGateに向かってリダイレクトされるみたいです。
証明書違反でアクセスできませんでしたが、多分そんな感じ。

面白いのは、FortiGateのWebフィルタのプロファイルがそのまま当てられるところ?かな。

また、FortiClientのプロファイルは、どのデバイスカテゴリに当てるか?を指定できます。

ファイアウォールのルールっぽく、上から評価されるのかな?

また、当たっているポリシーはMonitorでも確認できます。

とりあえず、ここまで。なのですが、やっぱりファイル消えないってのはちょっと・・・

また、FortiClientも古いものしか使えないということもあり、ここまでやっておきながらFortiClientは見送ります。。。

アンインストールして、最新版に入れ直してVPN用に引き続き使います。
※特にもうFortiGateにはRegistもしないかな・・・。

手順は省きますが、FortiClient上からDisconnectして、macOSのアプリケーションからアンインストーラを実行します。

さて続いて・・・

■Bitdefenderを入れる

特に選んだ理由はないですが、いろんなサイトで評判が良さそうなので。

ただ、パーソナルファイアーウォールなさそうなんだよなー。

「Total Security 2017」っていうエディションが、ファイアウォールとかの機能も乗ってそうだけど、結局それを買ってもmacOSはAntivirus for Macになってしまうっぽいですね。

ということで、「Bitdefender Antivirus for Mac」の体験版をいれてみます。

お、ちょっとおしゃれ。

なんも起きねーなと思ったら、こんな画面が出ていました。

終わったらこんなアイコンが出ていました。

スーパーセキュリティ セントラルってなんや・・・

とりあえずアカウントを作ってログイン。
お、サブスクリプションの追加とやらができますね。。

えっと、誤字ってますよー。
使用版とやらを開始します。

追加された。

ランサムウェア対策の設定。一旦飛ばす。

タイムマシンもランサムウェアから守ってくれるらしい。一旦飛ばす。

確認が出てきた。

とりあえず動いた。

とりあえずここまで!

ではでは。またの機会に。

 

 

 

 

 

FortiCloudとのManagement Tunnelをアップさせる

ども。こんばんは。

久々のFortiGateネタ。

FortiCloudで設定管理、ファームウェア管理、ログ管理、FortiSandbox(Cloud Sandbox)とか諸々ができます。
ちなみに無償プランでも最近100GBまでログ保管してくれるっぽい(でも7日で消える?)し、Sandboxも1日10ファイルくらいは解析してくれるっぽいです。

残念ながら5.2(v5.2.1,build618 (GA))ですけどね。

ずっとConfig Managementができない(The tunnel is not established.)のを不思議に思っていましたが、設定が必要だった模様。

 

以下マニュアル

FortiCloud v3.1.2 Frequently Asked Questions

FortiCloudへの設定はこんな感じ。
※これ多分FortiManagerと繋ぐ時の設定と一緒っぽいな。

config system central-management
set mode backup
set type fortiguard
end

お、コマンド実行後すぐにCPUとメモリが出てきました。
※上の段はもう使ってないFortiGate 50B。

ちなみにうちのFortiGateは直接Global IPは持っていません。
どうもFortiGateからFortiCloudに向けてセッション貼ってるっぽいですね。

なんか不審なエラー(ファームウェアミスマッチ?)っぽいメッセージが出てますが設定が見えます。
※手動でImportしてみましたが改善しませんでした。

怖いけどオブジェクト作ってみる・・・。

変更部分は青背景なのかな?
※ページ切り替えたら青背景消えた笑

右上のDeployを押して見る。

できた・・・っぽい

ログがでます。

おー。入ってる。

とりあえず、設定はできそう。。

が、複数セキュリティプロファイルには対応していない?っぽいです。

まぁいいか。

で、おまけ!勢いでバージョンアップもします!

FortiGate本体だと、5.2系を認識していませんが、FortiCloudだと5.2系の最新にできるぽい。

FortiOS v5.2.11, Build 754にアップデートします。以下リリースノート。

http://docs.fortinet.com/uploaded/files/3654/fortios-v5.2.11-release-notes.pdf

スケジュールを指定するみたいですが、これUTCで指定するっぽいです。
※今の時間が選択されているのでそれを参考に。

サクッとできましたー。

とりあえず、IPS/AVも更新できてるし、EICARも検知するし、AndroidからのSSL-VPNも問題ないしOKかな。

あと、FortiCloud Configでもう一回Importしたほうが良さそう?これは定期的にアップロードされているのかよくわからん。
※もう一回Importしたらファームウェアミスマッチのエラーは消えました。

とりあえず今日はここまで。

ではでは。またの機会に。

 

 

 

 

FortiTokenの再アクティベーションメモ

機種変したのでメモ

ユーザの設定画面で「Enable Two-factor Authentication」を一旦OffしてOK。

再度OnにしてOKして、「Send Activation Code」を押す。

この手順を飛ばして「Send Activation Code」だけ押すと、有効期限が古いままのコードが送信されるので注意。

なお、相変わらずQRコードじゃないとうまく登録出来ない気がする・・・。

FortiTokenメモ

・FortiGate上にメールサーバの指定必須。
※Activation Codeがそこ経由でくる。CLiからでもコード見れるけど。

・標準で2つまで無償

・3rd Party AccouFFntだとうまくいかない。QRコードを使うべし
※Pendingのままになって認証失敗になる。

・FortiCareのアカウントは知らなくても関係なし。

証明書とADな話

ども。こんばんは。

家の中のいろんな証明書が失効してまして。

ちょっと勉強がてら更新です。

今回の方針としては・・・

・Active Directory証明機関で署名する

ということにしています。
※どうせオレオレ証明書なので、ドメインに参加しているPCはCAの証明書をインポートしているので。

んで、CSRをopensslで作ったのですが、証明書テンプレートの情報がないらしく、証明機関で署名出来ない。。。

諦めてIISで作ります。

今回はドメイン全体の証明書が欲しかったので、IISでドメイン証明書を作成。
どういう設定か忘れてしまいましたが、自動で証明機関が署名してくれました。

これをpfxでエクスポート。

この状態だとちょっと使いにくいので。。。

まずはpfxを変換

openssl pkcs12 -in cert.pfx -out cert.txt

中身をキーと証明書に分けて保存。(テキストエディタとかで)

Apacheとかでも使うので、パスフレーズを外す

openssl rsa -in localhost.key -out localhost.key

こんな感じですかね。

今回更新したのは

・Apache
・Dovecot
・FortiGate

です。ApacheやDovecotはさほどでも無いですね。

FortiGateはpfxでも対応していたみたいです。。今回はせっかくばらしたので、certとkeyをそれぞれインポート。
管理画面とSSL-VPN用に当てました。

管理画面はCLIで。

config system global
set admin-server-cert “インポートした証明書”

そんな感じ。

■おまけ

ついでにFortiGateのSSLインスペクション用のCA証明書をADで配布するようにしました。

まずはFortiGateの管理画面から「Fortinet_SSLProxy」をダウンロード。

ADでグループポリシーの管理で、
「コンピュータの構成->ポリシー->Windowsの設定->セキュリティの設定->公開キーのポリシー->信頼されたルート証明機関」
にインポート。

んでまぁ適当にgpupdateしておく。

こんな感じです。多分正しいFortiGateでのSSL復号化(SSL Inspection)の使い方・・・だと思いたい。

ではでは。またの機会に。

FortiGateでのSSL復号化(Deep Inspection/ssl-ssh-Inspection)について

ども。こんばんは。

FortiGateネタでは本日最後。

5.2.0からはどうやらSSL系のサービスを許可すると勝手にそのポリシーでssl-ssh-inspection(5.0系まででいうところのDeep-Inspection)が働く模様。

デフォルトではハンドシェイクまでしか見ない「certificate-inspection」になる模様。

こいつをdeep-inspectionに変更すれば中身までバッチリ。

んで、CAの証明書をFortiGateの管理画面からダウンロードしてインストール。
※ちなみにFirefoxってあんまり使ったことなかったけど、Windows側に証明書入れてもダメなのね。。。知らなかった・・・。

これはまぁ別になんとも無い話。無事にSSL内のEICARも検知・ブロックできた。

問題はAndroid。同じように証明書を入れるのはいいのだが、LINEでのメッセージ送受信ができなくなる模様。

いろいろ考えた挙句、SSL-Exemtpで、FortiGurad URLカテゴリの69(Instant Messaging)を除外してやれば
とりあえずうまくはいった。とりあえずは・・・。
※LINE自体はNaver.Lineとかそんな名前でアプリケーションコントロールで識別出来ているので、
これがもしPaloAltoだったら、簡単にSSL Decryptionの対象外にできるはずなのに。。。

まぁ結局やっぱり怖いので、一旦Androidデバイスからの通信についてはSSL復号化は解除して様子見ですね。

しっかしいろいろGUIで設定出来ないのは本当に辛い。。。辛いというよりパラメータを探すのが面倒。。。

ではでは。またの機会に。

 

FortiGate 40Cへのリプレースは一旦完了。

ども。こんばんは。

リプレースは一旦完了です。

とりあえず気づいたことはこちらに書いています。

んー。40C(デスクトップモデル)のせいなのか、Deep-Inspectionの設定がCLIオンリーだとか、
諸々使い勝手が悪い。というのが印象。

あと、今回は初めてデバイス制御でのポリシーも作ってみた。

うーん。うちのHTL22はAndroid Tablet扱いになってる。。

思ったほど5.0系と変わらないけど、デスクトップモデル(2桁機種)への扱いがより酷い。。

さて、リプレース終わったFortiGate 50Bは、4.0 MR 3 Patch 18化後、IPv6回線用のCisco 1812Jの代わりにするべく格闘中です。

PPPoEが全然つながらない。。Ciscoより難しいっておい・・・。

 

FortiGate 40C

 

 

しっかし最近のHTL22(HTC J ONE)の紫カメラ具合の悪化がやばい・・・

ではでは。またの機会に。

FortiOS 5.2.1メモ(更新終了)


FotiOS 5.6に以降したのでこちらは更新終了です。大して更新しなかったけど・・

FortiOS 5.6メモ(随時更新したい)


 

FortiGate 40C/v5.2.1,build618 (GA)にて確認した内容。
※5.0系以降で、デスクトップモデル(いわゆる2桁機種、40C、60D、80C…)は大きく区別されている為注意。

・ダイナミックルーティングの設定(OSPF)
GUIからの設定不可。
Feature(フィーチャー)や、set gui-xxではGUIに出ない

以下設定方法メモ

config router ospf
set router-id xxx.xxx.xxx.xxx ← 必須
config area
edit 0.0.0.0
next
end
config ospf-interface
edit “internal1” ←このへんは適当?
set interface “internal1”
next
end
config network
edit 1
set prefix xxx.xxx.xxx.xxx 255.255.255.0
next
end
config redistribute “connected”
end
config redistribute “static”
end
config redistribute “rip”
end
config redistribute “bgp”
end
config redistribute “isis”
end
end

設定後は普通にルーティングモニタから見ることが出来た。

再配布の設定は

# config router ospf
(ospf) # config redistribute staticとかconnectとか

・VLANサブインターフェースの作成

何故かGUIから出来ない・・・(40Cのせいか?)
CLIからは作成可能

・extendet-utm-logが標準に??(確認中)

とくに何も考えなくてもロギングされている模様。
なおメモリ上にURLフィルタ、アプリケーションコントロール(Application Control)の”モニタ(Monitor)”のログを表示するには、

config log memory filter
set severity information
end

などで、デフォルトのwarningから下げる必要あり。
※syslogdはデフォルトでinformational。

・4.0/5,0のようにFortiViewではなく各UTM機能の状況をモニタリング

# config system global
(global) # set gui-utm-monitors enable
(global) # end

Security ProfileのMonitorに追加される。
※デフォルト無効、フィーチャーにも表示なし。

なお、FortiViewはDsik logging必須!が、FortiCloudにログをアップすれば同等の見方ができる。

・SNMPの設定はCLIオンリー

になった模様。

・ポリシールートもCLIオンリー

になった。

・SSL-VPNの設定がガラッと変わった。。。

まず「VPN->SSL->Settings」で待ち受けインターフェースやトンネルのプールなどを決定。
ポリシーでは、今までのようにWAN->InternalへのアクションSSL-VPNはなくなった模様。

ssl.rootから内部へのポリシーをつくるだけになった?
※払いだされrうルーティングはSSL-VPNのSettingsで決定???

てか、5.0の特のアイデンティティベースなんちゃらはどこいったんだよー。。。

続く・・・

 

40C到着!

ども。こんにちは。

きました。AVとIPSのライセンスが2019年までアル━━━━(゚∀゚)━━━━!!

6627

そしてやっぱり5.0系からはVDOMが切れなくなってるorz

OS5.0 デスクトップモデルでのVDOM有効化について

https://hds.networld.co.jp/helpdesk/support/FaqFacadeServlet?TaskType=Detail&seriesId=Fortinet&id=00002534&categoryId=0194&JspUrl=/support/FrequentlyDetail.jsp

Fxxx(global) # set vdom-admin enable

command parse error before ‘vdom-admin’
Command fail. Return code -61

コマンド無いってさ。。。

さて、5.0.9で止めるか、男なら5.2.1まで行くかが悩みどころ。。。

ちょっと仕事を残しているのでそっちを先にサクッと片付けますか!