「Fortinet FortiGate」カテゴリーアーカイブ

FortiOS 5.6のNGFWとDNSフィルタの使えなさがやばい

はい。やばいです。

先日も書きましたが、下手にアプリケーションでポリシーを書くとえらい目にあります。

このvideoとaudioのポリシー、SMTPまで引っ掛けてました。。。。

あと、DNSフィルタですが、これも酷い。。。

なんかmoneyforwardにつながらないと思ってたら、FortiGateのせいだった。。。

なんかね、名前解決できるはずなのに、エラーと判断した上にRedirectしやがった。(デフォルトではFortiNetのDNSにリダイレクトされる。)

なので、もう一旦無効にしましたよ。

以前のようにポリシーのプロファイルとしてURLフィルタが当てられないので、地味に困る。

結局またall->all->allで、URLカテゴリ指定したポリシー作ってもいろんなものが吸い寄せられるんだろうなあ。

うーん。これはNFGW機能OFFにして旧来通りのポリシーベースにしようかなぁ。。

ではでは。またの機会に。

FortiOS 5.6.3でAVが効かなかった件解決?

ども。こんばんは。

先日の記事でアンチウイルス(AV)とDNSフィルタが何故か動作しないということを書きました。

FortiGate 90Dへのリプレース完了

で、これ結論から言うと動作しました。

今回我が家では・・・こんな感じで、一部のクライアントをvdom1からvdom2にカキーンと曲げています。

クライアント ー ーーーーvdom1 ーー Interlink
(一部クライアント)       \ ← PolicyRoute+AV/DNSフィルタ
クライアント ーーーーーvdom2 ーーー OCN

とどのつまり、vdom1からvdom2へのvdom linkに抜けるタイミングのポリシーでアンチウイルスとDNSフィルタを有効にしていました。

これだと動かない模様ですorz

なんでvdom1でやりたいかというと、プロファイルの管理がし易いかなとかそんな理由です。。。

うーん、これ前からそうだっけかな。

まぁとりあえず動いたかな。

でもDNSフィルタが聞かないぞ・・・ちゃんとDNSサーバから外にでるポリシーに当ててるつもりなんだけどなー。

あ・・・・DNS通信、video/audioに持って行かれてた模様・・・orz

※このポリシーの下にDNSとかHTTPとかのポリシーがある。

DNSだけポリシー上に書くかな〜。

ではでは。またの機会に。

 

FortiCloudのActivationできなかった件解決

ども。こんばんは。

リプレース中からうまくいってませんでした。

invalid user name or password

とか言われてログインできない=Activationできない。

原因は「日本の」FortiCloudに勝手に繋いでしまうから・・・。
気づくのにだいぶかかった。。。これやめて。。。

日本にはアカウント持ってないんだもの。
ちなみにグローバル?のFortiCloudには2014年の5月頃に登録していました。

さんざん探し回ったけど日本以外のサーバに変更する方法が見つからず。

結局JPのFortiCloudにアカウントを作って解決しました。

これイマイチだなぁ。
世界中にFortiGate撒くような案件だとどうなるんだろ。有償版は違うのかな?一応マルチテナントっぽいライセンスもあるっぽいし。

お、AVのオプションにもFortiSandbox出てきたな。

おまけ。FortiCloud関係のデバッグ

 

dgw-ng (global) # diagnose test application forticldd

1. dump fds setting

2. dump log controller status

3. dump log server status

4. dump msg controller status

5. dump msg server status

7. dump FDS default update server status

8. dump FDNI status

9. dump Contract Controller status

10. dump Configuration Manager status

11. dump FortiClient status

12. dump FortiManager status

13. dump image/cfg/script schedule

14. dump image list

15. dump fap version list

16. dump fsw version list

17. dump connection info

20. toggle debug of FortiGuard log

こんな感じ。

dgw-ng (global) # diagnose test application forticldd 3

Debug zone info:

    Domain:

    Home log server: 208.91.113.221:514

    Alt log server: 208.91.113.144:514

    Active Server IP:      208.91.113.221

    Active Server status:  unknown

    Log quota:      102400MB

    Log used:       0MB

    Daily volume:   20480MB

    FDS arch pause: 0

    fams archive pause: 0

    APTContract : 0

    APT server: 208.91.113.221:514

    APT Altserver: 208.91.113.144:514

    Active APTServer IP:      208.91.113.221

    Active APTServer status:  up

 

ではでは。またの機会に。

 

FortiGate 90Dへのリプレース完了

ども。こんばんは。

リプレース終わりました。

FortiOS 5.6.3も出てましたのでそれにしました。

NGFW機能は正直まだ改善の余地がたくさんありますね。

こんな感じの使い方ができるはずですが、実際には関係ない(はず)の通信がバカバカ引っかかります。。。
※意図としてはまんまです。

これPaloAltoならそれなりに意図通りに動くんだよなー。

うーん・・・。
いっときFortiGateは劣化NetScreenっていうイメージだったのが最近すごい盛り返した感があったけど、なんか今度は劣化PaloAltoって気がしてきた・・。でも安価に色々できるのはやっぱりFortiGateだよなー。

で、今回はSRX(Virtual Router 2つ)とFortiGate 40Cを束ねてVDOM 3つの運用になっています。

以下メモ。

・VDOM間のOSPFにはVDOMリンクにIPアドレスが必要。
・CatalystとのOSPFがうまくいかない。Catalyst側から広告されたルーティングが反映されない。逆はOKっぽい。
・Root VDOMからの別のVDOM経由でアップデートする設定にしている。デフォルトゲートウェイをVDOMリンクに向けている。VDOMリンクにIPアドレスが必要。
・IPSecが調子悪い。。。Phase2でセレクタを0.0.0.0/0なトンネルを2本作っているがどっちか片方しかActiveにならない・・・。
・Virtual IPでNATしているホストはCentral SNATよりもちゃんと送信元NATが優先される
・5.6から1つのインターフェースでマルチPPPoEができるが、Global VDOMではPPPoEインターフェースが作成でいない。結局あんまり意味がない。。。
→今VDOMに割り当てた物理インターフェースでアドレッシングをPPPoEにし、さらにそのインタフェースに紐付くPPPoEインターフェースを作っている。
イメージとしてはWAN1の下に複数PPPoEインターフェースを作って、それぞれをVDOMに当てたいが、それが出いない・・・。

・無償のFortiToken Mbileのライセンスをroot VDOMから別のVDOMに移動する方法

How to move the free FortiToken mobile licenses to a new VDOM or firewall

これ40Cのやつも移せるのかな・・・?

・なぜかAVが動作しない!!!!!
・DNSフィルタも!!

解決しました。(2017/12/25追記)

 

あと、何故かFortiCloudに接続できない。。。ID/PW合ってるのに間違ってるって言われちゃう・・・。

まぁこっからポリシーの漏れとかいっぱいあるんだろうけど、とりあえず完了ということで。

まだZabbixとかSyslogの設定とか運用周りが追いついてませんが・・・・。

Juniper SRX 220-PoEFortiGate 40C本当にお疲れ様でした!
※SRXは365日以上のUpTimeになっていました。

ではでは。またの機会に。

 

 

FortiGate 90Dへのリプレース – 1 –

ども。こんばんは。

先日購入したFortiGate 90Dへリプレースの準備をしていきます。

今回はヤフオクで購入。3台購入しました。(私と後輩2人で共同購入。)

Tポイント5000ポイントくらい使って1台、¥21,700ってところですね。
ライセンスが2020年6月まで残っています。

FortiOS 5.6が使えて、価格も比較的安くとてもいい機種だと思っています。

ではリプレースに向けて設定をいれていきます。

なお、FortiOS 5.6のあれこれはこちらにまとめていきます。

FortiOS 5.6メモ(随時更新したい)

まずは、ファームウェアをあげます。もうズドンとあげます。
※事前にWAN1のIPアドレスを変更してインターネットにつながる状態にしています。
初期では、LAN1でDHCPが走っているので、LAN1に繋いで「192.168.1.99」につなげばGUIが見れます。これも大昔からの伝統ですねー。

ズドンと上げたら一応execute factoryresetをしています。なんとなく気持ち悪いので。
※一同factoryresetする前にAVとか諸々最新にできたことを確認しました。

■とりあえずVDOMを有効化

FortiOS 5.6メモ(随時更新したい)を参照。

■基本的な設定

・ホスト名変更
・タイムゾーン変更
・管理者パスワードの追加
・ハードウェアスイッチを削除(後述のroot VDOMのポリシーを消してから)
 ・SSLのポートを10443に変更(SSL-VPNとかぶるので)

■VDOMを追加

・今回は、今のJuniper SRXのVirtual Routerと同じ構成にするつもりなので2つ設定。
両方ともフローベースだぜ!NGFWもポリシーベースだぜ!(←詳細はFortiOS 5.6メモ(随時更新したい)を参照。)

・VDOM rootにあるIPv4ポリシーを消す。
※wan1インターフェースがrootから別のvdomに移動できないため。

・とりあえずFeature Visibilityは全部onに。

・Implicit Policyのロギングを有効に。

■インターフェースを設定

・リンクアグリゲーション

・・・は、100D以上じゃないとできないってよ・・・。

しょうがないので、今回はWAN1とWAN2をそれぞれTrunkでL3とつなぎ、WAN1側にCTUにつながるラインを、WAN2側に既存のLAN側になる部分を繋ぐ設計にしよう。

・VLANインターフェースとしてPPPoE用のインターフェースを2つ作成しそれぞれのVDOMへ
いま、PPPoE喋るインターフェースってUntaggなんだよなー。FortiGateだとVLANインターフェイスだとタグつけなきゃダメかー。。。

→当然ながらVLANID同一で複数サブインターフェースは切れないので、今回は諦めてWAN1とWAN2それぞれ物理インターフェースを使うことに。

・VLANインターフェースを作成
Internal1の下にそれぞれ作って、それぞれのVDOMに割当。

■VDOM Linkとroot VDOMからFortiGuardへの抜け設定

・FortiGuardはrootから出ていくので、root VDOMのスタティックルートをvdom linkに抜ける。
多分、vdom linkのインターフェースにIPアドレスを振っておかないと出ていけないっぽい。
※IPアドレスが0.0.0.0/0.0.0.0の場合は、通信ログに何も乗ってこなかった。

■セントラルNATの設定

・今回NGFWをポリシーベースにしたのでポリシー毎にSNAT(送信元NAT)できないので設定する。これVirtual IPの設定したら、逆方向(サーバ発信)もNATされる・・・よね?

■Virtual IPの設定

・これは普通に設定する。

■ポリシー

・ひたすら以降中。

一旦今日はここまで。

ではでは。またの機会に。

 

 

FortiOS 5.6メモ(更新終了)

FotiOS 6.2に以降したのでこちらは更新終了です。大して更新しなかったけど・・

FortiOS 6.2 メモ(随時更新したい・・・)

メモ。

バージョン:v5.6.2 build1486 (GA)→v5.6.3,build1547,171204 (GA)

 


■雑記

・デフォルトAVはExtended DB?(5.0の時からAV定義が1.00000だったから90D固有?)

・PaloAltoライクなアプリケーションベースのポリシーを書くには設定が必要。AVとかのフローベースとは別にフローベースにする。後でキャプチャを貼る。

・微妙なWAF機能が追加された?けど、これNGFWモードだと使えない。

・インダストリアルアタック定義とはなんぞや・・・業界ごとのなんかなのか?

・DNSフィルタ機能確認

・NGFWモードは正直イマイチっぽい。あとからもとに戻したらはじけ飛びそう。FortiGateの良さであるポリシー単位のNATができずセントラルNATテーブルになる。よりPaloっぽい。

・ポリシーのアクションのLEARNってなんや。

 


■NGFWモード

PaloAltoライクなアプリケーションベースのポリシーを書くためには設定の変更が必要。

システム->設定のインスペクションモードを「フローベース」かつNGFWモードを「ポリシーベース」に。
※VDOMごとに変更できる。

こんなポリシーが作れるようになる

従来なら443/tcpを許可した中でアプリケーションコントロールで制御する、という方式だがいきなりアプリケーションが使える。
※このため5.6以降ではライセンスが無くてもアプリケーションコントロールは使える・・・らしい。

これ、設定でプロキシモードに戻すと、「アプリケーション」のところが飛んでしまう模様。。。
なので、このままモードをプロキシに戻すと「test1」 のポリシーは全許可になってしまう。恐ろしい。

で、フローとプロキシで使えるセキュリティプロファイルの違いは以下の通り。
※GUIベースで確認。Feature Visibilityは全部有効にした状態。

これはどっちでいくか迷うけど、せっかく5.6にしたんだからフローだよなー。
FortiGateらしいなんでも来いな使い方ができないかなー。

プロキシモード フローモード
アンチウイルス アンチウイルス
Webフィルタ DNSフィルタ
DNSフィルタ 侵入防止
アプリケーションコントロール ForitClientプロファイル
侵入防止 SSLインスペクション
アンチスパム Webレーティングオーバーライド
情報漏えい防止 カスタムシグネチャ
VoIP  
ICAP  
Webアプリケーションファイアウォール  
FortiClientプロファイル  
プロキシオプション  
SSLインスペクション  
Webレーティングオーバーライド  
Webプロファイルオーバーライド  
ICAPサーバ  
カスタムシグネチャ  

ポリシーの編集画面はこんな感じ。NATがポリシーごとに変えられない模様。

ポリシー続き。プロファイルはだいぶ減る。

アンチウイルス(AV)については設定が若干変わる。

プロキシモードの場合はプロトコルを決められる。

フローモードの場合は、スキャンモードにフルとクイックが選択できる。
スキャンできる通信はどういうものになるのか、特殊なポート(8080とか)もスキャンできるのかは要調査かな。

フル(Full)とクイック(Quick)の違いはこんな感じ(ヘルプより引用)。

Flow AV in FortiOS 5.4 and 5.6

In FortiOS 5.4 and 5.6, there are two modes available for flow-based virus scanning: Quick and Full scan mode. Full mode is the same as flow-based scanning in FortiOS 5.2 (see below). Quick mode uses a compact antivirus database and advanced techniques to improve performance. You can designate quick or full scan mode when configuring the antivirus profile in the GUI. Alternatively, use the following CLI 

 

 


■VDOM

90Dは(とういか2桁台?デスクトップモデル?)は、GUIからVDOMが切れないので、CLIでVDOMを有効化する。

config system global
set vdom-admin enable
end

お!VDOMごとにインスペクションモード変更できる!

 


■WAF(Webアプリケーションファイアウォール)

プロキシモードのみ利用可能。
VDOMごとにインスペクションモードは変えられるので、うまいこと設定すれば、ヴァーチャルワイヤにしてWAFだけ有効にしたVDOMを通せばフローモードでも使えるかな?

でもやっぱりあやしい・・・。

 

 


■VXLAN

FortiOS 5.6.2からサポートされたらしい。

設定方法:http://kb.fortinet.com/kb/documentLink.do?externalID=FD38614

IPSec over VXLANのみ対応。あれ、これならL2TPとあんま変わらないきがしないでもない?
IPSecのインターフェースをソフトウェアスイッチで実インターフェースとまとめてしまう感じかな?

FortiOS 5.6.3ではVTEPも使える模様だが、config system vxlanコマンドがVDOM環境では使えない?

VTEP:VXLAN support (289354)

VXLANの参考になりそうなSlide


■IPSec

IPSsecを2本はって、両方ともプロキシID(セレクタ?)を「0.0.0.0/0」「0.0.0.0/0」にすると片方しかアップしない?
※設定変えてしまって後から「0.0.0.0/0」に戻すには以下のコマンドで

set src-subnet
set dst-subnet

■その他関連記事

Macネタ – 12 – macOSのAntiVirusとかFortiClientとか

ども。こんばんは。

さて、久々のMacネタはアンチウイルス(ウイルス対策)です。

さようならIntego
こんにちはFortiClient
やっぱりさようならFortiClient
こんにちはBitdefender

という話です。

まずは、Intego。先日有効期限が切れました。
※購入時の話はここで。

で、Intego Mac Internet Security X9やめます。

パターン更新頻度もあんまり多くなかったし、パーソナルファイアウォール(プロセスの通信があるたびに許可、拒否を聞いてくれる)は良かったんですが、ちょっといいことも悪いこともなかったかなという印象。
そんなにパフォーマンスは悪くなかった気がしますけどね。

なので、まずはアンインストールします。

アンインストールはインストール時のdmgからやらないと行けないとサイトに書いていました。
dmg残しておいてよかったよ。

■Intego Mac Internet Securityのアンインストール

さて、アンインストールはすんなりいきました。

■FortiClientのインストール

これ、かなりハマりました。

先に要点をまとめますと・・・

・FortiNetのダウンロードサーバが弱い!何度もチャレンジすべし
・FortiOS(FortiGate側のバージョン)とFortiClientのバージョンがずれてるとAVとかが有効にならずVPN接続のみになってしまう
・FortiGate側は自分のFortiOSに対応してるかどうかなど関係なく最新のFortiClientに更新されてしまう。
※うちの場合だと、FortiOS 5.2だったのに、FortiClient 5.6系になっていた。以下参考画面。


・古いFortiClientはダウンロードできない。SCSKさんのサイトからダウンロードする
※SCSKさん毎度感謝です!
・FortiOS 5.2に対応する最新のFortiClientは5.4.3(FortiClient_5.4.3.529_macosx.dmg)だった。
※リリースノートでは5.4.3だとすでにFortiOS 5.2は対応してないように読み取れるが実際はうまく行ったっぽい
・FortiGateで、FCT-Accessを有効にしておく(←これは認識していた)。FortiClientがFortiGateと通信するポートが8010。これ、ちゃんと登録時に「IPアドレス:8010」で登録しないと、デフォルトでは「8013」に通信しに行くために通信できない。これハマった。

まずは、FortiClientをFortiGateの画面からダウンロードします。

※ライセンスはデバイス1台につき10クライアントまで無償。ただしサポートは受けられない。(コミュニティベース)

dmgからインストールします。

さて、こっからハマりまくります。

・「Failed to connect to the update server.」と「You have no authority to get update.」のエラーのどちらかが繰り返しでる・・・。色々悩んだが結局何十回かやっていればダウンロードできた。

・うまくいったパターン。

・インストールします

とりあえず、

さて、登録しますが、ここでまたハマります。
※ちなみにこれって大量に配布するときはコマンドラインオプションとかで自動化できるのかな。

・「FortiGate or FortiClient Enterprise Management Server(EMS) was not found.」とな。
で、これはポート番号の問題です。

なので、こんな感じでポート「8010」指定でどうぞ。

うまく行けば登録できます。

ふぅ。あれ?アンチウイルスとかでなくね?あれ?あれ?

はい。冒頭で書きましたとおり、FortiClientのバージョンとFortiGate(FortiOS)のバージョンが大きくずれていたことでAVとかが出てきませんでした。。。

FortiClientのリリースノートにはちゃんと対応するFortiOSのバージョンなどが記載されています。
※それならFortiGate側もちゃんと自分のFortiOSに対応したFortiClientのバージョンにとどめておいてほしい・・・

しょうがないので、SCSKさんのサイトからちょっと古いFortiClientをいれて見たらこんな感じ!いい感じ!

で、少しテストしてみました。

・AV(アンチウイルス)

これね、ファイル消してくれない。。いわゆる削除とか駆除とか隔離してくれない。。。
これはFortiClientが古いからなのか?ちょっとがっかり。

・URLフィルタ

キャプチャないですが、どうもFortiGateに向かってリダイレクトされるみたいです。
証明書違反でアクセスできませんでしたが、多分そんな感じ。

面白いのは、FortiGateのWebフィルタのプロファイルがそのまま当てられるところ?かな。

また、FortiClientのプロファイルは、どのデバイスカテゴリに当てるか?を指定できます。

ファイアウォールのルールっぽく、上から評価されるのかな?

また、当たっているポリシーはMonitorでも確認できます。

とりあえず、ここまで。なのですが、やっぱりファイル消えないってのはちょっと・・・

また、FortiClientも古いものしか使えないということもあり、ここまでやっておきながらFortiClientは見送ります。。。

アンインストールして、最新版に入れ直してVPN用に引き続き使います。
※特にもうFortiGateにはRegistもしないかな・・・。

手順は省きますが、FortiClient上からDisconnectして、macOSのアプリケーションからアンインストーラを実行します。

さて続いて・・・

■Bitdefenderを入れる

特に選んだ理由はないですが、いろんなサイトで評判が良さそうなので。

ただ、パーソナルファイアーウォールなさそうなんだよなー。

「Total Security 2017」っていうエディションが、ファイアウォールとかの機能も乗ってそうだけど、結局それを買ってもmacOSはAntivirus for Macになってしまうっぽいですね。

ということで、「Bitdefender Antivirus for Mac」の体験版をいれてみます。

お、ちょっとおしゃれ。

なんも起きねーなと思ったら、こんな画面が出ていました。

終わったらこんなアイコンが出ていました。

スーパーセキュリティ セントラルってなんや・・・

とりあえずアカウントを作ってログイン。
お、サブスクリプションの追加とやらができますね。。

えっと、誤字ってますよー。
使用版とやらを開始します。

追加された。

ランサムウェア対策の設定。一旦飛ばす。

タイムマシンもランサムウェアから守ってくれるらしい。一旦飛ばす。

確認が出てきた。

とりあえず動いた。

とりあえずここまで!

ではでは。またの機会に。

 

 

 

 

 

FortiCloudとのManagement Tunnelをアップさせる

ども。こんばんは。

久々のFortiGateネタ。

FortiCloudで設定管理、ファームウェア管理、ログ管理、FortiSandbox(Cloud Sandbox)とか諸々ができます。
ちなみに無償プランでも最近100GBまでログ保管してくれるっぽい(でも7日で消える?)し、Sandboxも1日10ファイルくらいは解析してくれるっぽいです。

残念ながら5.2(v5.2.1,build618 (GA))ですけどね。

ずっとConfig Managementができない(The tunnel is not established.)のを不思議に思っていましたが、設定が必要だった模様。

 

以下マニュアル

FortiCloud v3.1.2 Frequently Asked Questions

FortiCloudへの設定はこんな感じ。
※これ多分FortiManagerと繋ぐ時の設定と一緒っぽいな。

config system central-management
set mode backup
set type fortiguard
end

お、コマンド実行後すぐにCPUとメモリが出てきました。
※上の段はもう使ってないFortiGate 50B。

ちなみにうちのFortiGateは直接Global IPは持っていません。
どうもFortiGateからFortiCloudに向けてセッション貼ってるっぽいですね。

なんか不審なエラー(ファームウェアミスマッチ?)っぽいメッセージが出てますが設定が見えます。
※手動でImportしてみましたが改善しませんでした。

怖いけどオブジェクト作ってみる・・・。

変更部分は青背景なのかな?
※ページ切り替えたら青背景消えた笑

右上のDeployを押して見る。

できた・・・っぽい

ログがでます。

おー。入ってる。

とりあえず、設定はできそう。。

が、複数セキュリティプロファイルには対応していない?っぽいです。

まぁいいか。

で、おまけ!勢いでバージョンアップもします!

FortiGate本体だと、5.2系を認識していませんが、FortiCloudだと5.2系の最新にできるぽい。

FortiOS v5.2.11, Build 754にアップデートします。以下リリースノート。

http://docs.fortinet.com/uploaded/files/3654/fortios-v5.2.11-release-notes.pdf

スケジュールを指定するみたいですが、これUTCで指定するっぽいです。
※今の時間が選択されているのでそれを参考に。

サクッとできましたー。

とりあえず、IPS/AVも更新できてるし、EICARも検知するし、AndroidからのSSL-VPNも問題ないしOKかな。

あと、FortiCloud Configでもう一回Importしたほうが良さそう?これは定期的にアップロードされているのかよくわからん。
※もう一回Importしたらファームウェアミスマッチのエラーは消えました。

とりあえず今日はここまで。

ではでは。またの機会に。

 

 

 

 

FortiTokenの再アクティベーションメモ

機種変したのでメモ

ユーザの設定画面で「Enable Two-factor Authentication」を一旦OffしてOK。

再度OnにしてOKして、「Send Activation Code」を押す。

この手順を飛ばして「Send Activation Code」だけ押すと、有効期限が古いままのコードが送信されるので注意。

なお、相変わらずQRコードじゃないとうまく登録出来ない気がする・・・。

FortiTokenメモ

・FortiGate上にメールサーバの指定必須。
※Activation Codeがそこ経由でくる。CLiからでもコード見れるけど。

・標準で2つまで無償

・3rd Party AccouFFntだとうまくいかない。QRコードを使うべし
※Pendingのままになって認証失敗になる。

・FortiCareのアカウントは知らなくても関係なし。