25-6. FortiGate でリモ−トとサンド `2g/04〜 (1) FortiGate で IPSec VPN 通信 `2g/04/e -------------------------------------------------------------------------------- SSL-VPN よりも安定しているのでないか。前に入手しておいたト−クン FortiToken はま だ使えるのか。半日で大方の設定ができた。翌日の半日で FortiToken で OTPの認証もで きた。手元の FortiGate-80C でテスト環境にて動作確認ができた。使えそうである。 -------------------------------------------------------------------------------- * 先ずは情報収集と検討の手順 FortiGate をファイアウォ−ルそのもので IPSec を使う、DMZ上に別な FortiGate を 設置して使う。前者は現在のファイアウォ−ル FortiGate-310B のファ−ムウェアをアッ プさせないと、Windows 10 や 8.1 対応の FortiClient が使えないだろう。 後者のやり 方なら別に安価な FortiGate を買って設置することもできる。 ウィルスチェックとかは 必要なし。IPSec の機能を使うのに別に何かライセンスを買わないけないのか確認のこと。 FortiClient は Windows 10 に対応しているか、iOS や Android はどうか。 ざっと次の 資料みた。「FortiClient(Windows) - Release Notes VERSION 5.2.5」英文のリリ−スノ −ト 15ペ−ジ。November 05,2015。Windows XP/7/8/8.1/10。 Windows 7 からは 32-bit と 64-bit 対応。iOS も Android もアプリあり。FortiClient は FortiGate で無償で利 用できる数があるみたい。モデルによっても違うのか。登録するのか同時なのか。 Windows 7 で接続。次に FortiToken で OTP 認証して接続。 そして Windows 10 で動作 確認という順番。もう書いている間、3日で動作検証はできた。後は触ってみて疑問に思 ったことを適当な時に解決していくことである。 Windows 10 はマイクロソフト Surface である。無線LAN接続なためテスト環境の方を Surface に合わせてやってみた。OTPが ユ−ザ認証を LDAP や Active Directory を利用する場合にも使えるのか気になる。 * FortiClient のソフトウェア ファイアウォ−ルの 310B のダッシュボ−ドをみたら、エンドポイントセキュリティ−の 所に FortiClientソフトウェア、Windowsインスト−ラ− というのがあって FortiClient をダウンロ−ドできるようになっていた。5.0.1(最終更新 2016-04-01) から 5.4.0(最終 更新 2016-04-01) 8個、同じバ−ジョンのもあった。1個だけ 4.x代が 4.0.0(最終更新 2016-04-01) あった。FortiGate-310B の FortiOS は 4.x 代であることに注意。 FortiClient で検索したらSCSK社のサイトが出てきた。最終更新日が 2015/12/16 で FortiClient 5.2.4, 5.2.5 の掲載。いろいろ種類がある。 FortiClient 5.2系 というの が無償で使えるようだ。Windows インスト−ラもあり、そのまま実行してインスト−ルで きる。5.2系のエンドポイントセキュリティ+VPN機能一体モジュ−ル、リモ−トアクセ ス(VPN)機能だけ利用には、インスト−ルの際に [VPNのみ] を選択するのがいい。 * FortiClient の FortiGate の設定 テスト初日。昼から3時の休憩までの時間で FortiGate と FortiClient の設定ができて FortiClient から IPSec VPN の接続を確認できた。 下の図のようにテスト環境を作った。 PC と Qube3 は直接 FortiGate のポ−トにケ−ブルをつないだ。PC には先だってインタ −ネットから FortiClient 5.2.5 を取ってきておいた。この日できたのはここまでで PC から Qube3 へのアクセスは明日にトライ。FortiGate は 80C でバ−ジョンは v5.2.4。 △PC PC から Qube3 へのアクセス。Qube3は Cobalt Qube3。 |.3 192.168.2.0 -------------------------- http://192.168.1.2/ は Index of/、フォルダが出る。 NAT .1| WAN(wan1) http://192.168.1.2/adminは xxx.1.2:444/login.php。 ----------- telnet 192.168.1.2 は admin,admin。su - で admin。 Qube3 |FortiGate| □ ----------- PCの Windows 7 に FortiClient をインスト−ルした。 |.2 .1| LAN(internal) プログラムは FortiClient だけ入った。ActiveXは入 -------------------------- ってなかった。 IE9 の [ツ−ル]->[アドオンの管理] 192.168.1.0 にも追加されたプログラムは無かった。 [システム]->[設定]->[フィ−チャ−] 画面で {VPN} を ON にする、変更画面で[適用]も。 これでメインのメニュ−に [VPN] が加わる、[VPN]->[IPsec]->[トンネル] に。確かいき なりセットアップのウィザ−ドが走った。{Create New} でもウィザ−ドが走る。 以下で 作成したのは [システム]->[ネットワ−ク]->[インタ−フェ−ス] にもエントリができる。 wan1 内に IPSec-Test と書いた名前が "タイプ VPNトンネル" できる。 {1}VPNセットアップ 名前は [IPSec-Test ] 適当に何か記入する。 テンプレ−ト ダイヤルアップ - FortiClient (Windows,MacOS,Android) {2}認証 入力インタ−フェ−ス[wan1]、認証方式 ◎事前共有鍵、 事前共有鍵[henomohe]、ユ−ザグル−プ[Guest-group] XAUTH {3}ポリシ−&ル−ティング ロ−カルインタ−フェ−ス[wan1]、ロ−カルアドレス[all] クライアントアドレス範囲[192.168.99.1 - 192.168.99.9 ] サブネットマスク[255.255.255.255] 〆IPv4スプリットトンネリングを有効 アクセス可能ネットワ−ク[社内ネット] 〆エンドポイント登録を許可 {4}クライアントオブジェクト 〆パスワ−ド保存、□オ−トコネクト、□常にアップ(Keep Alive) [VPN]->[IPsec]->[トンネル] こんなのができた。 |インタ−フェ−ス| | トンネル |バインディング | テンプレ−ト | ステ−タス ------------|----------------|------------------------------------|------------- IPSec-Test | wan1 | ダイヤルアップ - | 非アクティブ | | FortiClient(Windows,MacOS,Android) | [ポリシ−&オブジェクト]->[ポリシ−]->[IPv4] internal - wan1 ル−ル 1 と 2 でOK。全てか ------------------------------------------------ ら QUBE3 のみアクセス許可。 1 all all ALL ACCEPT 〆有効 ル−ル 1 と 3 でOK。アクセ IPSec-Test - internal ス制限をする。test2-range は ------------------------------------------------ 192.168.99.1 - 192.168.99.10。 2 all QUBE3 ALL ACCEPT 〆無効 社内ネット192.168.1.0/24。 IPSec-Test2 - internal "2 all QUBE3"の all をオブジ ------------------------------------------------ ェクト PC1, 192.168.9.1 を作 3 test2-range 社内ネット ALL ACCEPT 〆無効 って限定してもテストしてみた。 できた、インタ−フェ−ス名 IPSec-Test を詳しく。 タイプ トンネルインタ−フェ−ス、 インタ−フェ−ス wan1、アグレッシブモ−ド マニュアル IP [192.254.1.1] リモ−トIP [192.254.1.1]。自動で同じIPアドレスが入っていた。試しにもう1個 IPSec-Test2 と いうのを作った、IPアドレスは 192.254.1.2 と言うのが自動で付いた。 さらにもう1 つ作ってみたら 192.254.1.3 というのが付いた。連番で自動で付いていくようだ。 2 のル−ルの次に 3 をやった際、FortiClient を IPSec VPN 接続している間、 PC から FortiGate-80C の 192.168.2.1 へアクセスできなくなった、 管理画面を開いて操作して いたのが反応がなくなった。 インタ−フェ−スの設定画面で管理者アクセス HTTPS,HTTP に〆を入れたところできた。その後、数日経って再現するかやってみたら、管理者アクセ ス HTTPS,HTTP で〆あるなしに関係なく、アクセスできなかった。 [ユ−ザ&デバイス]->[ユ−ザ]->[ユ−ザ定義] で先ずはユ−ザ名とパスワ−ドを記載して グル−プに入れる。作成は {Create New} をやるとウィザ−ド画面が出るので入力してい く。グル−プは Guest-group があらかじめ有るのでとりあえずは使った。 {Extra Info} のところで "〆 二要素認証" にし有効にするとト−クンを選ぶことができる。 [ユ−ザ& デバイス]->[認証]->[FortiTokens] に登録されたト−クンがあり、それがリストされる。 [ユ−ザ定義] では "□Emailアドレス、□SMS、□二要素認証を有効"のチェック項目があ る。これらで認証にEメ−ルによる OTP、SMSによる OTP、FortiToken によるOTP ができ るということである。 FortiToken ではハ−ドウェアト−クンとソフトウェアト−クンを 選ぶことができるみたいである。これらの設定は FortiGate 装置内で、 ユ−ザ毎に設定 ができる。そして IPSec ではグル−プで XAUTH の認証をするようになっている。 FortiClient をインスト−ルして IPSec のテストをしていたら"ネットワ−クとインタ− ネット>ネットワ−ク接続" に {fortissl 切断 PPPoP WAN Adapter}、{VPN - VPN Client 無効 VPN Client Adapter-VPN},{ロ−カルエリア接続3 無効 Fortinet virtual adapter}。 こんなのができていた。以上は Windows 7 で。 Surface の Windows 10 では {fortissl 切断 PPPoP WAN Adapter} と {Fortinet Virtual Ethernet Adapter} があった。 * Windows 7 での FortiClient の設定 |------------------------------------------ | | | [Register Endpoint] << 登録してどうするのか。多分パソコ | \/ (!) ン本体の認証ができるのでないか。 |------------------------------------------ | ------------------------- | |〓 fortigate80 ▽|◎| << ◎のところ、歯車のような絵をクリックする。 | ------------------------- ----------------- | ------------------------- |新規接続の追加 | << 別に SSL-VPN接続を選 | |〇 ユ−ザ名 | |接続の編集 | んで作るとかができる。 | ------------------------- |接続の削除 | fortigate80 はただの | ------------------------- ----------------- 接続の識別名で付けた、 | |% パスワ−ド | IPSecVPN1 でも何でも。 | ------------------------- | □パスワ−ドをセ−ブ [接続] をクリックして利用開始。該当ユ−ザ | が OTP を使うようにしていると、パスワ−ド | [ 接続 ] << 入力画面の下に OTP を入れる画面が出てくる。 ------------------------------------------- * FortiToken で二要素認証 FortiToken のパンフレットの説明。リチウムバッテリ−、寿命は3〜5年。UTCと同期し た時計。60秒毎に変わるワンタイムパスワ−ド。永久ライセンス、年間サブスクリプシ ョンのライセンス料が不要。4年位前に買ってずっとそのままにしていた。電池切れにな っていても仕方ないかと思った。もし電池切れだったら電池を交換しようと思っていたが、 どうやって分解するのか。ドライバを差し込む隙間なぞないぞ、壊してしまう。 パンフレットの説明のこと。FortiGuard Center を利用してト−クンをオンライ ン化する。シ−ドを自動でダウンロ−ドする。シ−ドがアクティベ−ションされ たらその後の変更はできなくなる?、シ−ドを攻撃から保護するため。説明には こんなことが書かれているが何のことかよく分からない。触って理解する!。 電池がなくなったら交換できるのか。それとも電池が無くなった時点で FortiToken はお 払い箱なのか。どうも他社メ−カのト−クンも電池は3年位もって切れたらおしまい、そ ういう物らしい。ト−クンの弱点は紛失してしまうこと。物としたらUSBキ−と似たよ うな大きさである。FortiToken はキ−ホルダ−に付けておけるよう金具がある。 家や車 の鍵と一緒に付けておけば、まず無くすことはないぞ。 * FortiToken のデバイスの登録作業 [ユ−ザ&デバイス]->[認証]->[FortiTokens] に既に2つエントリがあった、 だいぶ前に テストで触ったのかも。どうも iOSで試したモバイルト−クンみたいだ、タイプが四角の 絵が出ている。{Create New } で下の画面を出して、シリアル番号のところに、物の裏に 記載されている番号を書き入む。これだけでは実際に使えるようにはならない。Fortinet 社のサ−バに登録が必要である。うまく登録できるとステ−タスが選択可になる。 ------------------------------------------------------------ | 新規 FortiToken | ハ−ドト−クンが |----------------------------------------------------------| FortiTokenという | タイプ ◎ハ−ドト−クン ○モバイルト−クン | USBキ−みたい | シリアル番号 [選択して追加 ▽] [ インポ−ト ] | なものである。 ------------------------------------------------------------ Fortinet 社への登録のため、とりあえず FortiGate-80C を社内ネットワ−クに繋ぎ、イ ンタ−ネットへ行けるようにした。DNSは "◎FortiGuardサ−バ利用" にすること。こ れで [システム]->[設定]->[FortiGuard] 画面をみた。 サポ−ト契約 FortiTokenシ−ド サ−バ "登録 接続不可(0 Token 登録済)"だったのが "登録 到達可能(1 Token 登録済)" に勝手に変わっていた。そしてまた FortiGate-80C を社内ネットワ−クから外した。 10分かそこらして FortiClient で FortiToken で IPSec 接続しようとしたらできなか った、OTP を入れる画面も出ず "ステ−タス:不正なクレデンシャル"とでた。FortiToken シ−ドサ−バ "登録 接続不可(1 Token 登録済)" になっていた。FortiToken を利用する には FortiGateはインタ−ネットの接続性が必要ということか。おかしいと思いまたしば らくしてトライしたらできた。FortiToken の登録時のみインタ−ネットの接続性がいる。 FortiTokenキ−ホルダ−みたいなの、OTP の表示には左の細長いボタンを押す。6桁の数 字が出て60秒すると消える。FortiToken 内部では OTP の何がしかアルゴリズムで計算 をずっとしているのか、それともボタンを押した時に計算するのだろうか。多分後者だろ う。FortiGate と時刻同期のために時計は動いているはず。 ソフトウェアの FortiToken Mobile は 2012年7月頃 iPad で試したことがあった、iOS 用と Android 用がある。 (2) 続 FortiGate で IPSec VPN 他 `2g/05/S * FortiGate をDMZに置く想定にて NAT WAN(wan1) ※wan1 インタ−フェ−スは念のため off にした。 -----*----- Qube3 |FortiGate| FortiClient FortiClient ソフトで画面の歯車マ−クのところ □ ----------- △PC をクリックして、リモ−トGW [192.168.1.1 ] に。 |.2 .1| LAN |.3 -------------------------- 192.168.1.0 PC から FortiGate にアクセスして設定 https://192.168.1.1/。PCの FortiClient から IPSec で FortiGate に接続、そしたら FortiGate の設定画面にアクセスできなくなった。 IPSec 接続を切ったら設定画面にまたアクセスできた。下記の test2-range を all に変 えても同じだった。どういうことか原因を探っておくこと。ここのところ実際の設置稼働 では注意しなければいけない。[IPv4] のル−ルは次のだけ。 [ポリシ−&オブジェクト]->[ポリシ−]->[IPv4] [VPN]->[IPsec]->[トンネル] で名前 IPSec-Test2 - internal を IPSec-Test2 で作成し、インタ− ------------------------------------------- フェ−スバインディングは internal 3 test2-range 社内ネット ALL ACCEPT 〆無効 を選んだ。 * 実環境のネットワ−クでもテストを : 仮想IPアドレス MT は Microsoft のタブレット?である R□ ◇ ◇ Surface 3、Windows 10。FortiClientの | .3| .8| "5.2.5-64bit版-exe形式" を入れてみた。 ---------------------------- 202.241.128.x UTM2 は FortiGate-80C でこれまでのテ | □MR □Camail ストを踏まえれば設定は容易にできるは .2| .1| .8|.9 ず。MT から IPsec で Qube3にすんなり UTM1□----------------------- 192.168.2.0 アクセスできた。特に問題は無かった。 .2| □MS 無□〜△MT △PC | .1| 線| .7 |.8 UTM2 の [ポリシ−&オブジェクト]->[ポ ------------------------------ 192.168.1.0 リシ−]->[IPv4] では以下の2つル−ル。 .6|WAN internal - wan1 は UTM2もWAN UTM2□ □Qube3 "all all ALL ACCEPT 〆有効"。 でIPをNAT .2|LAN |.4 IPSec-Test - internal は ------------------- 192.168.9.0 "all QUBE3 ALL ACCEPT 〆無効"。 MT> netstat -rn で IPv4 ル−ト テ−ブル を表示した ( 以下は IPSec VPN 接続して ) ネットワ−ク宛先 ネットマスク ゲ−トウェイ インタ−フェイス 0.0.0.0 0.0.0.0 192.168.99.2 192.168.99.1 0.0.0.0 0.0.0.0 192.168.1.2 192.168.1.7 169.254.1.1 255....255 192.168.99.2 192.168.99.1 192.168.1.6 255....255 192.168.1.2 192.168.1.7 [ユ−ザ&デバイス]->[モニタ]->[FortiClient] には、FortiGate に IPSec アクセスした FortiClient を入れたパソコンがリストされる。ステ−タスは登録済みとか、未登録とか オフラインとか。[VPN]->[モニタ]->[IPsecモニタ] には FortiClient からの IPSec接続 があるとエントリができる。MT からの接続ではリモ−トゲ−トウェイが 192.168.1.7 と なっていた。IPSec 接続が切れると [IPsecモニタ] から該当のエントリは消える。 MT の FortiClient を UTM2 の FortiGate-80C に IPSec VPN 接続中の状態で ping の応 答をチェックした。MT から 192.168.99.1 OK、192.168.1.7 OK、192.168.1.6 NG、 その 他 192.168.1.x も NG。PC から 192.168.1.6 OK、192.168.99.1 NG、192.168.1.7 NG だ が、IPSec 止めたら ping 通った。IPSec 止めても MT から 192.168.99.1 へ ping 通っ た、一体どこが ping の応答を返しているのか、MT を再起動したら通らなくなった。 * MACアドレス認証が出来るらしい Windows 10 の Surface で FortiClient で IPSec VPN 接続した。FortiClient の画面で [Register Endpoint] のところには (!) があるだけ。 やおらしたら "FortiGateを検知" したという画面がでてきた。数日前にも登録うんぬんを触っていた、その時はノ−トパソ コンで Windows/7 Service Pack 1 で、その登録情報も [ユ−ザ&デバイス]->[モニタ]-> [FortiClient] と [ユ−ザ&デバイス]->[デバイス]->[デバイス定義] に出ている。 [システム]->[設定]->[フィ−チャ] に {エンドポイントコントロ−ル(?)} を ON にする と [ユ−ザ&デバイス]->[認証]と[FortiTokens] がある所に [FortiClientプロファイル] が追加された。それに [ユ−ザ&デバイス]->[モニタ] の所に [FortiClient] が追加され た。エンドポイントコントロ−ルは FortiClient の登録とは関係ないのでないか。 端末 のセキュリティ状態を確保する、ウィルスチェックとかのための機構だろうと思う。 いやエンドポイントコントロ−ルは FortiClient の登録に関係している。 OFF にすると [システム]->[ダッシュボ−ド]->[ステ−タス] でライセンス情報にあった"FortiClient" がなくなる。{ライセンス入力} は多分、登録数を制御するものだろう。 エンドポイント コントロ−ルの機能は、アンチウィルス保護、Webカテゴリフィルタリング、 アプリケ− ションファイアウォ−ルなどの ON/OFF 制御、クライアントVPNプロビジョニングがある。 ----------------------------------- ------------------------------------------ | FortiGateを検知 | | FortiClient |---------------------------------| |----------------------------------------- | Registering to FortiGate | | | | [Register Endpoint] | | | \/ 人 root 鍵 (!) | 168.254.1.1(FGT80Cxxxx ) | |--------------------------↑------------- | | | | エンドポイントユ−ザ: root | ---------------------------------- | ログインドメイン: N/A | |---- root(オフライン) {閉じる} | ホスト名:surface1 | ||人| ホスト名: surface1 | | |---- ドメイン: N/A ※192.254.1.1 と | プロファイル詳細 | | SN: FGT80Cxxxx いうIPアドレス | 〆このFortiGateを記憶 | | IP: 192.254.1.1 というのは何な | [ 許可 ] [キャンセル] | | {登録解除} のか。結構疑問。 ----------------------------------- ↑ | この画面で、クライアントの方から登録解除してみた。OTP ありで登録すると、OTP なし ではアクセスできなかった。この画面で登録解除したら OTP なしでアクセスできた。 ひ ょっとして、この登録でMACアドレス認証もやれるのでないか。クライアントの方から 登録したり解除したり、FortiGate の方でもやったりと。挙動をもう少し調べないと。次 の資料をよく読んでみたい「FortiOS Handbook Managing Devices for FortiOS 5.2」。 [ユ−ザ&デバイス]->[モニタ]->[FortiClient] のところでステ−タス 登録済み Off-Net、 FortiClientプロファイル default、デバイス surface1、OS Windows/10、ユ−ザ root、 IPアドレス 192.168.99.1。[システム]->[ダッシュボ−ド]->[ステ−タス] のライセン ス情報の FortiClient に登録が2台と出ている 2 of 10、{詳細} はモニタの画面が出た。 IPSec 接続を切ったら 登録済み Off-Net は 登録済み オフライン に変わった。 [ユ−ザ&デバイス]->[デバイス]->[デバイス定義] を見たら、パソコンなどがオフライン のが一杯リストされた。この Surface も "〆登録済み - Off-Net" にあった。Edit で見 るとMACアドレスが何たら、検知されたデバイスのステ−タス OS Windows/10、ホス ト名 surface1、ユ−ザ名 root、IPアドレス 192.168.99.1 と出た。[デバイス定義]に は通るパケットからパソコンなどデバイスをリストアップする。FortiClient も含まれる。 [ユ−ザ&デバイス]->[デバイス]->[デバイス定義] のところにインタ−フェ−スを通るパ ケットのパソコンなどのMACアドレスやIPアドレスがずらっと出る、ステ−タスはオ フラインで。インタ−フェ−スの wan1 で "デバイス管理 デバイスの検知と認識 〆" に するとステ−タスがオンラインになるのが出てくる。 この〆が "FortiGateを検知" した という画面と関係するのか。いろいろやっていたら "FortiGateを検知" がでなくなった。 気を取り直しインタ−フェ−スの wan1 でデバイス管理のデバイスの検知と認識に〆して。 ↓ [ユ−ザ&デバイス]->[デバイス]->[デバイス定義] に surface1 がオンラインとして出て きた。[ユ−ザ&デバイス]->[モニタ]->[FortiClient] に surface1 はまだ出て来てない。 FortiClient 画面の "Register Endpoint" の下には(!)はなし。アカウントを入れて接続。 [デバイス定義] の surface1 が "登録済み - Off-Net" に、[モニタ]->[FortiClient]も 同じく。FortiClient 画面の "Register Endpoint" 表示は消え "人 root 鍵" になった。 FortiGate について以前に入手していた10ペ−ジぐらいの資料2011/09/末、も見てみた。 VPN機能の説明で、IPSec VPN はポリシ−ベ−スVPN、ル−トベ−スVPN。ハブア ンドスポ−ク、フルメッシュ。L2モ−ド対応、ICSA Labs認定取得。SSL-VPN推奨同時ユ −ザ数 FortiGate の 80C は60、310B は300。上限値は設けてない。 登録のことは 書かれてなかった。感触としてモデル 80C でも数十の IPSec アクセスはできそうである。 (3) 尚 FortiGate で SSL-VPN 通信 `2g/05/m -------------------------------------------------------------------------------- 前にテストした記事。"22-2.スマ−トデバイス利用への道、22-3.FortiGate のSSL-VPN機 能、22-4.ユビキタス・ネットワ−ク検討。読み返してみると、 かなり手こずっていたこ とが分かる。今一度トライして、もっとスマ−トに簡単に設定が出来るのかやってみる。 -------------------------------------------------------------------------------- * 概要 Fortinet 社は勢いのある会社だ。ソフトウェアはどんどん改良している。FortiGate本体 のファ−ムウェア、FortiClient のソフトも頻繁にバ−ジョンアップしているし、パッチ もどんどん出している。どこやらの SSL-VPN 装置の市販メ−カとは大違いだ。 以前はお まけ程度の認識しかなかったが、十分使える代物になっているのでないか。以前とは5年 以上前かな10年とか、よくわからんが。前に検討したのは2011年、12年だった。 [システム]->[設定]->[フィ−チャ−] 画面で "SSL-VPNレルム" をオンにしたら [VPN]-> [SSL] に [ポ−タル] [設定] があったのに加えて [レルム] ができた。 このメニュ−の {Create New} をクリックしたら "URLパス[ ]、□コンカレントユ−ザを制限、 ログイン ペ−ジHTML"。なんだこれは、SSL-VPNのWebアクセスの場合のポ−タル画面をカスタマ イズするというものか。後先になるがトンネルでの利用には設定することはなかった。 以前テストした際にはできなかった iOS 用の FortiClient もトンネル接続ができるよう になっていた。 パソコンの FortiClient ソフトは IPSec VPN と SSL-VPN 両方の設定が できるみたいである。FortiGate の方も両方を利用できるように設定できるのか。どうせ なら両方利用できるようにしてしまうか。ユ−ザにはどちらか安定している方で使っても らうということで。どちらも利用は、勿論設定はトンネルモ−ドです。 2015年の3月に FortiGate の本が出ている「FortiGate 完全攻略」。 2016/04 頃入 手した。本を見て設定してみたら、30分で FortiGate に SSL-VPN 接続できた。そのま まLAN側のマシンにはアクセスできるかと思ったができなかった。テスト用のアクセス 先の Cobalt Qube3 が怪しい、パソコンをケ−ブルで直結して ping したら反応なし。再 起動させた、ケ−ブルのコネクタをくっとしたら反応し、あっさりできた。 ここで詳しく書くまでもない。設定したい人は本を買って下さい。1つの FortiClientで IPSec VPN と SSL-VPN 接続で両方とも使えた。Windows 10 Surface でも、先にインスト −ルした FortiClient に SSL-VPN の利用を追加して、一発で接続できた。とても安定し ているのでないか。FortiToken もあっさりできた。 4、5年前に触ってテストをやって みたのとは、ちょっと設定の仕方が違っていた。分かりやすくなっていました。 因みに本の 119 ペ−ジからはトンネル接続のことでないので、 特に見なくてもよろしい。 使い方としたら SSL-VPN でいいのでなか。 FortiGate には両方使えるように設定してお いて、クライアントの方は SSL-VPN の設定だけして、もし SSL-VPN がどうにもおかしい という場合には、クライアントで IPSec VPN も設定すれば使えるようにする。SSL-VPNは 接続する際に証明書うんぬんを聞いてくる。IPSec VPN は何もなし。それ位の違いか。 * 設定 FortiGate-80C の設定はWAN側の PC から https://192.168.1.6/ でアクセスしていた。 SSL-VPN の設定をして WAN ポ−トは SSL-VPN アクセスが使うことになり、ポ−ト 443番 はかちあう事になった。PC から https アクセスはできなくなった、httpでアクセスする。 [VPN]->[SSL]->[設定] はほぼ本の通りで、"Listenするインタ−フェ−ス" を "wan1" に 変えた位である。[VPN]->[SSL]->[ポ−タル] には初めから full-access, tunnel-access, web-access があった。tunnel-access を使い"ル−ティングアドレス"を"社内ネット"に。 無線□〜△MT △PC □Active Directory MT は Windows 10 の Surface3。 | .7 |.8 |.x PC は Windows 7 のノ−トPC。 -------------------------- 192.168.1.0 これらに FortiClient インスト−ル。 .6|WAN(wan1) NAT------- SSL-VPN, IPSec VPN FG80C は FortiGate-80C v5.2.4。 Qube3 |FG80C| □ ------- Qube3 は Cobalt Qube3 の Linux。 |.4 .2|LAN(internal) PC から Qube3 に http://192.168.9.4/、 -------------------------- 192.168.9.0 http://192.168.9.4/admin で 444 port。 [ポリシ−&オブジェクト]->[ポリシ−]->[IPv4] --------------------------------------------------- 送信元 宛先 サ−ビス アクション NAT =================================================== internal - wan1 "ipsec_ip_range"は 192.168. --------------------------------------------------- 99.1 -192.168.99.10 にした。 all all ALL ACCEPT 〆有効 IPSec-Test での範囲と対応。 =================================================== IPSec-Test - internal 送信元ユ−ザは無しでできた。 --------------------------------------------------- IPSec-Test に XAUTH ユ−ザ ipsec_ip_range 社内ネット ALL ACCEPT 〆無効 グル−プに Guest-groupあり。 =================================================== ssl.root(sslvpn tunnel interface) - internal 本に従って設定したら、入力 --------------------------------------------------- インタ−フェ−スでssl.root SSLVPN_TUNNEL_ADDR1 社内ネット ALL ACCEPT 〆有効 ができた。SSL-VPN 設定の要。 Guest-group =================================================== 送信元ユ−ザは Guest-group。 wan1 - internal これがないと、ユ−ザhanako --------------------------------------------------- は SSL-VPNログインできない。 all all ALL_ICMP ACCEPT 〆無効 =================================================== SSLVPN_TUNNEL_ADDR1 は設定していったらできた?、あらかじめ有った?、IPアドレス の範囲指定で10個分ある、必要に応じて範囲を広げればいい。 ipsec_ip_range は自分 で作った。これらは [オブジェクト]->[アドレス] にある。"社内ネット"も自分で作って 192.168.9.0/24 と定義した。"社内ネット" の中にサ−バなど外から利用するのがある。 * 認証 [ユ−ザ&デバイス]->[ユ−ザ]->[ユ−ザ定義] 装置にユ−ザ名を記載する。 ---------------------------------------------------- そのパスワ−ドを装置に記 | ユ−ザの編集 載するか、LDAP や RADIUS |--------------------------------------------------- サ−バを見るかということ。 |ユ−ザ名 [hanako ] | □無効 LDAP は Active Directory |○パスワ−ド [●●●●● ] 指定も含まれる。前に触っ |◎LDAPサ−バでユ−ザをマッチ [test-actived ▽] た時は LDAP 利用はグル− |○RADIUS 〃 [選択して...▽] プ単位だったと自身書いた。 |○TACACS+ 〃 [選択して...▽] | このバ−ジョンではユ−ザ |コンタクト情報 毎にLDAP を見るか、OTPも |□Emailアドレス [ ] 3つから選ぶことができる。 |□SMS FortiToken の利用できた。 |□二要素認証を有効 |〆このユ−ザをグル−プに追加 [Guest-group x](+) Guest-group にはユ−ザで | [ OK ][キャンセル] hanako と guest がある。 ---------------------------------------------------- [ユ−ザ&デバイス]->[認証]->[LDAPサ−バ] Active Directoryを利用す ---------------------------------------------------- する場合はコモンネ−ム識 | LDAPサ−バ編集 別子は sAMAccountName と |--------------------------------------------------- する。大文字、小文字は区 | 名前 [test-actived ] 別されるので注意すること。 | サ−バ名/IP [192.168.1.x ] | サ−バポ−ト [389 ] 識別名などの記載に問題が | コモンネ−ム識別子 [sAMAccountName ] なければ[テスト]クリック | 識別名 [dc=ad1,dc=nix,dc=local ] すると"Successful"と出る。 | [ DNをフェッチ ] | バインドタイプ ○シンプル ○匿名 ◎レギュラ− ユ−ザDNの cn=users を除 | ユ−ザDN [cn=admindesu,cn=users,dc=.. ] いたら "Invalid LDAP ser | パスワ−ド [●●●●● ] ver:Invalid credentials" | □セキュアな接続 と出た。エラ−ということ。 | | [ テスト ] [DNをフェッチ]をクリック | [ OK ][キャンセル] すると認証情報の階層構造 ---------------------------------------------------- が吹き出しの様に出てきた。 識別名( Distinguished Name )はdc=ad1,dc=nix,dc=local。バインドタイプをレギュラ− にしたら ユ−ザDN と パスワ−ド を入れるのが出てきた。 ユ−ザDN は cn=adminidesu, cn=users,dc=ad1,dc=nix,dc=local、パスワ−ドは adminidesu のを入れた。 こんな感じ。 アクセス終えて後 [ログ&レポ−ト]->[イベントログ]->[ユ−ザ] を見たら、"アクション authentication"、"メッセ−ジ User hanako succeeded in logout" と言うログがあった。 * デバイス認証の幾つか FortiGate ではパソコンなどのデバイスの認証ができる。ただMACアドレス認証するだ けならすぐにできる、コマンドで該当デバイスのMACアドレスを記載すればいい。DHCP サ−バの設定でMACアドレスを登録するやり方もあるが、これはどうも仕組みが分かり にくい。3つ目はパソコンなどに FortiClient ソフトウェアを入れて、 FortiGate でラ イセンス登録するやり方がある。FortiGate-80C は10個まで無償登録できる。 FortiClient の登録はMACアドレスだけでなく、OS、ホスト名、ユ−ザ名、IPアド レスが FortiGate に登録される。 登録の申請はクライアントの方から装置の FortiGate に行なう。登録解除もクライアントからできる。どうも逆のような気がする。サ−バの方 でライアントの安全性を保つためいろいろ対策を講じる、ウィルスチェックとかサンドボ ックスとか。それをクライアントが受け入れて実施するかはクライアントの方が決める。 DHCPサ−バの設定のところでMACアドレスを登録して、アクセス制御ができるようだが。 その設定メニュ−が見当たらない。コマンドで設定画面を出す、# config system global # set gui-dhcp-advanced enable、# end。これで[システム]->[ネットワ−ク]->[インタ −フェ−ス]で "wan1" でも "internal " に入って DHCPサ−バ を有効にチェック入れる と >高度な設定 というメニュ−が追加されているのが見える。これをクリックする。 MAC予約 + アクセス制御 -------------------------------------------------------- | (+)Create New Edit Delete DHCPクライアント一覧...| |------------------------------------------------------| | MACアドレス IPまたはアクション 説明 | |------------------------------------------------------| |不明なMACアドレス IPを割り当て | -------------------------------------------------------- (4) FortiGate で SSL-VPN 利用認証 * MACアドレスでの認証 # config vpn ssl web portal # config vpn ? (portal) # edit tunnel-access certificate Configure VPN (tunnel-access) # set mac-addr-check enable certificates. (tunnel-access) # set mac-addr-action allow ipsec Configure IPsec. (tunnel-access) # config mac-addr-check-rule l2tp Configure L2TP. (mac-addr-check-rule) # edit 1tarou pptp Configure PPTP. new entry '1tarou' added ssl Configure SSL VPN. (1tarou) # set mac-addr-list 5x:9x:dx:dx:5x:1x (1tarou) # end リストなのでブランクを開けて複 (tunnel-access) # end 数のMACアドレスを列挙できる。 # # config vpn ssl web portal (portal) # show # show vpn ssl web ? config vpn ssl web portal host-check-software host-check-software edit "full-access" portal portal | realm realm user bookmark. next user-bookmark Configure SSL VPN 上へ edit "web-access" virtual-desktop-app-list virtual-desktop-app-list | next edit "tunnel-access" set tunnel-mode enable set mac-addr-check enable set ip-pools "SSLVPN_TUNNEL_ADDR1" set split-tunneling-routing-address "社内ネット" config mac-addr-check-rule edit "1tarou" set mac-addr-list 5x:9x:dx:dx:5x:1x 1個のデバイスのMAC next アドレス記入。範囲指定 end "set mac-addr-mask 48" next はしなくてもいいみたい。 end デフォルトかも知れない。 [ 登録したエントリはアクセス禁止にする ] FortiClient アクセスして出た警告。 # config vpn ssl web portal --------------------------------- (portal) # edit tunnel-access | 警告 | (tunnel-access) # set mac-addr-action deny |-------------------------------| (tunnel-access) # end |/!\ Permission denied.(-455) | # end --------------------------------- # set mac-addr-action allow、許可でリストにMACアドレスなしの場合。 --------------------------------------------------------------------- |/!\ Your PC does not meet the host checking requirements set by | | the firewall. Please check that your OS version or antivirus | | and firewall applications are installed and running propely | | or you have the right network interface. | | (-455) [ OK ] | --------------------------------------------------------------------- [ エントリを追加する ] # config vpn ssl web portal 追加後 # show vpn ssl web portal (portal) # edit tunnel-access これで見る。 "1tarou" というのを (tunnel-access) # config mac-addr-check-rule 先にエントリを作っていた。加えて (mac-addr-check-rule) # edit 2katou 今回の "2katou" がリストされる。 new entry '2katou' added (3yasu) # set mac-addr-list 5y:9y:dy:dy:5y:1y (3yasu) # end (tunnel-access) # end [ エントリを削除する ] # config vpn ssl web portal (mac-addr-check-rule) # ? (portal) # edit tunnel-access edit Add/edit a table value. (tunnel-access) # config mac-addr-check-rule delete Delete a table value. (mac-addr-check-rule) # delete 1tarou purge Clear all table values. (mac-addr-check-rule) # show rename Rename a table entry. config mac-addr-check-rule get Get dynamic and system edit "2katou" information. set mac-addr-list 5y:9y:dy:dy:5y:1y show Show configuration. next end End and save last config. end * デジタルIDでの認証 テストするためにはともかく必要なデジタルID(証明書)を作らないといけない。だいぶ 前に試した認証局のソフトはどうか。名古屋工業大学の研究室が開発していた UNIX 用の AiCA、その Windows 版の EasyCert、これらはもう無い?。 AiCA をベ−スに開発されて いるオ−プンソ−スの NAGRE-CA というのがあった。他に無いか探したら Vector サイト に電子証明書作成ソフトウェア k9pca というのがあった、フリ−ソフト Windows 10/8/7 /Vista/XP。シングルサインオンのオ−プスソ−ス OpenAM は?、ちょっと性格が違う。 上記のある認証局のソフト(PKIソフトとも言う)でCA証明書をまず作る。CA証明書 からサ−バ証明書とクライアント証明書を作る。このPKIソフトはとてもシンプルな画 面操作で分かりやすい。作成した証明書を削除するメニュ−はない、失効にするメニュ− はある。CA証明書とサ−バ証明書は FortiGate へ入れる。 CA証明書とクライアント 証明書はパソコンの方へ入れる、CA証明書は入れなくても警告はでるが利用はできる。 "ル−ト認証局の構築" でCA証明書を作成する。 国(C) [日本]、都道府県(S) [東京都]、 組織名/正式名称(O) [NIX Corp]、一般名称/略称(CN) [nix]。有効期間、鍵長、署名アル ゴリズムなどはそのままにした。パスワ−ドを入れる事はなかった。AAA1.cer ができた。 "サ−バ−証明書の作成" で必須項目は、 国(C) [日本]、組織名(O) [NIX Corp]、ドメイ ン(CN) https://[ nix.con ]。ポリシ−識別子 AnyPolicy、サ−バ−種別 Apache。パス ワ−ドを入れた、pasBBB とでも入れたとしよう。BBB1.cer と BBB1.key ができた。 "個人証明書の作成" で必須項目は、国(C) [日本]、組織名(O) [NIX Corp] はサ−バと同 じにして、氏名(CN) [taroudesu]。メ−ルアドレスは必須でなく入れなかった。パスワ− ドは必須でないが [tarou123]。有効期間は変えることができる。 認証局の証明書は一緒 に入れない、SSLクライアント認証を行わないにした。鍵長は 1024、署名アルゴリズムは SHA-256 にした。他は空欄のままにした。これで CCC1.p12 ファイルができた。 [ FortiGate での設定 ] [システム]->[証明書] に9個の証明書があった。発行者は7個が Fortinet だった。 画 面上のメニュ−の {インポ−ト} で、PKIソフトで作った証明書を入れる。入れる種類 は次の3つがある。ロ−カル証明書、リモ−ト、CA証明書。CRLファイルは別か。 CA証明書を装置である FortiGate に入れる。{インポ−ト} の {CA証明書} をクリッ クして出た画面で "〆ロ−カルPC [参照..]" で、 PKIソフト作成した AAA1.cer を選 択した。パスワ−ドは求められない、CA証明書の作成時点でパスワ−ドは設定してない。 次に装置自体を証明する証明書を FortiGate に入れる、上記の "サ−バ−証明書の作成" で作ったものである。WWWサ−バのサ−バ証明書と同じ扱いのものである。 FortiGate の画面ではロ−カル証明書のことになる、これにはちょっと癖があった。 {インポ−ト} の {CA証明書} ------------------------------------- | 証明書をインポ−ト | "サ−バ−証明書の作成"を作成する際にサ− |-----------------------------------| バ−種別 IIS だと xxx.pfx というのができ | タイプ [証明書 ▽] | た。タイプ [PKCS12 証明書 ▽] で指定すれ | 証明書ファイル [参照..] BBB1.cer | がいいようだが、入らなかった。証明書名は | キ−ファイル [参照..] BBB1.key | ファイル名を指定すると出てくる項目みたい。 | パスワ−ド [pasBBB ] | この画面は最初、タイプ[ロ−カル証明書▽] | 証明書名 [BBB1 ] | である。これを左画面のようにしてやったら | [OK] [キャンセル] | できた。PKIに昔、取り組んだ勘でやった。 ------------------------------------- [システム]->[管理者]->[証明書] -------------------------------------------------------------------------------- | (+)生成 Edit Delte インポ−ト▼ 詳細の表示 ダウンロ−ド | |------------------------------------------------------------------------------| | Certificates (6) | |------------------------------------------------------------------------------| | 名前 | サブジェクト | 発行者 | 有効期限 |Status| |------|--------------------------------------|----------|--------------|------| | BBB1 | C=日本,CN=nix.con,O=NIX Corp,ST=東京 | NIX Corp | 2017-05-25 ..| OK | |==============================================================================| | External CA Certificates (4) | |------------------------------------------------------------------------------| | AAA1 | C=日本,CN=nix ,O=NIX Corp,ST=東京 | NIX Corp | 2021-03-31 ..| OK | |------------------------------------------------------------------------------| [VPN]->[SSL]->[設定] で "Listenするインタ−フェ−ス [wan1 ]" になっている。 この 画面で、"サ−バ証明書 [Fortinet_Factory ▽]" にデフォルトでなっていたのを、▽を クリックすると、BBB1 というのも選択肢に出てくるので、これにする。"クライアント証 明書を要求 □" になっているのを〆した、これで証明書の相互認証をすることになる。 [ FortiClient での設定 ] 作ったクライアント用証明書、CCC1.p12 としようか。このファイルを FortiClient を使 うパソコンなりに持って来る。 メ−ルでも FTP でもファイル共有でもUSBキ−に入れ てでも。CCC1.p12 ファイルをクリックするとウィザ−ドが走る。ともかく [次へ]とやっ て行くとIEブラウザに入った。IEの [インタ−ネット オプション]->[コンテンツ]-> {証明書} の {個人} に入る。この画面の [ インポ−ト ] からも入れることができる。 ---------------------------------------------------------- | 証明書のインポ−トウィザ−ド | FortiGate に作ったア |--------------------------------------------------------| カウント。ユ−ザ名は | 秘密キ−のパスワ−ドを入力してください。 | jiroudesu、 パスワ− | パスワ−ド: [tarou123 ] | ドは jirou123。 | □秘密キ−の保護を強力にする | | このオプションを有効にすると、秘密キ−がアプリケ | FortiClient を入れた | −ションで使われるたびに確認を求められます。 | パソコンのログオンは | □このキ−をエクスポ−ト可能にする | root, pass123。 | キ−のバックアップやトランスポ−トを可能にします。 | | 〆すべての拡張プロパティを含める。 | クライアント証明書の | プライベ−トキ−の保護の詳細について表示します。 | ユ−ザ名は taroudesu、 | [戻る] [次へ] [キャンセル] | パスワ−ド tarou123。 ---------------------------------------------------------- クライアント証明書は利用パソコンのIEに入れるということ。 それを FortiClient は 見るということ。FortiClient の設定は下記のようにした。これで FortiClientでクライ アント証明書と FortiToken やメ−ルでのOTPの二要素認証ならぬ三要素認証ができた。 因に FortiClient の {IPsec VPN} の方にも、認証方法のメニュ−のところに事前共有鍵 と X.509証明書というのがあった。IPSec VPN の方の動作確認は一応ここまでにする。 ------------------------------ | FortiClient | SSLVPN-test は SSL-VPN接続用に作った名前。◎をク |----------------------------| リックして設定する。 "リモ−トGW [192.168.1.6 ]" | [〓 SSLVPN-test ▽|◎] | "認証 ◎ユ−ザ認証"、"〆クライアント証明書" にし | [〇 jiroudesu ] | て、すぐ下の▽をプルダウンすると "taroudesu/nix" | [% jirou123 ] | があり選んだ。taroudesu はクライアント証明書のCN | [□ taroudesu/nix ] | 値、nix はCA証明書の CN 値のようである。□無効 | [ 接続 ] | なサ−バ証明書の警告を非表示、とした。 ------------------------------ * デジタルIDでの認証の注意 上記の設定までで FortiClient の SSL-VPN 接続すると下記の警告が出た。[はい]を押せ ばそのまま接続に行った。この警告画面を出さないようにするには2つのことが関係する。 "サ−バ−証明書の作成" での必須項目の "ドメイン(CN) https://[ nix.con ]"、ここに 書かれているURLの nix.con が1つ。 もう1つは FortiClient の SSL-VPN 設定画面 の "リモ−トGW [192.168.1.6 ]" のIPアドレス。ちょっと分かりにくいが、FortiGate 内に入れた証明書はWebサ−バの証明書と同類のものという事を頭に入れたい。 -------------------------------------------------------------------------------- | セキュリティの警告 | |------------------------------------------------------------------------------| | /!\このサイトとのセキュリティで保護された継続は確認できません。続行しますか? | | 表示している証明書は、表示しようとしているサイト名と一致しません。 | | [ はい ] [ いいえ ] [ 証明書の表示 ] [ 詳細情報 ] | -------------------------------------------------------------------------------- △PC PC は Windows 7 で FortiClient を入れた。 次のように |.8 192.168.1.0 設定する。 これは SSL-VPN 接続の一般的な仕組みのよう --------------------- ようで Aventail でも同じことがあった。 .6|WAN(wan1) NAT------- SSL-VPN リモ−トGW [192.168.1.6] を リモ−トGW [nix.con ] に。 |FG80C| ------- C:\Windows\System32\drivers\etc\hosts .2|LAN(internal) ------------------------------------- --------------------- |192.168.1.6 nix.con この設定も必要である。 さらっともう1つ重大な注意事項を書いておこう。クライアント証明書の中身は実はパソ コン、IEブラウザ、クライアントソフト(FortiClient) では何も見てない、チェックし ないということ。ユ−ザ名は一致してなくても構わないことを、上記の設定で示した。ク ライアント証明書を発行する際にユ−ザ名、パスワ−ド、メ−ルアドレスを記入するが何 でもいいのである。そのクライアント証明書をパソコンのIEに入れる時に確かにその人 に渡したというのが重要なのである。そのため安全に証明書を渡す事を工夫するのである。 クライアント証明書を保管している証明書発行局、これに侵入され盗まれたらどなたさん でもクライアント証明書を使えてしまう。クライアント証明書内の秘密鍵のパスワ−ドも 知られたらだが。クライアント証明書をIEに入れる時 "□このキ−をエクスポ−ト可能 にする" に〆してしまうと危険、取り出され盗まれたら。クライアント証明書は使い回し ができる、証明書ユ−ザ名はパソコンのログオンと紐付いてない。1つだけクライアント 証明書を発行して全ユ−ザで共有するということもできる、装置側がチェックしなければ。 Active Directory でクライアント証明書を発行できる。実際やったことはないが IIS な ど環境が整えば難しい事では無いようである。しかし Windows Server は攻撃者が真っ先 に狙うという。十分な安全対策が必要である。ここで試したPKIソフトに書いてあるこ とにUSBキ−にソフトを入れ、そこで実行し証明書もUSBキ−内に作る。パソコンは 社内ネットワ−クには繋がず、PKI作業する時だけUSBキ−を挿す。それ位の慎重さ をもって利用すべしとあった。あるいは NetAttest CA と言った装置を使うかである。 * FortiClient の証明書認証ではまった `2g/09/S IEブラウザで証明書を {ほかの人} のところに入れてしまった、CA証明書とサ−バ証 明書だが。IEブラウザにはクライアント証明書を{個人}に、CA証明書を {信頼された 証明機関} に入れるのだった。サ−バ証明書はIEに入れる必要はない。それで誤って入 れた証明書を消したいのだが、IEの画面には消すメニュ−が灰色になっていて使えない。 インタ−ネットで調べたら mmc.exe で消しているのが出てきた。 初めて見る画面だった が手順通りやったらすんなり消すことができた。 * FortiGate での認証の種類のまとめを FortiGate 装置 パソコンのIE ・証明書利用に〆すると全てが対象になる。 -------------- -------------- ・MACアドレス認証するかしないかの選択。 |CA証明書 | |CA証明書 | ・ユ−ザ毎に二要素認証するかしないかの選択。 |Server証明書| |Client証明書| ・二要素認証はメ−ルかト−クンの OTP の選択。 -------------- -------------- (5) 尚 FortiMail と FortiSandbox `2g/04〜 * ウィルス検知の状況を調べる 社内のプロキシサ−バを経由しない通信で、怪しいのを検知し止める。これが今のところ まるで出来ていない。プロキシサ−バではそれなりのセキュリティのチェックをしている のだが、トレンドマイクロの IWSS のWebレピュテ−ションで。`2g/04/27 インタ−ネ ットでの情報。2016年5月の連休前にマルウェアが増えていると。 明けて 04/28 の こと、検知メ−ルが10通ぐらい来た。 FortiSandbox の性能を計るのにいい機会かも知 れない。パソコン用のウィルスチェックソフトでの検知と比べてみること。 パソコンのウィルスチェックソフトでのこと。 自分宛のメ−ルは FortiMail でウィルス チェックしないようにしてある。やってきたウィルス添付のメ−ルを、ウィルス検知した ログ。"日時 2016/05/06 8:25:54、スキャナ POP3フィルタ、件名 Re: 日付 Fri, 06 May 2016 02:13:20 +0900、脅威 JS/TrojanDownloader.Nemucod.WV トロイの木場、 アクショ ン 感染ファイルあり 削除した。 最後の .WV というのが NC とか WG とか亜種がしょっ ちゅうできて、そのメ−ルが毎回検知されている。 日時 2016/05/06 8:25 は、パソコンのメ−ルソフトでメ−ルサ−バに POP3アクセスして メ−ルをとってきた日時である。5月6日に出勤して朝の8時25分のことである。日付 はメ−ルが5月6日の午前2時13分にメ−ルサ−バに来たという事である。 "02:13:20 +0900" は午前2時13分は日本標準時ですという意味である。日本標準時(JST)は世界標 準時(GMT)もしくは協定世界時(UTC)から9時間進んでいると言うことを意味している。こ の時刻のことを分かってないと、時間を追ってログの突き合わせができない。 * ウィルス検知の現状の様子 誤検知はどうか あるのはあるが、99%は通販サイトや旅行などのメ−リングリスト。たまに社内の ユ−ザから届かないんですがと問い合わせがある程度。誤検知とすり抜けのせめぎあ いで、何とか落ち着いているという感じだ。 すり抜けはどうか 手動でチェックして挙動をみてみる。エンジニアさんがやるのをそばで見てはいたが。 FortiSandbox の [システム]->[FortiView]->[オンデマンド] ここでサンプルや本物 のウィルスを送り込んでテストできる。設置の時にやって見せてくれた。 添付の rar が抜ける 添付ファイルで rar 拡張子のが抜けてしまう気がする。 これは何か設定が関係して いるのかも。rar 添付ファイルは検査から除くようになっているとか。そんなことは ないと思うのだが。自分宛に来たメ−ルでまずはチェックしてみるとしよう。 * 両ファ−ムウェアのアップ FortiSandbox は v2.2 が国内でようやくリリ−スされた。 SI業者がサポ−トできるよ うになった。2016/04/20 知らせがあった。FortiMail は 2016/02/E 頃に v5.3.1 がリリ −スがあった。 v5.3.1 では検知のリスクのレベルに応じて処理を変えることができるよ うになった。High/Medium/Low。High は Reject、Medium はシステム隔離、Low はユ−ザ 隔離なりタグ付けをするとか。これまではレベルは1つで処理も1つだった。しかし今の ところ誤検知もなく機嫌よく稼働しているみたい、できるだけ触りたくないものだが。 確か FortiSandbox はどんどんファ−ムウェアをアップしても、FortiMail には関係なく 問題なかったはず。だったら FortiSandbox のファ−ムウェアをアップしていこう、それ に FortiMail の予備機のファ−ムウェアをアップしよう。 これらでマルウェアのチェッ クをしてみよう。最初にやったメ−ル転送ソフト BJD を使って、 自分宛のメ−ルを予備 機に送るとしよう。できるだけウィルス入りメ−ルが来ない時間帯、曜日にやるようにし よう。日曜の昼間はどうか。その気になってログをみてみないと。 とりあえず予備機の FortiMail をバ−ジョンアップして、 設定メニュ−の変わったとこ ろがないか調べることにしよう。現 v5.2.6 のファ−ムウェアを v5.3.1 にアップしてみ た。アップ実行をクリックして FortiMail の画面が出てくるまでは5分だった。 v5.2.6 のサンドボックス設定の画面を下に表わした。 至ってシンプル、v5.3.1 の画面は分かり にくいが絵なしで説明してみた。 スパムチェックは [プロファイル]->[アンチスパム]-> {アンチスパム} でメニュ−は変わりなく、FortiGuardスキャン 内の〆も変わりなかった。 [プロファイル]->[アンチウィルス]->{アンチウィルス} FortiMail v5.2.6 にて -------------------------------------------------------------------------------- | アンチウィルスプロファイル | |ドメイン: [--システム-- ] 灰色 | |プロファイル名: [Nvirus ] 灰色 | |デフォルトアクション [Nvirus-act ▽] [新規][編集 ] << システム隔離に。| | | |〆--▲ウィルススキャン--------------------------------------------------------| | |〆グレ−ウェアスキャン || | |〆リアルタイム サンドボックスマルウェア解析 アクション:[--デフォルト-- ▽]|| | |〆疑わしい添付ファイルを FortiSandboxへアップロ−ド || | ----------------------------------------------------------------------------| -------------------------------------------------------------------------------- * FortiMail を v5.3.1 にして FortiMail の画面の右上辺り "ヘルプ Wizard ログアウト" というメニュ−がある。この "ヘルプ" をクリックすると Fortinet 社サイトへ行きヘルプ画面がでてくる。v5.3.1 に した 200D の [アンチウィルス]->[FortiSandbox] の画面で "ヘルプ" をクリックすると "FortiMail Online Help / Using FortiSandbox antivirus inspection"、 英文の説明が 出てきた。この画面の上の方 "〇 ← →" この "〇" をクリックすると日本語訳になった 画面が出てきた、Google の翻訳機能か。そこそこ分かる日本語になっていた。 [プロファイル]->[アンチウィルス]->{アンチウィルス} の設定。 〆ウィルススキャンで 〆マルウェアアウトブレ−ク制御、〆ヒュ−リスティックスキャン、□ファイルシグネチ ャチェック、〆グレ−ウェアスキャンになっていた。ヒュ−リスティックスキャンは先の バ−ジョンにはメニュ−がなかった、その前のバ−ジョンにはメニュ−があった、扱いは 注意した方がいいかも。ファイルシグネチャチェックも先のバ−ジョンにはなかった、〆 はないがこのままでいいだろう。アクションは全部デフォルトでシステム隔離である。 [プロファイル]->[アンチウィルス]->{アンチウィルス} の設定。〆FortiSandbox のとこ ろ。ここには4つのメニュ−がある。上から ウィルス、高リスク、中リスク、低リスク"。 "アクション:[--デフォルト-- ▽]" になっていた、デフォルトはシステム隔離にしてあ る。ウィルスは文字通りウィルスの検知。後3つはサンドボックスで検知された他の脅威、 前バ−ジョンでは分類はなかった。低リスクは誤検知しやすいレベルということで、アク ションをタグ付けとか変えてもいい。高リスクは問答無用でアクションは破棄にするとか。 [アンチウィルス]->[FortiSandbox]->{FortiSandbox} の設定。 "URIスキャン設定 有効"、 "メ−ル選択 疑わしいメ−ル"、"URI選択 未レ−ティング URIUnrated URI"。URI選択 は すべてのURI でもいいかも。"ファイルスキャン設定" のファイルタイプは〆Windows実行 形式とか7つのファイル形式にチェックがあった。 この内 Adobe flash はチェックを外 した方がいいかも、自身以前にそうメモしていた。FortiMail から送られてきた添付ファ イルの ZIP など圧縮形式、様々なアプリケ−ションの形式のファイルをチェックする。 * メ−ルのログの追跡のこと 今一度 FortiMail のログを詳しく見てみたい。 aaa@xxx 宛に来たメ−ルはエイリアスで aaa@xxx と bbb@xxx に配送している。 aaa@xxx だけウィルスチェックしないようにして いる。その他のメ−ルはウィルスチェックもやるようにしている。bbb@xxx でウィルスチ ェックのログは出ない、スパムチェックのログは出ている。 [ログ]->[アンチウィルス] で aaa@xxx を検索し、 セッションID をクリックするとクロ ス検索結果が出る。ここを見るとログタイプのアンチウィルスに "To aaa@xxx"、"メッセ −ジ queued for FortiSandbox scan" とでている。 aaa@xxx はウィルスチェックしない ようにしているのになぜか。エイリアスをやるとはログの出方がすっきりしないみたい。 * FortiSandbox のチェックは FortiSandbox のチェックのレベルは Low はチェックしないことにして、最初設定した?。 どうもあやふやだ。FortiMail v5.3.1 だと、アンチウィルスのチェック 〆FortiSandbox の低リスクは誤検知しやすいので注意、ということかも。誤検知することもあるが、ウィ ルスであるかも知れない。やはり抜けが生じてしまうかも。Low も見ることにして引っか かったらメ−ルにタグ付けするとかシステム隔離するとか。ここら辺り詰めること。 Low にすると誤検知がかなり起こる?。これを誰ぞにチェックしてもらい、まともなメ− ルだったらリリ−スしてもらうようにする。誰がこの作業をするかが問題。英語、中国語 が分かる人をパ−トで雇い在宅勤務ということで仕事をしてもらうというのはどうか。優 秀な女性、家庭にいったん入ったご婦人はどうか。一日中じゃなくて10、13、15時 とか。複数人でやってもらうとか。自社製品について理解してもらう事も必要である。 "25-2.サンドボックス製品の設置まで、(3)FortiMail と FortiSandbox" で "メ−ルのサ ンドボックスの判定は3段階ある。一番下の判定はたくさん出てくる、気にしなくていい らしい、そのまま通しても構わない。2番と3番目は危ないということ"。と書いた。 多 分間違いで FortiSandbox の [File-based Detection]->[Config] の [Malware Package] の設定は 〆Malicious、〆High Risk、□Medium Risk としていた、このことだと思う。 * FortiSandbox のチェックのログ [System]->[FortiView]->[Search] にこれまでチェックしたログが残っている。残す期間 の設定によるのだろうが、見たところ 1300 個ぐらいあった。出ているリストの一番左の 虫めがねアイコンをクリックすると詳細が表示される。 99.99% は問題なしのログだった。 Rating Clean、Malware N/A となっていた。Source と Destination のIPアドレスが出 ている。1つ虫めがねをクリックしてみた。FortiMail から来たものとは書かれているが メ−ル本文や添付ファイル名などは出てない。ログ表示の下の方に Analysis Details 項 目に File Type pptx とあった。すぐ下の [Original File] をクリックしてみた。 これでチェックしたファイルをダウンロ−ドしてきた。D:\Users\tarou\ダウンロ−ド\に 2851703_orig_file.zip できた。クリックするとデスクトップにフォルダを作って別なフ ァイル名で ZIP ファイルができた。 更にこれをクリックしたら、またフォルダができて 最初のファイル名を採った 2851703 というのができた。 2851703 と言うのはその都度で きるファイル名で、実際はもっと長い。ともかく拡張子無しの数字の羅列のファイルがで きる。File Type pptx と表示された拡張子をつければ、 これが元の添付ファイルという ことになる。2851703.pptx をクリックしたら、ちゃんと PowerPoint の表示をした。 * FortiSandbox で検体のチェック [System]->[FortiView]->[On-Demand] ここで検体のチェックができるようだ。 装置を設 置してくれた時にSEさんがテスト用の検体 bottest.bat を送り込んで、 チェックの様 子を見せてくれた。チェックに 127 sec かかって Low リスクと出た、と自身メモしてい た。果てこの bottest.bat ファイルはどこにやってしまったか。D:\Users\tarou\ダウン ロ−ド\ に数字のへたら長いファイルがあって、ZIP ファイルを解凍して行って、拡張子 bat を付けて [On-Demand] に入れたら同じ結果が出た。123456 と書いただけの 123.txt ファイルを検体にしたら [System]->[FortiView]->[Search] に Rating Clean と出た。 検体のファイルを送り込むのは [On-Demand] 画面の [ Submit File ] をクリックして出 た画面でやる。ア−カイブ形式は tar,z,gz,zip など有るとのこと。Skip 〆AV Scan、〆 Cloud Query、□Sandboxing となっている。 スキップなので、つまり AV Scan と Cloud Query はしない。やるのは Sandboxing だけということ。AV Scan は通常のウィルスチェ ック、Cloud Query は Fortinet 社のクラウドに問い合わせる。bottest.bat を AV Scan だけチェックさせたら Rating は Clean となった。 [ Submit File ] 画面の"Overwrite Scan Profile うんぬん" は1つも〆なかった、これはこのままでいいみたいである。 * 両装置のファ−ムウェアのアップ 先ず FortiSandbox を v2.12 から v2.20 にアップした。FortiMail の FortiSandbox へ のキュ−が無いのを確認して、実行の画面メニュ−をクリックした。リスタ−トの後にロ グインのペ−ジが出ると、画面にメッセ−ジが出た。2分ぐらいして気付いたらログイン のペ−ジが出ていた。これまでと全然違う画面だった。画面上部には緑色の帯があってメ ニュ−を選ぶとそこが緑色になった。数時間様子を見て今度は FortiMailの方もファ−ム ウェアをアップした v5.2.6 を v5.3.1 へ。実行の画面メニュ−をクリックした、何の変 化もないけど裏ではやっている。pingを打って様子を見た、2分ぐらいで反応がなくなっ た。5分ちょいして反応が返ってきて、アクセスしたらログイン画面がでた。 サンプルのボット bottest.bat を自分宛に送った。 [モニタリング]->[メ−ルキュ−]-> {FortiSandbox} に入り1分ぐらいで消えた。 [モニタリング]->[隔離]->{システム隔離} に隔離された。これまでと画面メニュ−が変っていた。{Virus/current} の中に送ったメ −ルはあった、 これをクリックしたら本文が出て添付ファイルの bottest.bat もあった。 [モニタリング]->[ログ]->{アンチウィルス} ログの一番上から4つが、 このメ−ルをチ ェックしたログで上から時刻は遡る。上から4番目のログにメ−ルを発信したパソコンの IPアドレスが出ている。"suspicious is found, 32s used to process the email"、レ ベル information、サブタイプ fortisandbox、タイプ virus。一応問題なさそうだ!。 * メモ FortiMail は v5.3 から IE11 を使うこと。IE9 で https://xxx/mail のWebメ−ル画 面にアクセスすると "WMLogin_login_error_NULL" とエラ−が出た。IE10,IE11 では画面 は出るが、間延びしたような表示になる、そういうことになったようである。画面右上の 方にクラシックというのがあって、それをクリックすると従来の画面になる。Firefox で はこれまでの画面が出た。FortiSandbox も v2.2 にしたら同様の現象になった。`2g/06