22-2. スマ−トデバイス利用への道 -------------------------------------------------------------------------------- FortiGate の設定でもう一度確認すべきこと。"(2)UTM でPCで単に SSL-VPN" の "※ア クションを SSL-VPN を選ぶと NAT は勝手にチェックが入っていた。(要確認)"。 -------------------------------------------------------------------------------- (1) スマ−トフォンとタブレットで `2c/04〜 * とりあえずメモ 大きくはスマ−トデバイス、それにはタブレットとスマ−トフォンがある。タブレットに はアップル社の iOS OS搭載の iPad、他メ−カの Android OS搭載のタブレット。 ス マ−トフォンには iOS と Android のOS系がある。Windows パソコンの延長にある極薄 の Ultrabook というのもある、またシンクライアントというのも今尚健在である。 日本政府が私物スマ−トフォンの内部接続を許す方針をだした `2c/06/03。どういう意味 合いで何をできるようにするのか。まともに受け止めるのは禁物のような気がする。続々 と市議会なんかでも議場に、個人持ちの iPad なんかの持ち込みを許可すると報道がなさ れている。通信費は折半にするとか。どんどんスマ−トデバイスは広まっていくだろう。 雑誌を見ていると企業で iPad を2千台導入したとか、500台買っただとか出ているが。 これってリモ−トアクアセスはやれるようにしての話なのだろうか。リモ−トアクアセス がやれなければ、社外にあるクラウドなどのリソ−スにアクセスするか、デ−タをあらか じめ iPad に入れておいて見るという使い方になるが。どうしているの?。 アンドロイドのスマ−トフォン、ウィルスが怖いにはこわいがアプリを入れる際にいろい ろ聞いてくるわけだから、怪しいのはダメと意識していれば大丈夫、入って来ないんじゃ ないか。BYOD( Bring Your Own Device ) 私物スマ−トデバイスを仕事でも使えるように しようよという話。もってのほかだったと言うのは様変りしてきた。 当初、SI業者に50万か100万円ぐらいで、やってもらおうと思った。しかし何をや ってもらう?。単に SSL-VPN装置で iPad を使えるようにしてもらう。その設定マニュア ルを作ってもらう。そんな話になるかな。でも、それだけでいいの?。やはり初めのポリ シ−みたいなことも必要だ。それはやはりある程度触ってみないことには、何ができてで きないか把握できた段階でないとポリシ−なんか決めることはできない。 スマ−トデバイスのメ−カとか機種、iOS に Androidのファ−ムウェアのバ−ジョンなど によって接続の仕方が微妙に違っていると聞いた。半年位前のセミナ−にて。2011年 の秋ぐらいだったか。これは実際に展開していこうとすると、大きな問題になるかも。一 括してデバイスを購入するとかしないと。しかし勝手にファ−ムウェアをアップしていく というのも聞いたぞ。そのためアプリが動かなくなるとか。 アップルは iPhone、iPad は消費者向けに販売している。企業向けには販売してない。大 量購入しても一括して設定なんかはできない。企業向けのサポ−ト窓口もない。在庫も持 たない主義?、販売店にいってあるものを買うというだけ。安定しているからといって前 のバ−ジョンの iOS が載ったのが欲しいといっても無いということ。なめとるな。 * ちょっと前に調べたこと `2c/04/07 に 21-4,(5) から移動。 [ スマ−トフォンとタブレットへの対応は ] `2b/09 FirePass で先ずはどのように対応できるのか機能を確認してみたい。 いろいろセミナ− には出て見ているものの、FirePass を使ったのがない。よく出てくるのが SonicWALL で、 内臓のワンタイムパスワ−ドを使ったユ−ザ認証である。ともかく FirePass で特定ファ イル、特定プロセスの存在でのチェックを一度試してみたい。どうもF5社のサイトを見 ると iPad や Android の対応は F5 BIG-IP Edge Gateway という別製品でやるのか?。 はっきり言って FirePass はお勧めではない。設定が直感的にできない。メニュ−が頗る 繁雑なのだ。それじゃどこのメ−カの SSL-VPN装置がいいのか、そこまでの情報は持ち合 わせていないのだが。10月半ばとある名古屋での展示会で、iPad 利用で Juniper 社の SSL-VPN 装置を置いてあった。掌サイズのコンパクトなサイズで、もう大仰にSSL-VPN を 導入しますなんて言わなくても、そこら辺に転がしておけばいいという感じだった。 [ もう少しスマ−トフォンなど調べた ] `2b/10〜 FirePass はv7.0 でスマ−トフォン対応とのレポ−トがあった。"iPone/iPad からのアク セス機能の拡張、BIG-IP Edge Client v.1.0.1 for iOS、2011年4月"。F5社製品BIG-IP EdgeGateway と BIG-IP Access Policy Manager でも対応。Edge Client というアプリを iTunesから入手。エンドポイントチェックで端末を認証するセッション変数が新しく加わ った。MACアドレス、モデル名、プラットフォ−ムバ−ジョン、iPhone/iPad 固有ID。 Windows 7 OSが載ったタブレット。富士通だったかの、USBインタ−フェ−スが1つ、 ネットワ−クのインタ−フェ−スはなし、無線LANで接続。Wi-Fi らしい、無線が遅い のでなくタブレットの CPUが遅いらしい。もたもたした操作感。指でなぞっても全然追従 してこない。例えそれが速くなっても、しょせん Windows OSなわけで iPadなどの操作 感はないだろう。2011年の夏位オンキョ−のWindows 7タブレットを見た、重かった。 こいつらテストするのには無線LANの環境が必要だ。Cisco の無線LANの装置を2つ か3つやはりいる。干渉も含めてのテストで。20万円位で買えるだろう。Cisco には幾 つか機種があるようだが。管理のコントロ−ラはとりあえず必要ない。お手軽にテストす るには家庭用の無線LANのバッファロ−製でもI・Oデ−タのでも構わない、でもそれ で使えてこれでいいやと、家庭用製品をオフィスに本格導入しようなんて考えないこと。 スマ−トフォン、タブレット端末は勝手に通信をいろいろやっている。OSをアップロ− ドする、自分で入れたアプリがそれで動かなくなることがあるという。スマ−トフォンで 地図情報を使ったアプリを使いたいとか、ずっと通信していてパケット無制限契約にして ないとどんどんお金がかかる。2012年明けて、Android アプリが年中通信してドコモ の回線がパンクしたとか。iPhone はそんなに通信はしてないとか。困ったもんだ。 ファイアウォ−ルの置き換えで導入する FortiGate でやるか。 FortiGate は iPhone や Android スマ−トフォンに対応してきている。 iPhone には Cisco IPSec VPN Client と FortiMobile SSL-VPN。FortiMobile SSL-VPN は App Store にアプリケ−ションが既にあ るので取ってきて使うことができる。Android には Andorid L2TP/IPsec VPN、OS 4.3 用 からサポ−トしている。2011年6月の名古屋でのハンズオンセミナ−にて聞いた。 * メモ 2011年8月位、日経の雑誌や近辺のセミナ−で iPad で社内にアクセスする話が多く なっている。iPad では生体認証は使えず、 特定ファイルやプロセスの有無で利用可とす るデモが散見された。まだこの時期 iPad の端末情報の安易さは指摘されてなかった。 これまで出席したセミナ−や展示会でもらった資料、そこら辺にパラパラとあるので寄せ てみよう。2012年4月の半ば。直近のセミナ−なんかないか。東京や大阪ではあるの だが、名古屋ではないな−。2012年、今年に入ってからないんでないか。 社内のリソ−スに外からアクセスすることになる。ファイル共有やメ−ルサ−バやイント ラに。端末にデ−タが残ったんでは困る。慎重に利用するのはシンクライアントと同じで ある。そう気安く使ってもらっていいというものではない。 ソフトや資料がばらばらにある。困るな−。幾つもソフトウェアがある。どれで何ができ るのか全体像が見えない。結局何をやったらいいかというアドバイス的な話から始めない と、前に進めないという寸法か。ともかく自分で検討を進めて行くしかないか。 * 情報収集 「日経ネットワ−ク」この日経の雑誌どうなのよ。 何か「日経パソコン」の姉妹雑誌程度 の感じがする。つまり初心者向けのネットワ−クの雑誌じゃないかと、ずっと思っている んだが。大きな本屋にはあるのは見るのだが、やけに薄いし 1,280円だったかで高い。 何か本か雑誌はでてないのか。リアルタイムでどんどん進んで行っている分野。こういう のは本も雑誌もでてないだろう。今度、名古屋の街に出たら一応探してはみるか。`2c/04。 FortiGate の1冊だけ出ている本、オ−クションで8千円前後で出ているぞ。どひょ−。 (2) UTM でPCで単に SSL-VPN `2c/05〜 * FortiGate の情報収集 http://www.fortinet.co.jp/ フォ−ティネット具楽部。ユ−ザ登録してなかった。 会員 登録してみた。フォ−ティネットジャパン [event_ip@fortinet.com] からフォ−ティニ ュ−スというのがメ−ルで来ている。このメ−ルのリンクをクリックしたらユ−ザIDが メ−ルですぐに送られてきた。 http://www.ctcsp-support.jp/fortigate/support/ の Version 4.0 MR3 ドキュメントダ ウンロ−ドペ−ジ。技術ドキュメントが17ある 全部 PDF の英文。めぼしいのを取って きて見ること。User Authentication 3.99MB、IPSec VPN 8.37MB、SSL VPN 1.11MB とか。 Technical Support の http://support.fortinet.com/。ここはユ−ザ登録がいる。 どう もここには Windows, Linux, Mac用の SSL VPN tunnel client のソフトがある。Windows 用は SslvpnClient.exe or SslvpnClient.msi である。しかしこれらはもはや使うことは ないと思う。こういうソフトもかつてはあったよと参考まで。 Fortinet Technical Documentation のhttp://docs.forticare.com/。FortiGuard Center の http://www.fortiguardcenter.com/。Fortinet Knowledge Center の http://kc.fort icare.com/。Fortinet Knowledge Base の http://kb.fortinet.com。 「FortiClient Lite for Android Devices QuickStart Guide」December 15,2011の巻頭に 記載され上記までに出てないサイト。Trainig Services: http://training.fortinet.com、 Technical Documentation: http://docs.fortinet.com、FortiGuard: http://www.fortig uard.com、Technical Forums: https://support.fortinet.com/forum。 * ワンタイムパスワ−ド機能あり FortiGate のオプション製品で FortiTokenワンタイムパスワ−ド(OTP)というのが出てい た。OTP が60秒に1回変わる。「日経コミュニケ−ション」2012/02 号にでていた。そ んな機能が FortiGate にあったのか、知らんかった。fortinet 社のサイト見たら、ト− クンが紹介されていた。ソフトウェアの OTP は出てなかった。 ト−クンとはUSBキ− ライクな装置にパスワ−ドが表示されている奴だ。それで既存の FortiGateで使えるの?。 使えるなら、対応するファ−ムウェアのバ−ジョンとかパッチとかは。それでこのト−ク ンはなんぼするの?。とりあえず1個くれよ。1個1万円はしないみたい。最小2個から 買えるみたい。利用するための登録はインタ−ネット上の FortiGuard Center でやる。 SI業者のエンジニアさんから FortiGate MR3 だったら OTP をサポ−トしていて、ト− クンでなくてメ−ルで OTP を知らせることができると聞いた、`2c/04/e。 最近はスマ− トデバイスを使って社内に接続する案件ばかりとか。iPad と iPhone は SSL-VPN できる。 Android は IPSec接続ができるということらしいが、二重に暗号化でカプセル化するとか、 かなり癖があるとのこと。ファイアウォ−ルとして UTMを設置したのに、スマ−トデバイ スを通す設定はおすすめではない。DMZ上にUTM を設置してやった方がいいだろうとの こと。実際これまでやってみたエンジニアの生の話、アドバイスである。時間にして10 分こうした話をした。もうこれだけで十分参考になる。ありがたや。 * ファ−ムウェアをアップする `2c/05/E 対応するファ−ムウェアに先ずはアップグレ−ドする。あるSI業者であるS社のサポ− トペ−ジで 80C の対応は 4.0MRP1-6 英文のインスト−ル資料をちゃちゃっと見た。 MR2 からのアップグレ−ドは MR2 Patch Release 4 またはそれ以上のこと。 現在のバ−ジョ ンは v4.0,build0324,110520 (MR2 Patch 7)なので、このままアップグレ−ドできる。や ってみた。MR3P6 をダウンロ−ドして入れた FGT_80C-V400-build0521-FORTINET.out。2 分位でブラウザの反応が戻った。2012年3月に見た時には MR3P5 まであった。 別な 業者C社のサポ−トペ−ジでは、ダウンロ−ドできるファ−ムウェアはVersion 4.0 MR 3 は [build513] 1つあった。iPad なんかに対応させたいので、 できるだけ新しいファ− ムウェアの方がいいのでないかと思うのでS社の一番新しいのを入れてみた。 * SSL-VPN の設定をやってみた パソコンは Windows XP で IE8、Windows 2000 で IE6 にて。それにシンクライアントの HP 2533t でテストしてみた。SSL-VPN 設定の過程でブラウザに ActiveX なんかのプラグ インは入らなかった。SSL-VPN アクセスの許可はグル−プ単位である。ユ−ザを作成して 適当なグル−プも作成して所属させることになる。ブラウザのクライアント証明書は以下 のテストでは発行されていない。CA証明書も作ってのデジタルIDの双方向認証のテス トもやってみないといけないが、そうでなくても使い勝手が考えられる。ブラウザに証明 書を入れなくても使うことができるというのが味噌である。例えばBCP対策として自宅 待機になった人が手元のパソコンやタブレットのブラウザから、RDP で社内の自分のパソ コンにアクセスするとか。UTM の SSL-VPN で扱えるプロトコルに RDP が入っている。 -------------------------------------------------------------------------------- Windows XP の IE8 で FortiGate を操作するとおかしい。 IE8 のデスクトップの方だと [ポリシ−編集]の画面で送信元アドレスなどのところの右端に丸緑に白字+がでてこない。 確かできていたはずなのに。ノ−トPCの IE8 ではでてくる。デスクトップの方が、 何 かブラウザのアドインみたいなものがなくなったか。 仕方ないので Mozilla Firefox を ダウンロ−ドしてきてやってみたら、ちゃんとでた。これで3時間ぐらい無駄にした。 -------------------------------------------------------------------------------- [ https://192.168.1.9:10443/ にアクセス ] Windows 2000 からはできなかった。 "[i]ペ−ジを表示できません"、"サ−バ−が見つからないか、DNS エラ−です"。他 の適当なサイトを見ている時でも出てくる。そもそも何かおかしいのかも。 2533t からも先ずはできなかった。 "(i)Internet Explorer ではこのペ−ジは表示できません"。"接続の問題を診断、詳 細情報"。モニタの右下の方にポップ画面がでて blocked したと出てくる。 Windows XP、IE8 でうまくできた。 ログインの画面がでてくる https://192.168.1.9:10443/remote/login。 ここでユ− 名 katouFG と入れると、すぐに次の画面がでてきた。 [図A] △Win2K △WinXP △2533t Qube3 では PC から http://192.168.0.1 とアク |.6 |.7 |.8 セスすると、サンプルのファイルが2つ見えると ------------------------ いうようなこと。 WAN1|.9 192.168.1.0 ----------NAT UTM にはユ−ザとして katouFG と satouFG を作 | UTM | った。名前は適当につけた。パスワ−ドも適当に LAN ---------- 192.168.0.0 "1234" とか。satouFG にはOTPも使うように設定 .1| |.2 してみた。 Qube3□ △PC UTM の [ポリシ−]->[ポリシ−]->[ポリシ−] ---------------------------------------------------------------------------- | 送信元 宛先 スケジュ−ル サ−ビス アクション ステ−タス NAT | |--------------------------------------------------------------------------| | ▼internal -> wan1 | | all all always ANY ACCEPT 〆 〆 | | ▼wan1 -> internal | | all QUBE_SVR > > SSL-VPN 〆 〆 | ---------------------------------------------------------------------------- ※アクションを SSL-VPN を選ぶと NAT は勝手にチェックが入っていた。(要確認) UTM に SSL-VPN ログインができると、"Welcom to SSL VPN Service"というブラウザの画 面が出てくる。ブラウザのURLの横の枠に "証明書のエラ−" とでているが問題なさそ うである。このまま Qube3 のWebサ−バにアクセス、つまり "Connection Tool" のと ことで 192.168.0.1 を書いて [接続] をクリックしたら、 ちゃんとその画面がでてきた。 別画面が開いて、そこにも "証明書のエラ−" と出ているのだが。 "証明書のエラ−"のところクリックすると、証明書をブラウザに入れることはできる。や ってみて入ったところは。[インタ−ネットオプション]->[コンテンツ]->[証明書] の画 面の {証明書} をクリックして {信頼されたル−ト証明書} の中の{クライアント証明書} に、発行先 FGT80Cxxx、発行者 FGT80Cxxx、有効期限 2020/06/21、フレンドリ名 <なし>。 他のところには、この UTM からの証明書はなかった。 SSL-VPN で何ができるか。[VPN]->[SSL]->[ポ−タル] の [Settings]のところ。基本設定 で選択できるプロトコルが列挙されている。SNMP はない、メ−ルサ−バにはSSL-VPN経由 ではアクセスできない。選べるのは HTTP/HTTPS,FTP,RDP,SMB/CIFS,SSH,Telnet,VNC,Ping, Citrix,RDP Native,PortForward である。ちょっと気になることが RDP と RDP Nativeの 2つあるということ、どう違うのか。PortForward というのも気になる。何だこれは。 * 2533t でトライしてみた {Windowsファイアウォ−ル} を無効にしても https://192.168.1.9:10443/ でアクセスで きず。[コントロ−ルパネル]->[管理ツ−ル] の [Computer Management]->[サ−ビスとア プリケ−ション]->[サ−ビス]->[Symantec Endpoint Protection Agent5.1] でサ−ビス が {開始} になっていたのを {停止} にした。つまり無効にしたらできた。2533t はシン クライアントなので電源を切ったらこうした設定も元に戻ることに注意したい。 -------------------------------------------------------------------------------- | 証明書エラ−: ナビゲ−ションはブロックされました。- Windows Internet Explorer |------------------------------------------------------------------------------- |(<-)(->) https://192.168.1.9:10443/ |-------------------------------------------------------------- | {×}この Web サイトのセキュリティ証明書には問題があります。 | | 〆ここをクリックしてこの Web ペ−ジを閉じる。 | ×このサイトの閲覧を続行する (推奨されません)。 | -------------------------- 左のログイン画面が出てきた。次の画面が出てきて | Please Login | ファイル共有にアクセスしたところで |------------------------| | Name: [ ] | "(i)Internet Explorer ではこのペ−ジは表示でき | Password: [ ] | ません" とでた。なんか画面が開く時に、ポコポコ | [Login] | 音がしてくる。なんじゃこれは。 -------------------------- * ワンタイムパスワ−ド(OTP)もやってみた メ−ルサ−バの指定をどこかでやらないとメ−ルで OTP を飛ばせないはず。 どこで指定 するのか。[ログ&リポ−ト]->[ログ環境設定]->[アラ−トEメ−ル] でやる、 多分そうで ないかと思いやってみたがだめだった。メ−ル送信元のメ−ルアドレスも書いてないとだ めだった。OTP は60秒間有効。 Mail-Store や Mail-Relay マシンの内臓時計によるメ −ルのタイムスタンプは関係ないみたい。 [ユ−ザ]->[ユ−ザ]->[ロ−カル] ---------------------------------------------------------------------- | ユ−ザ−を編集 | |--------------------------------------------------------------------| |ユ−ザ名 [satouFG ] | | □無効 | |◎パスワ−ド [1234 ] | |〆二要素認証を有効 ※ユ−ザ名と Email のアドレス | | 次によりト−クンコ−ドを配布 は異なっていても構わない。 | | ○FortiToken [ ▽] | | ◎Email [katouFG@nix.co.jj ] | | ○SMS [ ▽]()モバイルプロバイダ− [ ](電話番号) | |〆このユ−ザをグル−プへ追加 〆NIX_GROUP | ---------------------------------------------------------------------- [ログ&リポ−ト]->[ログ環境設定]->[アラ−トEメ−ル]で{SMTPサ−バ: [192.168.1.1 ]}、 {メ−ル送信元: [fortidesu@nix.co.jj ]}、メ−ル送信先は空白、他チェックなしで。下 の左画面でユ−ザ名とパスワ−ドを入れて正しければ、右画面が出てくる。もうこの時点 では OTP がメ−ルで katouFG@nix.co.jj 宛に送信されている。 --------------------------- ------------------------------------------------ | Please Login | | Please Login | |-------------------------| |----------------------------------------------| | Name: [satouFG ] | | Name: [satouFG ] | | Password: [1234 ] | --> | Password: [1234 ] | | | | An email message containg a Token Code will | | | | be sent to in a moment. | | [Login] | | [Login] | --------------------------- ------------------------------------------------ こんなメ−ルが katou@nix.co.jj 宛に届く。 Email宛先をお馴染み ikken@tcp.or.jj ----------------------------------------- にしてみた。 外へ出て行って転送処理 |差出人: fortidesu@nix.co.jj で katou@nix.co.jj に送信されてくる。 |宛先: katou@nix.co.jj メ−ルが来るまで20秒位かかったがUTM |件名: AuthCode: 387457 にログインできました。 メ−ル送信す |---------------------------------------- るのに 10分以上かかるという噂の某T |Your authenication token code is 387457 社ではとてもや利用は無理な相談だな。 | ------------------------------------------------------------------------------ | https://192.168.1.9:10443/sslvpn/portal.html ▽| 証明書のエラ− | |----------------------------------------------------------------------------- | ポップアップが一時的に許可されました。このサイトからのポップアップを常 << 注1 | に許可するには、ここをクリックしてください。 |----------------------------------------------------------------------------- | Welcome to SSL VPN Service, NIX |----------------------------------------------------------------------------- | | Session Information Connection Tool | ログイン時間 satouFG(0 hour(s), 7 minute(s) タイプ: [HTTP/HTTPS ▽] | HTTP インバウンド ... ホスト: [ ] | | [接続] | Bookmarks | [追加][編集] | 注1 で一時的に許可すると、IE画面が出てきて何かやろうとしているが空白のままで1分 ぐらいして、https://192.168.1.9:10443/proxy/http/null/ で "Internet Explorerでは このペ−ジは表示できません" と出た。これはこれで何か問題があるのか。[VPN]->[SSL] ->[ポ−タル] の {基本} 画面の {リダイレクトURL:[null ]} と関係があるのか。因みに {ホスト: [192.168.1.1 ]} と入れて {[接続]} をクリックすると、 ブラウザの別画面が https://192.168.1.9:10443/proxy/http/192.168.1.1/ で開く。 ここに Qube3 のWeb サ−バのコンテンツがでてくる。 これまでの操作で SSL-VPN 接続しているという感覚は ない。ログアウトするボタンもでてこないし。所詮ホ−ムペ−ジを見ているということか。 * 更なる FortiGate の SSL-VPN の設定 「SSL VPN FortiOS Handbook v3 for FortiOS 40 MR3」64ペ−ジ、31 January 2012。を参 考にして。Host check(P35)、Cache cleaning(P12)、Virtual Desktop(P45)、web portal customize(P16)、SSL VPN Client(P45) を読んで設定すること。P12 は12ペ−ジ目を意味。 ただし FortiClient との利用でないと有効にならない設定もあるのでないかと思う。 "Host check"はパソコン内のファイルの存在チェックとかプロセスの可動チェックをして、 このパソコンを許可するというのに使う。 "Cache cleaning" はリモ−トアクセスを終えたら、 その時点でパソコンに一時的にでき たファイルなんかを消去する。情報漏洩の防止に利用する。 "Virtual Desktop" はどういう機能か。FirePassでいえばプロテクテッドワ−クスペ−ス か。専用 SSL-VPN 装置にある仮想的で安全なデスクトップ画面のことか。 "web portal customize" は SSL-VPN の利用者のアクセス画面をなんとかするのか。その ままでは、えらくしょぼい。見栄えよく使い易いように画面を書けるのか。 "SSL VPN Client"は一体何。トンネルモ−ドでの利用のことと関係しているのか。そもそ もトンネルモ−ドは使う必要があるのか。IPアドレスも一時的に割り振るというのに。 SSL-VPN 機能の PortForward はいわゆるトンネル機能じゃないのか。 パケットの中であ る特定のポ−ト番号を流れるパケットを相手ポ−トとの間でトンネルを張るとか。 (3) UTM でPCでもう少し SSL-VPN `2c/06〜 -------------------------------------------------------------------------------- 上の "(2)UTMでPCで単にSSL-VPN" に引き続きブラウザだけでの SSL-VPN 接続をテスト。 -------------------------------------------------------------------------------- * ポ−タル画面の作成は [VPN]->[SSL]->[設定] のところ。デフォルトはサ−バ証明書は[自己署名 ▽]、暗号鍵ア ルゴリズムは◎デフォルト - RC4(128ビット)以上、アイドルタイムアウト [300] 秒、ロ グインポ−ト [10443]。アイドルタイムアウトはもう少し長くしていいだろう。 [VPN]->[SSL]->[ポ−タル] すでに full-access, tunnel-acces, web-access の3つあり、 これらサンプルでもありそのまま使うこともできる。NIX-Portal というのを作った。 {Connection Tool} はあらかじめのプロトコルで、任意のホストを指定することができる。 タイプ:[HTTP/HTTPS] なら、社内に幾つかファイルWebサ−バがあって、IPアドレス を記入する。 {Bookmarks} はあらかじめ社内のWebサ−バのIPアドレスを記入しておいて、名前を 付けておく。それが表示されるので、クリックするとすぐに別なブラウザ画面が開くとい うこと。 [ウィジットの追加]には {ブックマ−ク}、{接続ツ−ル}、{トンネルモ−ド}、{セッショ ン情報} のメニュ−がある。 {トンネルモ−ド} は SSL-VPN 接続をトンネルモ−ドの設定にしないと、メニュ−として 有効にならない。メニュ−はでてきても。 ---------------------------------------------------------- |(<-)(->) [ https://192.168.1.9:10443/sslvpn/portal.html | |--------------------------------------------------------| | Welcom to SSL VPN Service (?) ◇ | << ◇がログアウト |--------------------------------------------------------| | ------------------------------------- | | |Bookmarks | | |-----------------------------------| | | 社内のイントラサ−バ | | | 自分の社内のパソコン | | |-----------------------------------| | | [追加] [編集] | << [編集] は表示されているだけ。 | ------------------------------------- Bookmarks で FTP はブラウザが別に開き、ftp ログイン画面が出る。SMB/CIFS も同様ブ ラウザが別に開きブラウザ用に整形された Sambaサ−バへのアクセス画面がでる。Telnet も同様だが、黒の画面が中に出てきて、そこに login: とログインを促してくる。 * Cache Cleaner 機能 [VPN]->[SSL]->[ポ−タル] 画面での [Settings] ---------------------------------------------------------- | 設定変更 | |--------------------------------------------------------| | 基本 Virtual Desktop | Security Control | | |------------------------ --------------| | キャッシュのクリ−ン: □ | << ここに〆入れた。 | Host Check [None ▽] | | | | [ OK ] [キャンセル] | ---------------------------------------------------------- ----------------------------------------------- |Internet Explorer - セキュリティ警告 | クライアントであるパソコンのブラ | | ウザ IE8 からアクセスした。 パソ | この ActiveX コントロ−ルを実行しますか? | コンのブラウザから "アドオン" す | | るかと、左のポップ画面が出てきた。 | 名前: SSL VPN Internet Cache Cleaner | [実行する]を一度やるとこの画面は | 発行元: Fortinet Technologies | でてこなくなる。次からアクセスし | | ても、一瞬 ActiveX何たらという画 | [実行する][実行しない] | 面はでてくるのみ。ActiveX がブラ |---------------------------------------------| ウザ?の中に入ったからか。 | (!) この ActiveX コントロ−ルはうんぬん | ----------------------------------------------- ブラウザの閲覧履歴が残ってない。これまで閲覧の履歴が出てたのがきれいさっぱり無く なっていた。キャッシュクリ−ナがブラウザの閲覧に関して機能していることが分かった。 ログアウトしてログイン画面に戻った時点では、閲覧の履歴は削除されている。ありゃそ うかな。もう一度確認したら削除されてなかったぞ。いや大丈夫だ。少し挙動が不安定。 [ツ−ル]->[閲覧の履歴の削除] の画面で {〆履歴} にして [削除] ------------------------------------------------- --------- |(<-)(->) [ http://www.google.co.jp |▽| |↑↓|×| |------------------------------------------------ --------- | ↑ | クリックするとこれまで見たサイトが出てくる。 * ホストチェック機能 [VPN]->[SSL]->[ポ−タル] 画面での [Settings] ---------------------------------------------------------- | 設定変更 | |--------------------------------------------------------| | 基本 Virtual Desktop | Security Control | | |------------------------ --------------| | キャッシュのクリ−ン: □ | | Host Check [Custom ▽] | | Interval: [0 ](0,120-259200) | << 何の間隔なの?。 | Policy: [NIX_Test ] | | | | [ OK ] [キャンセル] | ---------------------------------------------------------- "Host check"はパソコン内のウィルスチェックとファイアウォ−ルのソフトのプロセス稼 働のチェックである。ひょっとするとインスト−ルされているだけでもいいのかも。チェ ック項目としてはバ−ジョンもある。端末情報を参照して、このパソコンを許可するとい うのに使う。特定ファイルの存在でもホストチェックができるかどうか試してみた。 [VPN]->[SSL]->[ホストチェック]で、新規作成で適当に名前を付けて、タイプは一応◎AV にして、バ−ジョン [null ] はブランクでもとりあえず 1 でも。ファイルは適当な名前 で forti.txt として、空のファイルを作成した。 ---------------------------------------------------------- | ホストチェック ソフトウェア | MD5 シグネチャのとこ |--------------------------------------------------------| ろには、多分ファイル | タイプ: ◎ファイル ○プロセス ○レジストリ | の中身を md5プログラ | アクション: ◎必要 ○拒否 | ムでハッシュ値を計算 | ファイル/パス: [D:\My Documents\TEMP\forti.txt ] | して、それを記入する | バ−ジョン: [ ] | のだと思う。その場合 | | は空ファイルというわ | MD5 シグネチャ(一行にひとつ) [ ] | けにはいかない。 | [ OK ] [ジャンセル] | ---------------------------------------------------------- ホストチェックするようにして、ブラウザで https://192.168.1.9:10443/ アクセスした ら、下のような画面がでてきた。このWebサイトはのところをクリックすると ActiveX を ダウンロ−ドしてくる。Click here のところは本当はアンダ−バ−になっていて、 ここ をクリックすると Java Applet をダウンロ−ドするようだが、エラ−が出てしまった。 -------------------------------------------------------------------------------- |このWebサイトは 'Fortinet Technologies' からの 'fortihostcheck.cab' アドオンを |-------------------------------------------------------- 実行しようとしています | | Performing Host Check ... | | Click here to run the hostcheck Java applet. | If you see the yellow warning bar that the hostcheck ActiveX control is 続く | ブラウザの[ツ−ル]->[インタ−ネット オプション]->[プログラム] の[アドオンの管理] で [ダウンロ−ド済みコントロ−ル ▽] に "FortiHostCheck Class 有効" というのが入 っていた。その後何日か経って、いろいろやっていたらなぜかなくなっていた。 * 仮想デスクトップ機能 ブラウザでの SSL-VPN 接続にて、モニタ全体が赤の画面になった、FirePass のと似たよ うなこと。秀丸エディタとは何かかちあっているというワ−ニングが出た、 FirePass で も出ていたことだ。それにアイコンのショ−トカット先がないとワ−ニングがでた、パソ コンのレジストリがおかしくなって、この際 Windows 2000 だったのを Windows XP にし て何とか救済できたのだが別途インスト−ルしていたソフト、たとえば teraterm とか実 体がなくなっていた。そのショ−トカットだけは画面上に残っていたという訳である。こ の仮想デスクトップという機能は Windows パソコンだけで使える。 [VPN]->[SSL]->[ポ−タル] 画面で NIX-Portal を選択、出てきた画面での [Settings]。 -------------------------------------------------------------------------------- | 基本設定 | |------------------------------------------------------------------------------| |基本 | Virtual Desktop | Security Control | |------ -------------------------------------------------------| |〆 Enable Virtual Desktop | | 〆 バ−チャルデスクトップとレギュラ−デスクトップの切り替えを許可 | | □ レギュラ−デスクトップでクリップボ−ドコンテンツの共有を許可 | | □ リム−バルメディアに利用を許可 | | □ ネットワ−ク共有アクセスを許可 | | □ 印刷を許可 | | 〆 ブラウザを閉じたときにセッションをログアウトしバ−チャルデスクトップを | | アプリケ−ションコントロ−ルリスト: [ ▽] 終了する| -------------------------------------------------------------------------------- FortiGate の上の設定画面で、一番上だけ〆した(バ−チャル..)、赤の画面がモニタにそ のまま残った。一番上と一番下に〆した、赤の画面から青の画面になった、でも画面の真 ん中に34ミリ角全体的に {SSL VPN} と書かれたのが出たままになった。 ブラウザを閉 じたら元のモニタの画面に戻った。ActiveX が何か入ったみたいである。 [画面のプロパティ] の [デスクトップ] の {背景} が "Wallpaper" というのになってい た。元の背景は"Windows XP"。34ミリ角のはプログラムで出しているのではないみたい、 "Wallpaper" という背景を持ってきて変えていたということか。しばらくして1時間程し て [画面のプロパティ] 見たら、"Wallpaper" という背景は選択メニュ−から消えていた。 * ポップアップ画面が出てくる [VPN]->[SSL]->[ポ−タル] の {基本} 画面の {リダイレクトURL:[null ]} は URL:[ ] ブランクにすること。これでブラウザからポップアップうんたらというメッセ−ジ、ポッ プアップ画面はでなくなる。 しかしどうも勝手に、リダイレクトURL のところに "null" と言う文字列が入ってしまうぞ。どういうこった。 ポ−タル設定で [Apply] メニュ−は 押さない方がいいかも。Bookmarks の [OK]、そして上部の [OK] をクリックしてみる。 Windows XP の IE8ブラウザのポップアップのデフォルトは。[ツ−ル]->[インタ−ネット オプション]->[プライバシ−] で {〆ポップアップ ブロックを有効にする}で、〆ポップ アップのブロック時に音を鳴らす、 〆ポップアップのブロック時に情報バ−を表示する、 ブロックレベル、中:ほとんどの自動ポップアップをブロックする。 (4) UTM でPCで FortiClient `2c/06〜 * おさらい Windows OS用の FortiClient のVPNには IPSec, PPTP, SSL(SSL-VPNのこと) 機能が 備わっている。Windows パソコンのネットワ−ク機能には標準では PPTP しかなく、他の 2つは入ってない。それで IPSec VPN それに SSL-VPN をやるには、FortiClient という ソフトウェアがあるのでないか。IPSec 接続のこと、もう一度おさらいすること。ちょっ と分からなくなっている。外のパソコンがあたかも社内に有るような事になるのだと思う。 これまでパソコンで使ってきた SSL-VPN装置のパソコン用のソフト。画面にアイコンを出 していてクリックするとソフトが起動し、SSL-VPN 装置へログインする小さな画面がでて くる。アカウントを入れると、それで SSL-VPN 接続される。みかけ Windows の普段の画 面と変わらない。でも SSL-VPN装置であらかじめ許可、指定したマシンのIPアドレスの アプリケ−ションしかアクセスできない。 シンクライアントの HP 2533t でもやってみよう。FortiClient ソフトをインスト−ルし てみよう。Windows パソコンで試してみるということ。ソフトを入れて設定して何かおか しくなっても、電源を切れば元に戻るので訳の分からないテストするのにはいい。 2533t には展示会でもらったUSBの小型マウスに付けて。 2533t は Windows XP Embedded で ある、この埋め込み型OSの参考資料も見直してみないと。 * ソフトの種類と入手 http://www.fortinet.co.jp/products/forticlient/feature.html 技術仕様 | FortiClient | FortiClient | FortiClient | FortiClient | Premium | | Lite | Mobile ----------|-------------|---------------------|-----------------|------------ | Windows | Windows Android iOS | Windows Android | iOS ----------|-------------|---------------------|-----------------|------------ IPSec VPN | ○ | ○ | ○ ― | ― SSL-VPN | ○ | ○ | ○ ○ | ○ 二要素認証| ○ | ○ | ― ― | ― FortiGate-80C をS社から買った際、FORTINET社のサポ−トサイトへにご登録は自身で行 なわないで下さい、という一文が入っていた。それに "登録のお願い" という各国の言語 で書かれた1枚も入っていた、http://www.fortinet.com/register から"本日、フォ−テ ィネット製品の登録をしてください"。http://www.fortinet.com/register やったらリダ イレクトして http://support.fortinet.com/ に行った。つまり2つは同じもの。 S社にメ−ルして聞いてみた。http://support.fortinet.com にアクセスしたいと思って います。装置購入時にサポ−トサイトの登録は自身でやらないで下さいとのことで、この サイトへのユーザ登録はしてません。どうやったらアクセスできますか?。返事が次の日 返ってきていた、 Fortinet 社のサポ−トサイトは一次代理店のみがアクセス可能となっ ているので、一般の人はログインできないとのことだった。 Fortinet 社のサイトから何のユ−ザ登録もなしで、入手できる FortiClient のソフトは FortiClient Lite だけである。メニュ−の FortiClient Lite をクリックすると FREEで ダウンロ−ドできる。できるのは [ DOWNLOAD FortiClient for Windows ]、 インスト− ルするには入っているアンチウイルスソフトをアンインスト−ルしてからやることと注意 書きがある。FortiClient も無償だが業者経由で入手することとなっている。 * FortiClient ソフトを入手し Windows XP に入れた FortiClientConnectSetup_4.3.0.xxxx.exe をどこからか入手。 選んでカスタムセットア ップでインスト−ルを進めた。デフォルトで {IPSec VPN}, {SSL VPN}, {エンドポイント 制御}, {WAN最適化} が選択されている。SSL VPN だけ残してインスト−ルした。 ウィル スチェックソフトもこのパソコンでは動いているのだが、特に何かかちあうとか問題はな さそう。画面にアイコン {FortiClient Connect} ができている。 アイコンの {マイネットワ−ク} をマウス右クリックででてくるメニュ−の[プロパティ] で {ネット−ク接続} に {ダイアルアップ} に fortissl ができていた。画面の吹き出し には PPPoP WAN Adapter と出た。PPPoP WAN Adapter は FortiClient をアンインスト− ルしたら無くなっていた。多分このデバイスというかインタ−フェ−スがパソコン側のト ンネルの口になるのでないか。こんなのも動作には関係していることを知っておくこと。 プログラムは C:\Program Files\Fortinet\FortiClient に入った、 この中で実行モジュ −ルは FortiSSLVPNclient.exe, FortiConnect.exe, CacheCleanAP.exe, FortiScand.exe。 * FortiClient Connect を起動してみた [スタ−ト]->[プログラム]->[FortiClient Connect] の {FortiClient Connect} の[ファ イル]->[クイックコネクト] で リモ−トGW[192.168.1.9]、ユ−ザ名とパスワ−ドも入れ て。これしか実質メニュ−を選ぶことができない?。でやってみた、"__sslvpn_tmp__"と 接続しようとする文字と絵がでてきて、ステ−タスの表示が 1 からカウントされて 80に なったところで警告画面がでてきた。SSL-VPN 接続のタイプが合致してないと思われる。 ----------------------------------------------------------------- | Warning | |---------------------------------------------------------------| | /!\ サ−バにログオンできません。この接続のユ−ザ名、パス | |  ̄ ̄ ̄ ワ−ドが正しく設定されていないかもしれません。(-12)"。| | [ OK ] | ----------------------------------------------------------------- クライアント証明書が無いといけないとか、 FortiGate に FortiClient のライセンス番 号を入れないといけないとか。SSL-VPN はトンネルモ−ドでないといけないとか。できな い理由は何か。何かパソコンにソフトを入れるということは、SSL-VPN でのトンネル接続 ということになるのでないか(そうとは限らないが)。つまりは FortiGate本体をトンネル 接続モ−ドの設定をしないといけないということか。 -------------------------------------------------------------------------------- いろいろやって分かったことは FortiGate は Android とiOS でトンネルモ−ドは、まだ できるようにはなっていなかったということ。Windows XP の FortiClient でトンネルモ −ドを利用設定してないユ−ザでログインしたら、上記と同じ警告画面がでてきた。 -------------------------------------------------------------------------------- * FortiGate の設定で証明書のこと [ユ−ザ]->[ユ−ザ]->[認証] 画面の {証明書} のところ最初、ブランクなっている。 こ こ {self-sign} を選択し [適用]をクリック。 self-sign 以外に Fortinet_CA_SSLProxy, Fortinet_Factory, Fortinet_Factory2, Fortinet_Firmware, Fortinet_Wifi がある。 [システム]->[証明書]->[ロ−カル証明書]には5つあり、上の Fortinet_CA_SSLProxy な どに対応している模様。[リモ−ト証明書] にはなし、[CA証明書]には3つ、Fortinet_CA, Fortinet_CA2, PositiveSSL_CA。[CRL] にはなし。 C:\Program Files\Fortinet\FortiClient に入った FortiGate用のデジタルID関係のフ ァイル。fortisslcacert.pem( PEMファイル ), forticlient.crt( セキュリティ証明書 ), forticlient.key( KEYファイル )。他 cacert.pem, server.crt, server.key。 * FortiClient を Windows XP に入れた *** トンネルモ−ドにて *** IE8ブラウザからアクセスすると、Java の環境を入れよダウンロ−ドしてくれとでてくる。 FortiClient からはそんなのは出てこない、既に必要なプログラムは作り込まれていると いう事。v4.0 MR1 Patch10 リリ−スに書かれていたこと、SSL-VPNトンネルモ−ド利用は ActiveX をインスト−ルするのから SSL-VPN Client をインスト−ルすることになった。 トンネルモ−ドのプ−ルするIPアドレスを 10.10.10.[1-3] にしたら、FortiClient を 入れたパソコンからIPアドレスが勝ち合っていると、モニタ画面に吹き出しがでてきた。 すぐに FortiGateを既存ネットワ−クから切り離した。閉じたテスト環境にしてやってみ たら吹き出しはでなくなった。後で念のためプ−ル用には別なIPアドレスに変えた。 下記メニュ−の [ファイル]->[クイックコネクト] にて入力。リモ−トGW[192.168.1.9 ] ユ−ザ名[satouFG ]、パスワ−ド[xxxx ] で [接続]。画面下に吹き出しが {fortissl に 接続しました 速度:100.0 Mbps} と出る。FortiClient 画面のステ−タスは 98 になって、 これで接続が完了している。ユ−ザ satouFG は OTP も使って認証するようにしている。 ------------------------------------------------------------------------- |@ FortiClient Connect | |-----------------------------------------------------------------------| |ファイル 表示 ヘルプ | |-----------------------------------------------------------------------| |◇ >> VPN Connection | | ----------------------------------------------------------------- | | | FortiToken Code ×| | | |---------------------------------------------------------------| | | | ト−クンコ−ドをふくむEメ−ルメッセ−ジが に送られます。 | | | | FortiTokenコ−ド: [ ] | | | | [ログイン][キャンセル] | | | | | | | ----------------------------------------------------------------- | | [切断] | ------------------------------------------------------------------------- [VPN]->[SSL]->[ポ−タル] 画面でアプリケ−ションには HTTP/HTTPS, FTP, Telnet に〆。 Ping には〆せず。 ここの変更はすでにクライアントが接続していると有効にはならない。 クライアントは接続しているのを [切断] してから [接続] すると、そこで設定が反映さ れる、いや違う。アプリケ−ションに指定したのは画面の {Connection Tool}で選択でき るプロトコルになるだけのこと。 FortiClient でトンネルモ−ドとは別である。ファイアウォ−ルのポリシ−で どのプロトコルを通すかによる。2つのポリシ−がある、どちらで通すのか。 DOS窓から >ping 192.168.1.9 できた。ftp と telnet やってみたが反応なし、 いや telnet はプロンプトが返えってくるのに数分かかっただけでできた。ftp は"Connection closed by remote host." になった。一応、接続しようとしているが他の理由で拒否され たということ。UTM のポリシ−で internal->wan1 へ ANY を許可したら、 ftp もすぐに 接続できた。telnet もすぐにプロンプトが返えってきた。 [ポリシ−]->[ポリシ−]->[ポリシ−] ----------------------------------------------------------------------------- |番号 送信元 宛先 認証 サ−ビス アクション ステ−タス | |---------------------------------------------------------------------------| |ssl.root -> internal1 | | tunnel-10.10.10.0 192.168.0.0 ANY 〆ACCEPT 〆 | 1) |wan1 -> internal | | all 192.168.0.0 > > SSL-VPN 〆 | 2) ----------------------------------------------------------------------------- [VPN]->[モニタ]->[SSL-VPNモニタ] ---------------------------------------------------------------------- | □ No. ユ−ザ 送信元IP 開始時間 説明 | |--------------------------------------------------------------------| | □ 1 satouFG 192.168.1.7 Fri Jun ... | | □ サブセッション トンネルIP:10.10.10.1 | ---------------------------------------------------------------------- 1)でサ−ビスを HTTP だけにした。telnet できなくなった。ping もできなくなった。 2)で認証ル−ルの編集。ユ−ザ−グル−プ、サ−ビスを指定。これはどういうことか。あ るグル−プに属するユ−ザは、指定されたサ−ビスだけを利用できるということか。 1)で ANY で何でも利用できるようにしているが、2) で制限をかけるということか。 2)で HTTP だけにした。接続して最初に Telnet, PING はできない。最初に HTTP やった ら、すぐに Telnet, PING 反応するようになった。いったんつながったら 1) のル−ルが 適用されてしまうのでないか。 1)で利用可能なサ−ビスを列挙するということだろう。 * ブラウザでのトンネルモ−ド Windows XP でブラウザ IE8 で {Tunnel Mode} メニュ−のところ、 英文でダウンロ−ド してくれと説明が出てきた。SslvpnClient.exe を [実行] をクリックしたら ActiveX の "FortinetClient SSL VPN Control を実行しますかと" ブラウザにでていた。再度ブララ ウザでのアクセス https://192.168.1.9:10443/ で、ログインしたら {Tunnel Mode}メニ ュ−のところは [接続][切断][リフレッシュ] "FortiClient SSL VPN offline" と表示さ れた。[接続] をクリックしたら "FortiClient SSL VPN connected to server" となった。 (5) UTM の SSL-VPN 機能をもう少し `2c/06〜 * FortiGate の SSL-VPN 機能のこと SSL-VPN の場合、サ−バ用証明書をブラウザに入れるのは必須。クライアント用証明書は、 双方向の認証をする場合に使う。ブラウザで "証明書のエラ−" が出てしまうのはどうだ ったか。これまでの SSL-VPN 装置でどうだったか確認すること。 専用の SSL-VPN装置にはだいたいある機能。プロテクテッドワ−クスペ−ス、ホストチェ ッカ−、キャッシュクリ−ナ。 FortiGate にも Windows OS向けには何と皆入っている、 スマ−トデバイス用には対応してないみたいだが。 ポ−トフォワ−ディング機能は、家庭用の安いブロ−ドバンドル−タにも搭載されている。 この機能で自宅でも簡易的にWebサ−バを立てたりできる。パブリックIPアドレスを 複数個取得するにはお金もかかる。WAN用のIPアドレス1個で済ますことができる。 キャッシュクリ−ナの機能はネットカフェでインタ−ネットのブラウジングだけできるよ うにしていて、使った後にブラウザの履歴などをきれいさっぱりさせるために、そもそも SSL-VPN 装置にできたような機能である。 ブラウザのサイトの表示をファイルとしてセ−ブするのは、キャッシュクリ−ナでは制御 できない。それをやるのはデスクトップでの操作を制限する機能である。 FirePass では プロテクテッドワ−クスペ−スという名前である。 これまでやった SSL-VPN 接続はパソコンにブラウザの IE があること、IE には SSL-VPN 装置が使う ActiveX をあらかじめインスト−ルする。 あるいは IE を使わずに SSL-VPN の専用クライアントソフトをインスト−ルして使うか。 [ユ−ザ]->[シングルサインオン(SSO)]->[FSSOエ−ジェント] って何?。シングルサイン オンの何からしいが。[VPN]->[SSL]->[ポ−タル] の Bookmarksの所に {SSO: [無効 ▽]} と出てくる。SSL-VPN でRDP 接続をやる場合は SSO は関係ないんじゃないか。 * 透過モ−ドは SSL-VPN は効かない `2c/08/e {オペレ−ションモ−ド NAT [変更]} で "トランスペアレント" にしたら、これまで作っ たル−ルが全部なくなった。ファイアウォ−ルの [ポリシ−]、[ユ−ザ] にエントリなし。 しまったと思って "NAT" に戻したけど、ル−ルは元に戻らなかった。 ただし部分的には 残っているもよう、[ユ−ザ]->[ユ−ザ]->[ロ−カル] で新規作成にて {ユ−ザ名}をクリ ックしたら、前に作ったエントリが候補として出てきた。透過モ−ドでも SSL-VPN機能は 使えるだろうと漠然と思っていたが。やはり実際に設定して動作を確認してみないといけ ない。FortiGate の無線LANコントロ−ラの機能と SSL-VPN機能で、スマ−トデバイス の安全なアクセス環境を構築できるのでないかと考えていたが。 [システム]->[ダッシュボ−ド]->[Dashboard] 管理用IPアドレスは オペレ−ションモ−ド [トランスペアレント ▽] wan1につけた。パソコ 管理IP/ネットマスク [192.168.1.9/255.255.255.0 ] ンはWAN1インタ−フェ デフォルトゲ−トウェイ [192.168.1.10 ] −スに直づけしている。 ・[VPN]->[IPSec] のメニュ−は出てくるが [VPN]->[SSL] が出てこない。 ・[ポリシ−]->[ポリシ−] でアクションに ACCEPT,DENY,IPSEC だけが出てくる。 ・[ユ−ザ]->[ユ−ザ]->[ロ−カル] 新規作成にて、ユ−ザの二要素認証はできる。 ・[システム]->[ネットワ−ク] で [DHCPサ−バ−] メニュ−が出てない。 Qube3□ 透過 △PC 社内ネ | LAN-------WAN1 | ット側 -------------| 80C |---------------- 192.168.1.0 -------.9 192.168.1.0 * [VPN]->[SSL]->[設定] 画面の設定で ---------------------------------------------- | IPプ−ル ◇ | [VPN]->[SSL]->[設定] の{ログイン | ----------------------------------------- | ポ−ト [10443 ]} でポ−ト番号を | サ−バ証明書 [自己署名 ▽] | 変えることができる。ただし 443番 | クライアント証明書が必要 □ | にはできない。アイドルタイムアウ | 暗号鍵アルゴリズム ◎デフォルト-RC4 | トはクライアントで放置していると | アイドルタイムアウト [300 ](秒) | ログアウトされる時間である。ブラ | ログインポ−ト [10443 ] | ウザ画面をほかっておくと300秒 | ----------------------------------------- | でログイン画面に戻ってしまう、も | ▼詳細(DNSおよびWINSサ−バ) | うちょっと長目にしてもいいだろう。 | DNSサ−バ#1 | | DNSサ−バ#2 | | WINSサ−バ#1 | {詳細}のDNS,WINSサ−バはどういう | WINSサ−バ#2 | ことなのか。今ところ自身まだ理解 | [ 適用 ] | できていない。v4.0, MR3 Patch7。 ---------------------------------------------- * iOS 用アプリ FortiClient の証明書 `2c/08/s 現在、FortiGate-80C のバ−ジョンは v4.0,build0521,120313(MR3 Patch 6)で。 FortiClient アプリの Accounts で ___ ___ Edit で {Server Certificate} で Check Certificate ○ @ ) を ( | ○ にした。  ̄ ̄ ̄  ̄ ̄ ̄ -------------------------------------- | Login Error | FortiGate 本体側の証明書がよろしくな | | いのでないか。 | Connection failed: SSL problem: | | possibly a bad/expired/self-signed | この FortiClientにはクライアント証明 | server certificate | 書とサ−バ証明書を入れるメニュ−あり。 |------------------------------------| | OK | -------------------------------------- * FortiGate の最新バ−ジョンを追う `2c/08〜 現在の FortiGate-80C のバ−ジョンは v4.0,build0521,120313(MR3 Patch 6)。 FortiOS を 4.0MR3P7 にした。ダウンロ−ドしようとするとファイル名がでてきて、FGT_80C-v400 -build0535-FORTINET.out。3分位でブラウザ画面が反応してアップ終了。SSL-VPNの設定 で {Settings} のところ SMTP,POP3 の項目はなかった。 `2c/08/S。 iPad を開いたら FortiClient と FortiToken Mobile のバ−ジョンアップの お知らせ?、がでていた。インスト−ルしたアプリは自動的に、新しいのが出たと知らせ がでるのかな。両方ともアップした。 FortiClient バ−ジョン 2.0.1、2012/08/01、Bug Fixes、iPad Optimization。FortiToken Mobile バ−ジョン 1.1.12 2012/08/01。 * Windows XP の FortiClient にて Windows XP に FortiClientConnectSetup_4.3.0.xxx.exe を初めてインスト−ルしてみた。 そしてパソコンを起動したら、こんなワ−ニング画面がでてきた。 ---------------------------------------------------------- | FortiClient System Tray Controller | |--------------------------------------------------------| | 問題が発生したため、FortiClient System Tray Controller | | を終了します。ご不便をおかけして申し訳ありません。 | |--------------------------------------------------------| | | | | この問題を Microsoft に報告してください。 | | | | | [エラ−報告を送信する] [送信しない] | ---------------------------------------------------------- Ctrl+Alt+Del で "Windowsタスクマネ−ジャ"のプロセスを見た、FortiSSLVPNdaemon.exe ユ−ザ名SYSTEM、FortiTray.exe ユ−ザ名ikken とあった。[プログラムの追加と削除]に {FortiClient Connect} があった。とりあえずこれを削除してまたインスト−ルし直した。 初めてインスト−ルした際には、すぐにインスト−ルは済んだと思ったのだが。いったん アンインスト−ルして再度やったら、なかなか終わらなかった。 "ドライバをインスト− ル中" で先に進まない、3分位か。"システムレジトリの値を書き込んでいます" とも出 てきた。この最中にパソコンをリセットなんかしたら、やはりおかしくなると思う。一応 このソフトをパソコンに入れてテストもして、一月以上かしばらく経った、ある朝また同 じワ−ニングが Windows XP を立ち上げたら出た。ちょっと気持ち悪いな。 * FortiClient Standard ソフトはどうなってる 2011年7月に FortiClient Standard という名称の無償ダウンロ−ド版は、配布サ− ビスを終えていた。http:/www.vector.co.jp/ を見た。フリ−ソフトで FortiClient End point Security スタンダ−ド版 Windows 7,Vista,XP,2000。FortiClientSetup_4.10.exe 2009.9.3, 10.4 MB。ちょっとこれは古いのでないか。一応とってきた。`2c/05/E。 ここ には FortiMobile というのはなかった。 FortiMobile というソフトはそもそもあるのか。 名前が変わったとか。http://www.forticlient.com/ には FortiClient Mobile というの は見当たらない、NOKIA の Symbian OS 用と Windows CE 用のが前にはあったということ。 Windows 2000にベクタ−からとってきてインスト−ルしてみた。超おかしくなった。レジ ストリまで壊してしまったようで画面のアイコン表示からおかしくなった。ネットを見た ら Windows 2000 ではまったのがたくさんでてきた。入れるのはやめた方がいい。`2c/06 * FortiGate の無線LAN環境のテスト `2c/08 FortiGate には無線LANコントロ−ラ機能がある。 Cisco や Aruba などの無線LAN では専用の無線LANコントロ−ラが必要である。大体30万円以上はして、無線APと 合わせて購入し、かつ設定費用もいるとかなると、おいそれとテストもできやしない。小 生も企業向け無線LAN装置はこれまで触ったことがなく、やはりテスト導入でもそれな りのアドバイスは受けるように、その費用も含めることになるだろう。それに無線LAN は運用が難しいと雑誌記事を見て、できるだけ手を出したくない分野でもあった。会社で は既に工場間の無線LANは小生が設置したのはある。対向設置なので特別難しいことで はなかった。今は2代目の無線LANが稼働している。社内ではパソコン屋さんなどが設 置したのが幾つかある。特にコントロ−ラもないし、安全性についても考慮はされていな い。しかしスマ−トデバイスはそれなりの事を考えないといけないだろう。 そんな訳でいいチャンスが来たと思い、FortiGate で無線LAN環境を調べてみることに した。 そのために FortiGate と連携?する無線APの FortiAP-220B 1つか2つ買うつ もりである。 ついでに FortiToken-200、OTPト−クン 2つセットのを1つも予定しよう。 FortiAP-220B は2010年10月発表になっている。 FortiAP の機種は5つ位あるみた いだが国内では FortiAP-220B しか売られてないのでないか。即使いたいという話になら ないとも限らないので FortiGate-60C も1台買うか。 60C には無線LANのコントロ− ラ機能がある、50B にはない。60C には高可用性(HA)あり。手持ちの FortiGate-80Cで HAのテストもできるかも。改めて 80C のスペックを、FortiAP サポ−ト数16、SSID の 数、HA。3G回線規格の無線を使用、ExpressCard スロットでモバイルネットワ−ク環 境を構築したり、ネットワ−ク回線のバックアップができる。 ------------------------------------------------------------------------------------ [ 付録 ] いろいろかいろ * トラブルにはまったこと [ Windows 2000 の FortiClient ] Fortinet 社のサイトにはもうなかったが、ソフト配布のベクタ−を見たら Windows 2000 用の FortiClient がまだあった。FortiClientSetup_4.1.0.exe をダウンロ−ドしてきて Windows 2000 に入れてみた。レジストリまでおかしくなってしまい、 アイコンが無茶苦 茶に表示されることになってしまった。仕方ないので、この際なので Windows 2000 はも う止めて Windows XP にした。何とかこれまで入れたファイルやメ−ルのデ−タやらアイ コンの情報やらは復元できた。こうなったのは、まあ半分は自分の責任だが。インスト− ルがちっとも進まないのでリセットしてしまった。進まないというか何の表示もでてこな くてマウスもきかない状態が5分以上続いてしまったので、思わずパソコンをリセットし た。ネットを調べたら、レジストリエディタで何とか修復したとか、やはりだいぶはまっ ているようである。もう FortiClient は Windows 2000 には入れない方が無難である。 * テストではまったこと [図A]でのこと。UMT のLAN側に Qube3をおいて社内サ−バへアクセスするテスト環境。 Qube3 をサ−バとしてLAN内に設置しWAN側から SSL-VPN経由でアクセスできるかテ ストしようとした。 UTM の CLIコンソ−ルから # exec ping 192.168.0.1 が応答しない。 Qube3 が壊れているのか?。ハブが古くておかしくなっているのか。いやネットワ−クケ −ブルが問題だったみたいである。カテゴリ6のケ−ブルで Qube3 と UTM のLANポ− トをつないでいた。NAT のLAN側にパソコン PC をおいて、実際には 2533tをつないだ のだが、CLIコンソ−ルから # exec ping 192.168.0.2 は応答があった。この Qube3では まった、これがなければ1〜2時間で動作確認までできた。いやいやネットワ−クケ−ブ ルをカテゴリ5などのそこら辺に転がっていたのにしても、Qube3 リセットしてしまった。 Qube3 はだいぶ古くなったので、Qube3 自体がもはやおかしいのだろう。