Fortigate

Fortigateの管理用PC設定

Fortigateの初期設定

Fortigateを工場出荷状態に戻す

Fortigateのバックアップ

Fortigateの接続設定

Fortigateのトランスペアレントモード

FortigateのWebサーバー設定

Fortigateでリモートデスクトップ接続

Fortigateでファイアウォール設定

VPNの基本

FortigateでIPSecVPNの設定

FortiClientのIPSecVPN設定

統合脅威管理システム(UTM)

某大手リース会社の営業で、Fortigateを知りました。以前は、NetScreenを使っていたのですが、マニュアルも管理画面も全て英語だったので、設定も全て大手リース会社に任せて、全くルーターに手を付けられるような状態ではありませんでした。とりあえず、Webサーバーをたてる為の80番ポートだけは開けて貰っていたのですが、それ以外のポートの開け方とか、管理画面へのアクセスの仕方すらもわからないような状況でした。

今回、5年間使っていた、NetScreenの具合が悪くなって(ネットにアクセスできなくなるような状況)、再起動すればしばらくは、動くのですが、又、アクセスできないような状況が起き、リース保守契約も切れたままなので、たまたま別の営業で来た営業マンに相談したところ、Foritigateでの見積があがってきました。

以前のNetScreenに比べると、安いことは安いのですが、セッティングに関する費用が約30万円、本体価格が約26万円と本体価格よりも高かったのが気になったので、ネットでFortigateを検索してみると、何と大手リース会社の半額以下で販売するサイトがあるではないですか(FGShop)。それと同時に日本語マニュアルも充実していそうだったので、勉強がてら自分でファイヤーウォールを構築することにしました。

さてUTMとはいったい何でしょうか。

インターネットの社会では、UTMと呼ばれる統合脅威管理システムの必要性が高まっています。そのUTMの中でも特に洗練されているFortinet社のFortigateの導入のと運輸運用方法を勉強してきたいと思います。

ネットで調べてみると「ファイアウォールとVPN機能をベースに、アンチウイルス、不正侵入防御、Webコンテンツフィルタリングといった複数のセキュリティ機能を統合的に管理すること」と書かれていました。つまりわかりやすく言えば一つの機器でセキュリティ全般を管理することです。

つまり、Fortigateとは、ファイヤーウォールの他に、複数のセキュリティ機能が入ったルーターと理解して構築を始めたいと思います。

早速、FGShopにFortigate60Cのバンドル版を注文しました。サイトでは、在庫がないので、20日程度かかると書かれてあったので、4月中旬頃になるのかなと思っていると、注文して5日程で手元に届いたのでびっくりしました。

明日からFortigateをいじくり回してみたいと思います。

タグ

2011年3月31日 | コメント/トラックバック(0) |

カテゴリー:Fortigate

Fortigateの管理用PC設定

まずFortigate60Cを接続するための基本的な設定をします。
現在、BuffaloのAirStationで社内LANを構築していて、WebServerが起動しているので、設定が終わるまで、社内LANを変更せずに使用方法を確認します。
Fortigateには「NAT/ルートモード」と「トランスペアレントモード」があるそうです。

NAT/ルートモードとは
Fortigateの各インタフェースにIPアドレスを設定し、Fortigateをルータとして機能させることです。
Fortigateをプライベートネットワークと公共ネットワークの間のゲートウェイとして使う場合、通常、NAT/ルートモードを使います。
[トランスペアレントモード]については後日調べてみたいと思います。

接続方法
配線は、インターネット→AirStation→FortigateのInternalポート(ポート1)と繋ぎます。 管理用PCのIPアドレスを変更します。今回はシステムが起動中なので、システムに関係のないノートパソコンで設定を試みます。

まず最初に管理用PCとFortigateを通信するための設定をします。

1.コントロールパネル→ネットワークとインターネット→ネットワークと共有センター→ローカルエリア接続→プロパティの順に展開していきます。

2.次にインターネットプロトコルバージョン4(TCP/IPv4)を選択し、プロパティをクリックします。

3.インターネットプロトコルバージョン4(TCP/IPv4)の画面で、次のIPアドレスを使うにチェックを入れます。

4.IPアドレスに「192.168.1.2」(最後の2は任意)を入力します。

5.サブネットマスクは「255.255.255.0」、デフォルトゲートウェイは「192.168.1.99」(Fortigateの初期設定)と入力します。

6.次のDNSサーバーのアドレスを使うにチェックをいれ、優先DNSサーバー及び代替DNSサーバーは、使用しているプロバイダから送られてくる書類の中にあるネームサーバーアドレスのプライマリDNSとセカンダリDNSを入力します。なければとりあえず、優先DNSサーバーは「192.168.1.99」のままでいいと思います。

タグ

2011年4月1日 | コメント/トラックバック(0) |

カテゴリー:Fortigate

Fortigateの初期設定

管理用PC(ノートパソコン)でFortigateにアクセス

アドレスバーにhttps://192.168.1.99と入力し、セキュリティの注意画面を無視して、そのまま続行ボタンを押すと以下の画面が出てきますので、ユーザー名に「Admin」、パスワードを空白のまま、ログイン画面を押す。

Fortigateの管理画面

言語の設定

上記のように最初は、英語画面なので、これを日本語画面に変更します。

[System]→[Admin]→[Settings] の順にクリックします。

[Language]を[Japanese] に変更して、下の[Apply]ボタンをクリックすると、日本語表記になります。

管理者パスワードの設定

システムを使い始める前に、Adminiのパスワードを変更します。

1.[システム]→[管理者]→[管理アカウント]とクリックして、adminの左のチェックボックスにチェックを入れて、パスワード変更アイコンをクリック。

2.[パスワードの編集]画面で、[古いパスワード]は空白のまま、[新しいパスワード]と[パスワード再入力画面]の両方に同じ、パスワードを入力してOKボタンを押してください。

新しい管理者の登録

admin以外の管理者を登録します。

1.[システム]→[管理者]→[管理アカウント]を選択すると、[管理アカウント]ページが表示されます。

2.上のCreat Newボタンをクリックすると、管理者の追加ページが表示されます。

3.管理者名とパスワードを入力します。タイプは通常のままでいいと思います。

4.アクセスプロファイルはsuper_adminを選択します。

システム時間の設定

1.[システム]→[ダッシュボード]→[Status]とクリックします。

2.[システムステータス]のシステム時間の横にある[変更]をクリックします。

3.[タイムゾーン]で(GMT+9:00)を選択します。

4.尚、ここで、[NTPサーバーと同期を取る]にクリックを入れると、[システムステータス]がずっと読み込み画面のまま動かなくなりますので、今は、チェックを入れません。おそらくまだFortigateでインターネットに接続していないからだと思いますが、後で検証してみます。

5.OKボタンを押す

 

タグ

2011年4月1日 | コメント/トラックバック(0) |

カテゴリー:Fortigate

Fortigateを工場出荷状態に戻す

Fortigateを色々いじくってるうちに、internalのIPアドレスを変更してしまい、ブラウザから全くアクセスできなくなりました。

Fortinet社代理店のサポート窓口に電話して、工場出荷状態に戻す(リセットする)方法を教えて貰ったので、忘れないように記載しておきます。尚、シリアル番号を聞かれますので、電話する前に必ずシリアル番号はメモってから電話するようにしましょう。

1. Fortigateの後ろにあるCONSOLEポートをパソコンのシリアルポートに接続します。但し、FortigateのCONSOLEポート(RJ-45)とパソコンのD-Sub9ピンを接続する為のクロスケーブルが標準では、添付されていなかったので、秋葉原のネットワーク機器専門店に行って買ってきました。Ciscoのルーターはこれと同じ物を使っているみたいなので、店員には話せばすぐにわかって購入することができました(2,000円)。

2. Fortigateとパソコンで通信するためのソフト(Tera Term)をインストールします。

3. Tera Termをインストール後、起動すると、新しい接続画面が出るので、下の方のシリアルポートをクリックし、COM1ポートが選択されているのを確認して、OKボタンを押す。

4. [Enter]キーを1度押すと[FG**********(シリアルナンバー) login:]と出てきますので、[admin]と入力してEnterキーを押すと、[Password:]と出てきます。何も入力しないで、そのまま[Enter]キーを押す(但し、既にパスワードを設定している場合はその設定したパスワードを入力)とWellcom!!と表示され、下に[FGT********* #]と出て来れば接続OKです。

5. [execute factoryreset]と入力してEnterキーを押すと確認画面が出てきますので、[Do you want to continue? (y/n)]で、yを入力すると工場出荷状態に戻せます。

Fortigateにアクセスできなくなったときは、焦りましたが、これでいつでも工場出荷状態に戻すことができますので、色々好きにいじくり回すことができます。

尚、工場出荷状態に戻してから1から設定し直すのは面倒なので、[システム]→[Status]のシステムコンフィグレーションで毎日バックアップを取るように心がけましょう。

よく使うコマンドライン

Fortigateのシリアルコマンドでよく使うものをピックアップしておきます。

  • get system status

FortiOS のバージョン、シリアル番号等のステータス情報を表示します。

  • get system interface

FortiGate に設定してあるインターフェースの情報一覧が表示されます。

  • execute ping xxx.xxx.xxx.xxx

FortiGate から ping を実行します。

  • execute clear system arp table

FortiGate が保持している arp テーブル情報をクリアします。

  • execute reboot

FortiGate を再起動します。

  • execute shutdown

FortiGate をシャットダウンします。

  • diagnose sys session clear

FortiGate が保持しているセッション情報をクリアします。

タグ

2011年4月4日 | コメント/トラックバック(0) |

カテゴリー:Fortigate

Fortigateのバックアップ

Fortigateの設定を色々変えていくうちに間違えて元に戻せなくなる場合があります。設定を変更する前には、必ずバックアップを取っておきましょう。

  1. [システム]→[ダッシュボード]→[Status]の中の、バックアップをクリックします。
  2. 次のページで、ローカルPCにチェックが入ったまま、バックアップをクリックすると、自動的にPCのダウンロードフォルダにバックアップが作成されます。作成されたファイル名は、FG********_20110404.confのようにシリアル番号の後に、日付.confという名前ですので、探せばすぐにわかると思います。

タグ

2011年4月4日 | コメント/トラックバック(0) |

カテゴリー:Fortigate

Fortigateの接続設定

WANインターフェイスの設定

FortigateをNAT/ルートモードでインターネットに接続するために、WANインターフェイスを設定します。

  1. [システム]→[ネットワーク]→[インタフェース]を選択します。
  2. [インタフェース名]が[Wan1]の左のチェックボックスにチェックを入れ、編集アイコンをクリックすると、[インターフェイスを編集]画面になります。
  3. インターフェイスのアドレッシングモードをPPPoEを選択し、プロバイダーから配布されたログイン名とパスワードを記載します。
  4. [サーバからデフォルトゲートウェイを取得する]と[内部DNSを上書き]の両方にチェックを入れ、[適用]ボタンをクリックしてしばらくすると、接続が確立し、[リンクステータス]が[アップ]になって、IPアドレスとネットマスクが表示されればOKです。

デフォルトルートの設定

  1. [ルータ]→[スタティック]→[スタティックルート]を選択します。
  2. [Create New]ボタンをクリックします。ただし、既に作成されている場合は、左のチェックボックスにチェックを入れ、[編集]をクリックします。
  3. 宛先IP/ネットマスクは[0.0.0.0/0.0.0.0]にしておきます。
  4. [デバイス]フィールドのリストボックスで[wan1]を選択します。
  5. [ゲートウェイ]は、内部インターフェイス(internal)と同じ[192.168.1.99](初期設定)にします。

DNSサーバーの設定

プライマリDNSサーバーとセカンダリDNSサーバーを設定します。

  1. [システム]→[ネットワーク]→[オプション]を選択します。
  2. プロバイダーから配布されているプライマリーDNSサーバーとセカンダリーサーバーのIPアドレスを入力します。
  3. [適用]ボタンをクリックします。

ここまでの操作で、管理用コンピュータからFortigateを経由してインターネットに接続できるはずです

DHCPサーバーの設定

Fortigateをルータとして使い、DHCPサーバとして機能させるときには、次のように設定します。

  1. システム→DHCP→サービスを選択
  2. Create Newボタンをクリック
  3. モードをサーバーに設定
  4. タイプはレギュラーに設定
  5. IPレンジにはDHCPサーバがリース(配布)するIPアドレスの範囲を指定します。
  6. ネットワークマスクを設定
  7. デフォルトゲートウェイにはFortigateのIPアドレスを設定します。工場出荷状態のままなら、[192.168.1.99]です。
  8. DNSサービスは定義するにチェック
  9. DNSサーバ0と1には、プロバイダから配布されたIPアドレスを入力
  10. OKをクリック

タグ

2011年4月4日 | コメント/トラックバック(0) |

カテゴリー:Fortigate

Fortigateのトランスペアレントモード

トランスペアレントモードとは

さて、トランスペアレントモードとは何でしょうか。既存のネットワーク環境を変更せずに、つまりルーターとしては、機能せず、ファイヤーウォールとしてのみ機能するモードと考えればいいでしょうか。トランスペアレントモードでは、Fortigateの各インタフェースはIPアドレスを持たず、通過するトラフィックを監視します。ポートにはIPアドレスが割り当てられず、ネットワーク上で「見えない」状態になります。ただ、全く見えなくなっては困りますので、各種設定をするために、管理用IPアドレスだけは、設定します。

1.  [システム]→[設定]→[オペレーション]の[運用モード]をトランスペアレントに変更します。

2.  [管理用IP/ネットマスク]を[10.10.10.1/255.255.255.0]に変更します。

3.  [デフォルトゲートウェイ]を既存のゲートウェイアドレス(今使用中のルーターのアドレス)を入力します。

4. [適用]ボタンをクリックします。

5.  次に管理用PCのIPアドレスを変更します。

6. Windows7の 「スタート」ボタンから、「コントロールパネル」→「ネットワークと共有センター」とクリックします。

7.  「ローカルエリア接続」をクリック

8. 「ローカルエリア接続の状態」ダイアログの左下にある「プロパティ」をクリック

9. 「インターネットプロトコルバージョン4(TCP/IP)」を選択して、「プロパティ」をクリック

10.  IPアドレスを[10.10.10.2]、サブネットマスクを[255.255.255.0]、デフォルトゲートウェイを先ほどFortigateに指定したアドレス(10.10.10.1)に変更します。優先DNSサーバーはプロバイダから指定されたアドレスを入力します。

これでトランスペアレントモードの設定は完了です。

タグ

2011年4月5日 | コメント/トラックバック(0) |

カテゴリー:Fortigate

FortigateのWebサーバー設定

バーチャルIPの設定

まず最初にバーチャルIPを設定し、あとでwan→dmz1(又は、internal)→ファイアウォールポリシーを適用します。

  1. ファイアウォール→バーチャルIP→バーチャルIPを選択。
  2. Create Newボタンをクリック。
  3. バーチャルIP名をつけます。
  4. ExternalインタフェースをWan1に設定
  5. 外部IPアドレスにプロバイダーから配布してもらったグローバルIPアドレスを設定
  6. マップ先IPアドレスにWebサーバーのローカル固定IPアドレスを設定
  7. ポートフォワーディングにチェックを入れる
  8. プロトコルをTCPに設定
  9. サービスポートとマッピングするポートの両方に80を入力
  10. OKボタンを押す

Webサーバーのアドレス追加

  1. ファイアウォール→アドレス→アドレスを選択
  2. Creat Newボタンをクリック
  3. 任意のアドレス名を設定
  4. タイプはサブネット/IP範囲指定を選択
  5. アドレスの範囲を指定(例:10.10.10.1-10.10.10.1)
  6. インタフェースを選択
  7. OKボタンを押す

Webサーバーの公開ファイアウォールポリシーの設定

最後に、インターネット(wan1)のユーザーが、公開サーバーのWebサイトにアクセスできるようにwan→dmz(internal)のポリシーを設定します。

  1. ファイアウォール→ポリシー→ポリシーを選択
  2. Create Newボタンをクリック
  3. 次のように設定します。
  4. 宛先アドレスはバーチャルIPで設定したIP名を選択します。
  5. サービスはHTTPを選択
  6. OKボタンをクリック

タグ

2011年4月7日 | コメント/トラックバック(0) |

カテゴリー:Fortigate

Fortigateでリモートデスクトップ接続

バーチャルIPの設定

Webサーバーの設定と同様に、バーチャルIPを設定しwan(外部PC)からinternal(LAN)へファイアウォールポリシーを適用できるようにします。

  1. ファイアウォール→バーチャルIP→バーチャルIPを選択します。
  2. Create Newボタンをクリックします
  3. バーチャルIP名を記入します(任意)。
  4. 外部PCからアクセスできるようにインタフェースはWan1を選択します。
  5. 外部IPアドレスにはプロバイダからリース(配布)されたグルーバールIPアドレス(固定IP)を指定します。
  6. マップ先IPアドレスにはローカル固定IPアドレスを指定します。
  7. ポートフォワーディングにチェックを入れます。
  8. プロトコルはTCPを選択
  9. サービスポートは標準なら3389を指定
  10. マッピングするボートも3389を指定
  11. OKをクリック

リモートデスクトップはサーバーのアドレスさえ知っていれば、入り口(認証画面)まで誰でも簡単にいくことができますので、できればポート番号は変更しておいた方がいいと思います。ポート番号の変更の方法は後日アップしたいと思います。

リモートデスクトップ接続のアドレスを追加

  1. ファイアウォール→アドレス→アドレスを選択します。
  2. Create Newボタンをクリックします。
  3. アドレス名を記載(任意)
  4. サブネット/IP範囲指定では、グローバル固定IPを指定します。
  5. インタフェースはAnyを選択
  6. OKをクリック

リモートデスクトップ接続のファイアウォールポリシーの設定

最後に、外部PC(Wan)から、LAN(internal)にアクセスできるように、ファイアウォールポリシーを設定します。

  1. ファイアウォール→ポリシー→ポリシーを選択
  2. Create Newボタンをクリック
  3. 送信元アドレスはwan1を選択
  4. 送信元アドレスは、allを選択
  5. 宛先アドレスはバーチャルIPの設定で作成したIP名を指定
  6. スケジュールはalwaysを選択
  7. サービスはTCPを選択
  8. アクションはACCEPTを選択
  9. OKをクリック
  10. Fortigateの本体を再起動すればFortigate経由でリモートデスクトップができるようになると思います。

タグ

2011年4月7日 | コメント/トラックバック(0) |

カテゴリー:Fortigate

Fortigaeでファイアウォール設定

ファイアウォールとは

ファイアウォールとは読んで字の如し(防火壁)です。火事(インターネット)から家(LAN)を守るための防火壁です。インターネットには、色々な情報が飛び交っています。しかし、飛び交っているのは情報ばかりではありません。色々な悪意が飛び交っているのです。

  • コンピュータウイルス
  • スパイウェア
  • 不正アクセスと不正侵入
  • DoS攻撃
  • スパム
  • フィッシング詐欺

コンピュータウイルスは、今やほとんどの人に認知されるようになっていますので、知らない人はほとんどいないと思います。悪意のプログラマーは時として、自分の力を誇示するためにコンピュータウイルスを作り、ばらまいています。

コンピュータウイルスは認知度が高まっていますので、ウイルス対策ソフトの導入などで、一応対応できるようになってきていますが、それ以外の不正侵入や盗聴、データ改竄、Dos攻撃などの対策を施している人はまだまだ少数といえるのでは無いでしょうか。

UTM(統合脅威管理システム)

Fortigateはこれらの脅威(インターネット)から家(LAN)を守るためのUTM(統合脅威管理)システムです。UTMはネットワークを流れる通信を監視して、必要に応じて内容をチェックするためのハードウエア、OS、UTMとして機能するためのソフトウエアから構成されています。

ですからFortigateは小さいながらも、ネットワークの脅威に対処するために特化した専用のマシン(コンピュータ)であるともいえます。

ファイアウォールの概要

Fortigateでは、サービスやスケジュールに従ってパケットの流れを制御します。ファイヤーウォールとはソース(入り口)からデスティネーション(出口)に流れるパケットを一定の条件によって制御することです。

実際問題として、知人や親戚は無条件で玄関を開け、家に招き入れますが、業者の人(宅配や点検業者)は身分をチェックしてから玄関の扉を開けるはずです。又、知人でも時間によっては玄関先で応対することがあると思います。

これらの日常のセキュリティと同じようにインターネットの脅威から家(LAN)を守るのがファイアウォールの役目です。

基本的な設定条件

Fortigateでは、ファイアウォール設定をするために、あらかじめ決めておかなければならない最低限のパラメータがありますので、設定前にきちんと決めておいて下さい。

  • 送信元インタフェース
  • 送信元アドレス
  • 宛先インタフェース
  • 宛先アドレス
  • スケジュール
  • サービス
  • アクション

送信元インタフェースとは、データの入口で、宛先インターフェースは出口の事です。送信元アドレスや宛先アドレスをallに設定すると、すべてのアドレスからのすべてのアドレスへパケットを送信することができます。又、特定のアドレスから特定のアドレスへパケットを送信することもできます。

スケジュールの設定では、時間帯や曜日によって通信を制御することができます。サービスで、ANYを指定するとあらゆるプロトコルを通過することができますし、通過するプロトコルをHTTPだけとかFTPだけとか指定することもできます。

内部から外部への接続

それでは、実際に内部インタフェース(internal)から外部(Wan1)に、すべてのアドレスで指定したサービスグループを常に(allways)パケット通過させる設定を作成してみましょう。

1. まず先にサービスグループを作成します。

2. 「ファイアウォール」→「サービス」→「グループ」と選択します。

3. 「Create New」ボタンをクリックします。

4. 「サービスグループの追加」画面でグループ名に「Basis」(任意)と入力します。

5. 「利用可能なサービス」から、複数の項目を選択しますので、[Ctrl]キーを押しながら、DNS、FTP、FTP_GET、FTP_PUT、HTTP、HTTPS、IMAP、NNTP、POP3、SMTP、SSH、UDPをクリックします。

6. 右矢印(→)をクリックして、右のメンバの中に選択した項目を入れます。

7. 「OK」ボタンをクリックすれば、新しいサービスグループが作成されます。

8. 次に、「ファイアウォール」→「ポリシー」→「ポリシー」と選択します。

9. 「Create New」ボタンをクリックします。

10. 「ポリシー追加」画面で以下のように設定します。

11. 「送信元インタフェース/ゾーン」は、「internal」を選択します。

12. 「送信元アドレス」は「all」を選択します。

13. 「宛先インタフェース/ゾーン」には、「wan1」を選択します。

14. 「宛先アドレス」は、「all」を選択します。

15. 「スケジュール」には、「always」を選択します。

16. 「サービス」には先ほど作成した(一番下に作成されている)「Basis」を選択します。

17. 「アクション」には「ACCEPT」を選択します。

18. NAT以下の項目を今は設定しません。

19. 「OK」ボタンをクリックします。

これで、内部から外部へすべてのアドレスでBasisというサービスグループを使って常にパケットを通すファイアウォールの設定が完成しました。

タグ

2011年4月20日 | コメント/トラックバック(0) |

カテゴリー:Fortigate

このページの先頭へ