・FortiGate上にメールサーバの指定必須。
※Activation Codeがそこ経由でくる。CLiからでもコード見れるけど。
・標準で2つまで無償
・3rd Party AccouFFntだとうまくいかない。QRコードを使うべし
※Pendingのままになって認証失敗になる。
・FortiCareのアカウントは知らなくても関係なし。
・FortiGate上にメールサーバの指定必須。
※Activation Codeがそこ経由でくる。CLiからでもコード見れるけど。
・標準で2つまで無償
・3rd Party AccouFFntだとうまくいかない。QRコードを使うべし
※Pendingのままになって認証失敗になる。
・FortiCareのアカウントは知らなくても関係なし。
ども。こんばんは。
家の中のいろんな証明書が失効してまして。
ちょっと勉強がてら更新です。
今回の方針としては・・・
・Active Directory証明機関で署名する
ということにしています。
※どうせオレオレ証明書なので、ドメインに参加しているPCはCAの証明書をインポートしているので。
んで、CSRをopensslで作ったのですが、証明書テンプレートの情報がないらしく、証明機関で署名出来ない。。。
諦めてIISで作ります。
今回はドメイン全体の証明書が欲しかったので、IISでドメイン証明書を作成。
どういう設定か忘れてしまいましたが、自動で証明機関が署名してくれました。
これをpfxでエクスポート。
この状態だとちょっと使いにくいので。。。
まずはpfxを変換
openssl pkcs12 -in cert.pfx -out cert.txt
中身をキーと証明書に分けて保存。(テキストエディタとかで)
Apacheとかでも使うので、パスフレーズを外す
openssl rsa -in localhost.key -out localhost.key
こんな感じですかね。
今回更新したのは
・Apache
・Dovecot
・FortiGate
です。ApacheやDovecotはさほどでも無いですね。
FortiGateはpfxでも対応していたみたいです。。今回はせっかくばらしたので、certとkeyをそれぞれインポート。
管理画面とSSL-VPN用に当てました。
管理画面はCLIで。
config system global
set admin-server-cert “インポートした証明書”
そんな感じ。
■おまけ
ついでにFortiGateのSSLインスペクション用のCA証明書をADで配布するようにしました。
まずはFortiGateの管理画面から「Fortinet_SSLProxy」をダウンロード。
ADでグループポリシーの管理で、
「コンピュータの構成->ポリシー->Windowsの設定->セキュリティの設定->公開キーのポリシー->信頼されたルート証明機関」
にインポート。
んでまぁ適当にgpupdateしておく。
こんな感じです。多分正しいFortiGateでのSSL復号化(SSL Inspection)の使い方・・・だと思いたい。
ではでは。またの機会に。
ども。こんばんは。
FortiGateネタでは本日最後。
5.2.0からはどうやらSSL系のサービスを許可すると勝手にそのポリシーでssl-ssh-inspection(5.0系まででいうところのDeep-Inspection)が働く模様。
デフォルトではハンドシェイクまでしか見ない「certificate-inspection」になる模様。
こいつをdeep-inspectionに変更すれば中身までバッチリ。
んで、CAの証明書をFortiGateの管理画面からダウンロードしてインストール。
※ちなみにFirefoxってあんまり使ったことなかったけど、Windows側に証明書入れてもダメなのね。。。知らなかった・・・。
これはまぁ別になんとも無い話。無事にSSL内のEICARも検知・ブロックできた。
問題はAndroid。同じように証明書を入れるのはいいのだが、LINEでのメッセージ送受信ができなくなる模様。
いろいろ考えた挙句、SSL-Exemtpで、FortiGurad URLカテゴリの69(Instant Messaging)を除外してやれば
とりあえずうまくはいった。とりあえずは・・・。
※LINE自体はNaver.Lineとかそんな名前でアプリケーションコントロールで識別出来ているので、
これがもしPaloAltoだったら、簡単にSSL Decryptionの対象外にできるはずなのに。。。
まぁ結局やっぱり怖いので、一旦Androidデバイスからの通信についてはSSL復号化は解除して様子見ですね。
しっかしいろいろGUIで設定出来ないのは本当に辛い。。。辛いというよりパラメータを探すのが面倒。。。
ではでは。またの機会に。
ども。こんばんは。
リプレースは一旦完了です。
とりあえず気づいたことはこちらに書いています。
んー。40C(デスクトップモデル)のせいなのか、Deep-Inspectionの設定がCLIオンリーだとか、
諸々使い勝手が悪い。というのが印象。
あと、今回は初めてデバイス制御でのポリシーも作ってみた。
うーん。うちのHTL22はAndroid Tablet扱いになってる。。
思ったほど5.0系と変わらないけど、デスクトップモデル(2桁機種)への扱いがより酷い。。
さて、リプレース終わったFortiGate 50Bは、4.0 MR 3 Patch 18化後、IPv6回線用のCisco 1812Jの代わりにするべく格闘中です。
PPPoEが全然つながらない。。Ciscoより難しいっておい・・・。
しっかし最近のHTL22(HTC J ONE)の紫カメラ具合の悪化がやばい・・・
ではでは。またの機会に。
FotiOS 5.6に以降したのでこちらは更新終了です。大して更新しなかったけど・・
FortiGate 40C/v5.2.1,build618 (GA)にて確認した内容。
※5.0系以降で、デスクトップモデル(いわゆる2桁機種、40C、60D、80C…)は大きく区別されている為注意。
・ダイナミックルーティングの設定(OSPF)
GUIからの設定不可。
Feature(フィーチャー)や、set gui-xxではGUIに出ない
以下設定方法メモ
config router ospf
set router-id xxx.xxx.xxx.xxx ← 必須
config area
edit 0.0.0.0
next
end
config ospf-interface
edit “internal1” ←このへんは適当?
set interface “internal1”
next
end
config network
edit 1
set prefix xxx.xxx.xxx.xxx 255.255.255.0
next
end
config redistribute “connected”
end
config redistribute “static”
end
config redistribute “rip”
end
config redistribute “bgp”
end
config redistribute “isis”
end
end
設定後は普通にルーティングモニタから見ることが出来た。
再配布の設定は
# config router ospf
(ospf) # config redistribute staticとかconnectとか
・VLANサブインターフェースの作成
何故かGUIから出来ない・・・(40Cのせいか?)
CLIからは作成可能
・extendet-utm-logが標準に??(確認中)
とくに何も考えなくてもロギングされている模様。
なおメモリ上にURLフィルタ、アプリケーションコントロール(Application Control)の”モニタ(Monitor)”のログを表示するには、
config log memory filter
set severity information
end
などで、デフォルトのwarningから下げる必要あり。
※syslogdはデフォルトでinformational。
・4.0/5,0のようにFortiViewではなく各UTM機能の状況をモニタリング
# config system global
(global) # set gui-utm-monitors enable
(global) # end
Security ProfileのMonitorに追加される。
※デフォルト無効、フィーチャーにも表示なし。
なお、FortiViewはDsik logging必須!が、FortiCloudにログをアップすれば同等の見方ができる。
・SNMPの設定はCLIオンリー
になった模様。
・ポリシールートもCLIオンリー
になった。
・SSL-VPNの設定がガラッと変わった。。。
まず「VPN->SSL->Settings」で待ち受けインターフェースやトンネルのプールなどを決定。
ポリシーでは、今までのようにWAN->InternalへのアクションSSL-VPNはなくなった模様。
ssl.rootから内部へのポリシーをつくるだけになった?
※払いだされrうルーティングはSSL-VPNのSettingsで決定???
てか、5.0の特のアイデンティティベースなんちゃらはどこいったんだよー。。。
続く・・・
ども。こんにちは。
きました。AVとIPSのライセンスが2019年までアル━━━━(゚∀゚)━━━━!!
そしてやっぱり5.0系からはVDOMが切れなくなってるorz
OS5.0 デスクトップモデルでのVDOM有効化について
Fxxx(global) # set vdom-admin enable
command parse error before ‘vdom-admin’
Command fail. Return code -61
コマンド無いってさ。。。
さて、5.0.9で止めるか、男なら5.2.1まで行くかが悩みどころ。。。
ちょっと仕事を残しているのでそっちを先にサクッと片付けますか!