Fortigate ssl-vpn 廃止

Fortigate ssl-vpn 廃止

Fortinet社がOS7.6.3からSSL-VPNの機能を廃止すると
公式リリースノートで発表して衝撃が走りました。
FortigateのSSL-VPNを利用している顧客が頭の中で
巡りました。感想としてはやってくれるねFortinetさん。

まー現在SSL-VPNを利用しているところでは
FortiOSを7.6.3以下で利用すればいいのですが
Fortigateに関しては毎月のように脆弱性が報告されています。

SSL-VPNと外部FWなど併用している場合はセキュリティを
考慮してなるべく最新OSを使う必要がありますよね。
困ったものです。

私がよく機器を購入しているNetworld社の
ファームウェアサポート終了情報は以下のように
なっていました。
Vr. リリース日 技術サポート終了日 サポート終了日
7.0 2021/03/30 2024/03/30 2025/09/30
7.2 2022/03/31 2025/03/31 2026/09/30
7.4 2023/05/11 2026/05/11 2027/11/11
7.6 2024/07/25 2027/07/25 2029/01/25

7.4くらいでとどめておけばあと2年くらいは
持ちそうでね。サポートが続く限り7.4の最新版OSに
バージョンアップしてリプレースするのがよさそうですね。

どうにもこうにもならない場合はSSL-VPNから
IPSEC VPNの移行が必要となります。

◆ネットワールドらぼ
・【Fortinet】SSL-VPN機能の廃止！IPSecVPNへのスムーズな移行方法について

◆SCSK社参考サイト IPSec-VPN設定方法
・FortiGate 技術ブログ IPSec-VPN設定方法【はじめに】
・FortiGate 技術ブログ IPSec-VPN設定方法【基本編】
・FortiGate 技術ブログ IPSec-VPN設定方法【共通クライアント証明書編】
・FortiGate 技術ブログ IPSec-VPN設定方法【SAML編】

Fortigate200GとFortigate201Gの違い

Fortigate200GとFortigate201Gの違い

Fortinet社のFortiGateは、ファイアウォール導入時に
必ず選択肢に挙がるほど定番の製品です。
正直なところ、1台でここまで多機能かつ便利な製品は
他にないと言っても過言ではありません。

※ただし、数か月に一度の頻度でセキュリティパッチが
公開され、緊急アップデートが必要になることも
ありますが、それを差し引いても優れた製品です。
裏を返せばセキュリティ意識が高くそれだけ世界中で
利用されているとこうことが言えますね。

まずFortiGateを購入する際、型番に「200G」と
「201G」の2種類があることに気づきます。
では、「200」と「201」で何が違うのでしょうか。

最大の違いは、FortiGate 201Gには内蔵ストレージが
搭載されているのに対し、Fortigate 200Gには
内蔵ストレージがないという点です。

■Fortigate200G
内臓ストレージ：なし
重量：6.4kg
AC消費電力(平均/最大)：145W/175W

■Fortigate201G
内臓ストレージ：あり(1×480GB SSD）
重量：6.5kg
AC消費電力(平均/最大)：145W/176W

それ以外の違いと言えばディスクを積んだ分
0.1kgだけ重量が重くなっていることと、
消費電力の最大値が増えていること。
ほとんど差がないですね。

内臓ストレージありだと金額は上がります。
また故障率もストレージがあるぶん上がります。
Fortigate以外にログを貯めるか筐体内に貯めるか
で必要性が変わってきますかね。

その他の違いとしては、内蔵ストレージを搭載
している分、Fortigate201Gのほうが重量が約0.1kg重く、
最大消費電力もやや高くなっています。
いずれもわずかな差で、大きな違いとは言えません。

ただし、内蔵ストレージがあるFortigate201Gは
価格が上がり、ストレージ故障のリスクも増える
点には注意が必要です。

ログをどこに保存するか。FortiGate本体に
保存するか、外部のSyslogサーバーなどに送るか
によって、内蔵ストレージの必要性は変わってきます。

FortiGate200シリーズ DataSheet

Fortigate サポート期限

ネットワーク製品を購入するときにまず確認する
必要があるのが、技術及びOSのサポート終了日。
これが極端に短いとその製品自体の導入をためらう
理由となったりします。

ファイアウォールとしてよく目にするFortinet社の
FortigateOSのサポートを確認していきます。

◆用語説明
・GA(リリース日)
⇒Fortinet社がFortiOSをリリースした日

・EOES：End of Engineering Support
(エンジニアリングサポート終了日)
　⇒GA後36ヶ月間、不具合対応や修正パッチなどの
　対応が行われる期間

・EOS：End of Support(サポート終了日)
　⇒GA54カ月後、すべてのサポートが終了する日となる

FortiOSのバージョン確認は以下から
Fortigateログイン後＞ダッシュボード＞Main＞ファームウェア


◆Fortigate OSサポート期限一覧
＊CTCエスピー株式会社参照
＊株式会社日立ソリューションズ参照
＊株式会社ネットワークバリューコンポネンツ参照
＊ネットワールド参照
＊SCSK株式会社

販売店に電話して保守の詳細な内容などについては
確認しましょう。

Fortigate ダウングレードパス

FortiOSをダウングレードする場合は事前に戻したい
バージョンOSとコンフィグを準備しておきましょう。
FortiOSのダウングレードパスは特にないので
一気にリストアして問題ないのですが、今まで使えて
いた機能などが古いFortiOSに戻すことによって
使えなくなる可能性があります。

またOSのダウングレードについてはメーカー非推奨と
なっており、保守の観点からもよくありません。
企業の場合はサポートが受けられなくなるのは困ります。
個人で利用する場合は遠慮なく自己責任でダウングレード
しちゃってください。

■FortiOSダウングレード方法
システム＞ファームウェア＞ブラウズ＞[OSイメージ選択]＞
バージョンのダウングレードを確認にチェック＞続ける

Fortigateが自動的に再起動後、ログイン。
設定が飛んでいるのでコンフィグバックアップからリストア
作業を実施するか、再度設定をしてください。
今回はバグ調査で古いFortiOSにリストアする要件が
出てきたため実施しました。

ちなみにFortiOSをアップグレードする際はアップグレードパス
というものが存在するのでしっかり順番通り上げていきましょう！
*Fortigate FortiOS Upgrade Paths

*Upgrade Path Tool Table
*Supported Upgrade Paths – FortiOS
*
Supported Upgrade Paths – FortiOS Upgrading to 5.4
*Fortigate サポート期限

Fortigate ライセンス切れ

ライセンス切れって恐ろしいですよね。
期限が切れる前にライセンスを購入して期限延長を
行わないと一気に使えなくなる製品も世の中にはあります。
お客様に納品して1年後使えなくなりました〜
ってシャレにならないですよね・・・

世の中自動更新のものが多いと思うのですが業務で
使用するようなライセンスは代理店から購入しないと
いけない場合が多いです。

契約自体はメーカーとお客様で行っているのでメーカーから
ライセンス更新メールが飛ぶと思うのですが、
導入ベンダーがこのライセンスの更新期限近づいてますけど
延長でいいですよねって声をかけて上げるのが親切だと思います。

って前置きはどうでもよくてFortigateではUTM利用時に
ライセンスを購入するのですが期限切れになったらすべて使用
できなくなってしまうのでしょうか。

・IPS及びアプリケーションコントロール
最新のデータベースに更新されなくなりますが、既存のデータベースを
利用して動作継続します。

・アンチウィルス機能
最新のデータベースに更新されなくなりますが、既存のデータベースを
利用して動作継続します。要はパターンファイルが古いまま動作可能。

・WEBフィルタリング機能
基本的には利用できるはずだが、
「レーティングエラー発生時にWebサイトを許可する」が無効設定に
なっているとWEBアクセスがすべてブロックされてしまいます。

まーいずれにせよ更新切れにならないように注意が必要と
いうことですね。

FortiClient VPN パスワード保存

FortiClientをダウンロードする際はフォーティ社のサイトから
ダウンロードしましょう。

Product Downloads and Free Trials

FortiClient
・ZTNA Edition
・EPP/APT Edition
・FortiClient EMS
・ForitClient VPN only

VPNの接続クライアントとして利用するだけなら
無料で使える「FortiClient VPN only」で十分ですね。
とりあえず「Download VPN for Windows」版をダウンロードしてみます。

FortiClientVPNOnlineInstaller.exeをクリックしてインストール開始
ダウンロードに結構時間がかかります。


「Yes, I have read and accept the 」にチェックを入れて「Next」。


「Install」をクリック。


「Finish」をクリック。


デスクトップのアイコンFortiClientVPNをクリックして起動。
起動後、「VPN設定」をクリック。


新規に接続するVPNの設定情報を入力していきます。


これで対抗のFortigateが正常に設定されていれば
「接続」をクリックしてVPN接続ができます。


今回はさらに以下2点を設定できるようにしていきます。
・パスワードの保存
・自動接続

そのためにはWindowsPC側でレジストリを登録する必要があります。
「regedit」コマンドでレジストリを起動します。
この時点で意味が理解できない人はやめておきましょう。
レジストリエディタを起動したら以下確認します。
HKEY_CURRENT_USER\SOFTWARE\Fortinet\FortiClient
\Sslvpn\Tunnels\「作成したトンネル接続名」
以下二つの項目がないことを確認
・show_remember_password
・show_autoconnect


コマンドプロンプトを起動してレジストリ設定を追加していきます。
まずはパスワードの自動保存から。
◆FortiClientにパスワード自動保存チェックボックス追加
reg add HKEY_CURRENT_USER\SOFTWARE\Fortinet\FortiClient\Sslvpn\
Tunnels\test /v show_remember_password /t REG_DWORD /d 1 /f

◆FortiClientに自動接続チェックボックス追加
reg add HKEY_CURRENT_USER\SOFTWARE\Fortinet\FortiClient\Sslvpn\
Tunnels\test /v show_autoconnect /t REG_DWORD /d 1 /f

先ほどのレジストリエディタのパスを再度確認します。
HKEY_CURRENT_USER\SOFTWARE\Fortinet\FortiClient
\Sslvpn\Tunnels\「作成したトンネル接続名」
・show_remember_password
・show_autoconnect
が追加されたことが確認できます。


再度FortiClientを起動すると「パスワード保存」「自動接続」
のチェックボックスが新たに表示されることが確認できます。


ユーザー/パスワードを入力して「パスワードを保存」にチェックを入れ
接続すると次回からはパスワードも保存された状態となります。


「自動接続」にチェックを入れると以下の警告が表示されます。
有償版じゃないとこちらの機能は利用できないようです。

続きを読む

Fortigate grep

今回はFortigateのgrepコマンドについてのメモ。
FortigateでCLIからshow full-configurationを叩くと
結構膨大な量のログが画面上に流れることになる。

そこでポートwan1の情報を局所的に突然見たくなったとしよう。
ここで役に立つのがgrepコマンドである。
-------------------------------------------------------------------
Fortigate-test# show full-configuration | grep "wan1"
edit "wan1"
set interface "wan1"
set interface "wan1"
set interface "wan1"
set interface "wan1"
set interface "wan1"
set interface "wan1"
set interface "wan1"
set interface "wan1"
set dstintf "wan1"
set device "wan1"
set device "wan1"
set device "wan1"
set device "wan1"
set device "wan1"
set device "wan1"
set device "wan1"
Fortigate-test#
-------------------------------------------------------------------

けど局所的な"wan1"だけを表示しても正直意味がわかりませんね。
そこで役立つのがgrepのオプションとなります。
オプションを表示させるために一度わざと構文を間違えます。

-------------------------------------------------------------------
Fortigate-test# show full-configuration | grep "wan1" -z
grep: invalid option -- 'z'
Usage: grep [-invfcABC] PATTERN
Options:
-i Ignore case distinctions
-n Print line number with output lines
-v Select non-matching lines
-f Print fortinet config context
-c Only print count of matching lines
-A Print NUM lines of trailing context
-B Print NUM lines of leading context
-C Print NUM lines of output context
Fortigate-test#
-------------------------------------------------------------------

日本語に直すと以下のようになりますでしょうか。
-i 大文字小文字の区別をしない
-n 指定文字の行数を表示する
-v 指定文字以外を表示する
-f 指定文字を含む行と階層をすべて表示する
-c 指定文字を含む行数を表示する
-A 指定文字を含む下※何行を表示する　
-B 指定文字を含む上※何行を表示する
-C 指定文字を含む上下※何行を表示する
　　※何＝数字を指定

オプションを使ってコマンドを叩いてみましょう。
ここからは大文字小文字が含まれるget system statusをgrepしていきます。

◆ -i 大文字小文字の区別をしない
-------------------------------------------------------------------
Fortigate-test# get system status | grep bios

Fortigate-test# get system status | grep bios -i
BIOS version: 05000006
-------------------------------------------------------------------
◆ -n 指定文字の行数を表示する
-------------------------------------------------------------------
Fortigate-test# get system status | grep BIOS -n
11:BIOS version: 05000006
-------------------------------------------------------------------
◆ -v 指定文字以外を表示する
-------------------------------------------------------------------
Fortigate-test# get system status | grep BIOS -v
Version: FortiGate-100D v5.6.3,build1547,171204 (GA)
Virus-DB: 1.00123(2015-12-11 13:18)
Extended DB: 1.00000(2012-10-17 15:46)
IPS-DB: 6.00741(2015-12-01 02:30)
IPS-ETDB: 0.00000(2001-01-01 00:00)
APP-DB: 15.00793(2020-03-10 01:44)
INDUSTRIAL-DB: 6.00741(2015-12-01 02:30)
Serial-Number: FG
IPS Malicious URL Database: 2.00578(2020-03-10 07:20)
Botnet DB: 1.00000(2012-05-28 22:51)
System Part-Number: P11510-
Log hard disk: Available
Hostname: Fortigate-test
Operation Mode: NAT
Current virtual domain: root
Max number of virtual domains: 10
Virtual domains status: 1 in NAT mode, 0 in TP mode
Virtual domain configuration: disable
FIPS-CC mode: disable
Current HA mode: standalone
Branch point: 1547
Release Version Information: GA
FortiOS x86-64: Yes
System time: Thu Sep 28 20:58:38 2023
-------------------------------------------------------------------
◆ -f 指定文字を含む行と階層をすべて表示する
-------------------------------------------------------------------
Fortigate-test# get system status | grep BIOS -f
BIOS version: 05000006 <---
-------------------------------------------------------------------
◆ -c 指定文字を含む行数を表示する
-------------------------------------------------------------------
Fortigate-test# get system status | grep BIOS -c
1
-------------------------------------------------------------------
◆ -A 指定文字を含む下何行を表示する　
-------------------------------------------------------------------
Fortigate-test# get system status | grep BIOS -A 3
BIOS version: 05000006
System Part-Number: P11510-08
Log hard disk: Available
Hostname: Fortigate-test
-------------------------------------------------------------------
◆ -B 指定文字を含む上※何行を表示する
-------------------------------------------------------------------
Fortigate-test# get system status | grep BIOS -B 4
INDUSTRIAL-DB: 6.00741(2015-12-01 02:30)
Serial-Number: FG10
IPS Malicious URL Database: 2.00578(2020-03-10 07:20)
Botnet DB: 1.00000(2012-05-28 22:51)
BIOS version: 05000006
-------------------------------------------------------------------
◆ -C 指定文字を含む上下※何行を表示する
-------------------------------------------------------------------
Fortigate-test# get system status | grep BIOS -C 2
IPS Malicious URL Database: 2.00578(2020-03-10 07:20)
Botnet DB: 1.00000(2012-05-28 22:51)
BIOS version: 05000006
System Part-Number: P11510-
Log hard disk: Available
-------------------------------------------------------------------

grepコマンドのオプションはもちろん重ねることもできます。
絞りたい文字列がはっきりしている場合はかなり便利ですね。

Fortigate SSLVPN 無効化

Fortigate SSLVPN 無効化

Fortigateの脆弱性が発表されるたびにエンジニアの
皆様は胸が詰まる思いをされていると思います。
本当に悪質な攻撃方法や数が増えましたよね。
最近だとランサムウェアが多いでしょうか。

今回お客様から問い合わせを受けたのは以下の脆弱性。
SSL-VPNもよく利用する機能なので心配ですね。

FortiOSのヒープベースのバッファーオーバーフローの
脆弱性（CVE-2022-42475）に関する注意喚起

対象バージョンは以下になります
FortiOS 7.2.0 〜 7.2.2
FortiOS 7.0.0 〜 7.0.8
FortiOS 6.4.0 〜 6.4.10
FortiOS 6.2.0 〜 6.2.11
FortiOS 6.0.0 〜 6.0.15
FortiOS 5.6.0 〜 5.6.14
FortiOS 5.4.0 〜 5.4.13
FortiOS 5.2.0 〜 5.2.15
FortiOS 5.0.0 〜 5.0.14
FortiGate 6000/7000シリーズ: FortiOS 7.0.0 〜 7.0.7
FortiGate 6000/7000シリーズ: FortiOS 6.4.0 〜 6.4.9
FortiGate 6000/7000シリーズ: FortiOS 6.2.0 〜 6.2.11
FortiGate 6000/7000シリーズ: FortiOS 6.0.0 〜 6.0.14

対策として以下バージョンにすることが推奨されています
- FortiOS バージョン 7.2.3あるいはそれ以降
- FortiOS バージョン 7.0.9あるいはそれ以降
- FortiOS バージョン 6.4.11あるいはそれ以降
- FortiOS バージョン 6.2.12あるいはそれ以降
- FortiOS バージョン 6.0.16あるいはそれ以降
- FortiOS-6K7K バージョン 7.0.8あるいはそれ以降
- FortiOS-6K7K バージョン 6.4.10あるいはそれ以降
- FortiOS-6K7K バージョン 6.2.12あるいはそれ以降
- FortiOS-6K7K バージョン 6.0.15あるいはそれ以降

SSL-VPNを利用している場合はバージョンのアップグレードが
必要となります。バージョンアップする際はアップグレードパス
を参考に実施しましょう。

アップグレードが難しい場合はSSL-VPNの機能を無効に
することで回避することが可能です。
--------------------------------------------------
◆SSL VPN無効化方法
6.4.9以降のバージョン
[GUIでSSL VPN無効化]
VPN＞SSL-VPN設定＞SSL-VPNを有効
ボタンでオン/オフ

[CLIでSSL VPN無効化(VDOMなし)]
#config vpn ssl settings
set sattus disable
end

[CLIでSSL VPN無効化(VDOMあり)]
#config vdom
edit ＜vdom name＞
config vpn ssl settings
set status disable
end

6.4.8以降のバージョン
[GUIでSSL VPN無効化]
方法なし

[CLIでSSL VPN無効化(VDOMなし)]
#config system interface
edit ssl.root
set status down
end

[CLIでSSL VPN無効化(VDOMあり)]
#config vdom
edit ＜vdom name＞
config system interface
set status down
end
--------------------------------------------------

以上。

Fortigate 脆弱性

Fortinet社が公開しているFortigateの脆弱性は結構頻度が多いのです。
しかも重大度がクリティカルの場合も結構多い印象。
機器を導入したばかりで脆弱性に該当するOSの場合かなり
ガックリきてしまう。お客様からもなんでこんなすぐに欠陥が
見つかるのだと責められる。もちろん欠陥ではなく、なんなら
弱いところが見つかりパワーアップを行える旨を伝える。
誰も納得しないのは火を見るよりも明らかである。

保守の範囲でアップデートをしてほしいとか、アップデート
した後の影響調査依頼とかもよく来る。
もちろんお金をもらってやる作業なので理由を説明して
行うなら見積もりを作成して作業を実施する。

最近の機種のアップデートならインターネット接続状態で
数分〜数十分程度でOSのバージョンアップは行えてしまう。
ただ利用していた機能がバージョンアップすることにより
使えなくなったり、逆に新機能が追加されたりと心配の種は
枚挙にいとまがない。

そして何よりも重要なのが本当に脆弱性が修正されているのか
どうかである。実際にバージョンアップ後の試験で再現して
しまう場合が多い。その場合はさらに修正パッチが出るまで
待つしかない。その後はまたアップデート作業である。

とはいえ最近は外部に直接出ていく環境も多いので
最新版にアップデートするにこしたことはない。
そのためにも脆弱性情報については常に追いかけていきましょう。

ｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰ
＊IPA独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/security-alert/index.html
ここはFortigateだけでなく色々な重要なセキュリティ情報の
確認が行えます。毎日チェックしましょう。

＊Security NEXT
https://www.security-next.com/
サイトの新着記事では毎日のように世界中の脆弱性をとりあげています。
見ているだけで最近流行っている攻撃方法などもわかります。

＊FORTINET
https://www.fortinet.com/jp/fortiguard/outbreak-alert
言わずと知れたFortigate製品の大元。
なんだかんだいい製品を作っていると思うのでどんどん
脆弱性を吐き出していってほしい。
問題発生時にサポートがイマイチなのが気になる。

＊ITmediaエンタープライズ
https://www.itmedia.co.jp/enterprise/subtop/security/
セキュリティーニュースをここで追いかけましょう。
世界ではいろんな出来事が起きています。

＊サイバー警察局
https://www.npa.go.jp/bureau/cyber/index.html
ちょっと異色なのがこちら。
警察庁のサイトでもFortinet社製品を利用している人は
気を付けてねとのお達しが。
ｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰ
＊Fortigate サポート期限

Fortigate セキュリティプロファイル

Fortigate セキュリティプロファイル設定

Fortigateでユーザーを作成して設定する場合
admin権限以外を付与したい場合が多いと思います。
要は他のユーザーに余計なことをさせたくない場合。

そんなときはプロファイルを作成してできることを
制限してしまいましょう。

◆セキュリティプロファイル作成
システム＞管理者プロファイル＞新規作成


New Admin Profile
名前：任意
コメント：任意
アクセス権限
セキュリティファブリック：なし、読み取り、読み書きから選択
FortiView：なし、読み取り、読み書きから選択
ユーザ&デバイス：なし、読み取り、読み書きから選択
ファイアウォール：なし、読み取り、読み書き、カスタムから選択
ログ&レポート：なし、読み取り、読み書き、カスタムから選択
ネットワーク：なし、読み取り、読み書き、カスタムから選択
システム：なし、読み取り、読み書き、カスタムから選択
セキュリティプロファイル：なし、読み取り、読み書き、カスタムから選択
VPN：なし、読み取り、読み書きから選択
WiFi&スイッチ：なし、読み取り、読み書きから選択



例えば、読みとりだけをさせるセキュリティプロファイルを
作成してユーザーに付与すると設定はできなくなります。
与えたい権限によって細かく設定してみましょう。


続きを読む