daily

FortiClientEMS에서 FortiGate Webfilter Profile 가져오는 방법

Fortigate에서 사용중인 Webfilter Profile을 FortiClientEMS Profile로 가져와 EMS 정책에 적용

먼저 Fortigate에서 EMS-Webfilter라는 테스트용 Profile을 생성해 줍니다.

FortiGuard Category Based Filter는 비활성화인 상태이고 URL Filter에서 네이버만 Static으로 차단 설정

FortiClientEMS GUI > Endpoint Profile > Web Filter 오른쪽 상단의 Import 클릭

Fortigate IP 및 ID/PW 입력

Fortigate WebFilter Profile 리스트

테스트용으로 생성한 EMS-Webfilter 선택

One Time Pull : 일회성 가져오기 / Fortigate WebFilter Profile이 변경되어도 동기화 되지 않음

Group Schedule : n개 이상 Profile 선택 시 선택한 모든 Profile에 대한 일괄 동기화 스케줄 설정

Individual Schedule : n개 이상 Profile 선택 시 선택한 Profile에 대한 개별 동기화 스케줄 설정

저는 One Time Pull로 진행

불러온 EMS-Webfilter Profile

Webfilter Profile 설정 확인

Categories base는 비활성화 되어 있고 아래 Static으로 네이버 static 차단 설정 확인

FortiClientEMS에서 FortiGate Webfilter Profile 가져오는 방법

fortigate Attempted to join FortiCloud log 비활성화

가끔 fortigate system log를 보다 보면 "Attempted to join FortiCloud" log가 많이 남아 있는 걸 볼 수 있습니다.

해당 log는 fortigate 장비에 forticloud login이 되어 있지 않을 때 지속적으로 발생합니다. login되어 있으면 log는 안 찍힙니다.

login을 하지 않고 설정을 통해 해당 log를 남지 않게 하는 방법

CLI 접속 후 위 이미지처럼 명령어를 입력해 주면 됩니다! 간단

fortigate Attempted to join FortiCloud log 비활성화

fortigate diagnose hard sysinfo memory 명령어

memory관련 문제해결에 유용한 글인 것 같아서..

해당 명령어 입력 시 fortigate memory에 대한 정보가 나옵니다.

나오는 값들에 대한 설명이 있으니 참고하기 좋은 커뮤글

fortigate diagnose hard sysinfo memory

Fortigate SSL-VPN 98% 멈춤 현상 시 추가 방법

지난번에 올린 SSL-VPN 특정 % 멈춤 현상에 대한 글입니다.

98%의 경우 Forticlient를 삭제 후 재설치로 포스팅하였는데 추가로.. 해 볼 방법이 있어 포스팅해 봅니다.

PC 인터넷 네트워크 어댑터 설정 부분에 IPv6가 활성화되어 있으면 98% 멈춤 현상이 발생할 수 있다고 하네요.

Fortigate SSL-VPN 98% 멈춤 현상 시 추가 방법

Fortigate 초기 구성 GUI 접속 방법 확인

Fortigate 장비를 수령 후 개봉한 다음 PC에 IP 설정 후 장비 GUI 접속까지 기본적인 내용 알아보기

먼저 수령한 Fortigate 장비 전원을 키면 OS는 설치되서 옵니다. / 어떤 OS가 설치되어 오는지는 알 수 없음

그 다음 기본적으로 설정된 장비의 IP를 확인하고 PC의 IP를 설정하여 GUI를 접속합니다.

기본적으로 설정된 장비의 IP를 확인하는 방법

첫 번째 장비 상단에 Local Setup이라고 적혀 있습니다.

어떤 Port에 연결하면 되는지, 해당 인터페이스에서 어떤 IP 대역을 할당 받는지, 접속 IP 확인 등

IP는 모든 장비가 거의 동일하게 192.168.1.99로 설정이 되어 있고 인터페이스만 조금씩 다릅니다.

두 번째 Quick Start Guide 검색

Quick Start Guide는 장비 접속 방법 및 인터페이스, 파워, 구성품 정보를 확인 할 수 있습니다.

위 이미지는 Fortigate-100F기준 접속 방법이고 구글에 <Fortigate xxxF GSQ> 라고 검색하시면 나옵니다.

조금 친절하게? 그림까지 잘 나와있습니다.

MGMT Port로 케이블 연결 후 IP : 192.168.1.99 접속하면 되고 연결 시 터미널 프로그램에 필요한 정보까지 나와 있습니다.!

이건 다 아시는 부분이지만 PC에서 

cmd창 실행 후 > ncpa.cpl 입력 > 네트워크 어댑터 우클릭 > 속성 > 인터넷 프로토콜 버전 4 진입 후 IP를 설정하여 주시면 됩니다.

마지막으로는 Web browser 실행 후 IP 입력!

이상 끝~

Fortigate 초기 구성 GUI 접속 방법 확인

fortigate snat-route-change 활성화/비활성화 시 동작

해당 명령어의 활성화/비활성화 시 SNAT Session 동작

설정은 config system global > set snat-route-change <enable/disable> 

default 설정은 disable

예시의 default 라우팅 2개와 snat-route-change가 disable 일 때

Host는 port1번으로 인터넷 통신하게 됩니다. / priority가 낮아 Port1으로 통신

이 상태에서 edit 2의 라우팅 설정 priority를 1로 바꾸게 된다면?

동일한 목적지일 경우 위 이미지 기준 priority값에 의해 라우팅 됩니다. Port2 라우팅 설정 priority값을 1로 수정했으니 port2로 인터넷 통신되어야 하는 거 아닌가 ? 라는 생각이 들지만

SNAT Session은 해당 Session이 종료 또는 지우기 전까지 인터넷은 Port1번으로 통신합니다. 

결론은 snat-route-change <disable> : 라우팅 정보가 변경된 후에도 기존 SNAT Session의 경로로 통신, 변경된 라우팅 정보를 반영시키려면 해당 SNAT Session을 지워야 합니다.

다음,

snat-route-change가 enbale 일 때

위 상황처럼 edit2의 라우팅 설정 priority를 1로 바꾸게 된다면?

SNAT Session의 라우팅 정보가 플러시 되어 Port1번으로 통신하게 됩니다. / SNAT Session 종료를 기다리거나 지우지 않아도 됨

fortigate snat-route-change disable 시 라우팅 정보를 변경하여도 적용이 되지 않아 장애 상황처럼 느낄 수 있을 것 같습니다.

fortigate snat-route-change 활성화/비활성화 시 동작

Fortigate 권장 Firmware Versions 확인하기

Fortinet 본사에서 권장하는 Firmware Versions

가끔 안정적인 Firmware가 뭐에요? 라는 질문에 유용하게 쓰일 자료일 것 같아서 공유드립니다.

해당 링크의 문서는 안정성을 위한 일반 고객 배포에 대한 Firmware Versions이라고 하네요

거의 동일한 버전이기는 하지만..!

참고 자료

Fortigate 권장 Firmware Versions 확인하기

fortigate deep-inspection이 필요한 application control 확인 방법

SSL/TLS로 암호화된 트래픽을 검사하기 위해서는 deep-inspection이 필요합니다.

certificate-inspection의 경우 암호화된 트래픽을 검사하지 못하고 Header만으로 검사수행

application control의 경우 deep-inspection이 필요한 application과 필요하지 않은 application 시그니처가 있습니다.

7.2.x대 license 없는 application signature list 입니다. 약 2400개 정도가 있고 license가 있다면 약 5000개의 application signature로 업데이트가 됩니다.

application signature list에서 youtube를 검색해보았습니다.

그러면 체크해놓은 것처럼 signature 옆에 구름표시가 있는데 이런 signature들은 deep-instpection이 필요한 signature입니다.

해당 application들은 certificate-inspection으로 검사해도 탐지가 되지 않습니다.

이렇게 확인하는 방법도 있고

fortiguard site에서 확인하는 방법도 있습니다. 아래

fortiguard site > service > application control > signature name 검색

youtube를 검색해서 위 이미지 application list에 있는 youtube와 youtube_video.play라는 signature를 들어가 보았습니다.

추가로 site에서는 signature에 대한 자세한 정보 확인이 가능합니다. / 다른 security signature도 동일

여기서 Deep App Ctrl을 비교해서봐주시면 될 것 같습니다. / Yes or No

당연히! Yes가 deep-inpsection 필요입니다.

fortigate deep-inspection이 필요한 application controll 확인 방법

fortigate GUI에서 Packet Capture하는 방법

해당 방법은 fortiOS 7.2.x 기준입니다.

하지만 다른 버전에서나 하는 방법은 거의 똑같습니다. 버전별로 위치 또는 이름만 변경될 뿐!

fortigate GUI > Network > Diagnostics > Packet Capture 탭

Packet Capture 화면

7.0.x 버전에서는 Diagnostic가 아닌 Packet Capture 탭이 따로 있을겁니다.

아무튼.. 여기서 이제 Filter를 걸어서 사용해주면 됩니다. 간단함

Filter 예시

Interface : Wan1 / 해당 Interface로 통신하는 Packet만 Capture

Host : 192.168.1.10 / 해당 IP만 Capture

Port : 443 / 해당 Port만 Capture

위 처럼  Interface, Host, Port, Protocol Number 등 Filter를 걸어 Packet Capture가 가능합니다.

이렇게 7.2.x 버전에서는 GUI에서도 Packet Capture 부분 확인이 가능합니다. / 아래 버전에서는 해당 내용은 보이지 않음

Packet의 Header 부분만 확인이 가능

다음 Save as pcap을 눌러주면,

해당 내용이 Pcap 파일로 다운로드 되면서 wireshark에서 자세한 내용 확인이 가능합니다.

wireshark만 설치되어 있다면 클릭 시 바로 실행됨!

fortigate GUI에서 Packet Capture하는 방법

Fortigate admin password policy 설정 방법

Fortigate GUI 또는 CLI 접속 시 관리자 계정의 password policy를 적용

Ex. password 길이, 대소문자 유무, 특수문자 등을 포함하여 password 생성

해당 설정은 SSL-VPN 접속 시 사용되는 password policy가 아닙니다!!

GUI에서 설정하는 방법

fortigate GUI login > Dashboard Tab > System > Settings

클릭 후 password policy 부분에서 Admin Tab을 선택합니다. (default 설정은 Off)

-

Minimum length와 Minimum number of new characters

password 최소 길이와 기존 password 외 새 글자 수

-

문자 요구사항

Upper case : 대문자 N개 이상

Lower case : 소문자 N개 이상

Numbers : 숫자 N개 이상

Special : 특수문자 N개 이상

-

Fortigate admin password policy 설정 방법 마지막

Allow password reuse : passowrd 변경 시 기존 password 재사용 유무 / 3회인가..5회전까지 재사용 불가능 정확히 기억이 나지 않네요

Password expiration : 예를 들어 90일 설정 시 설정된 기간이 지나면 password 변경

이상입니다.

추가로 IPsec VPN 설정 시 사용되는 preshared-key값에도 password policy 적용이 가능합니다.

Fortigate admin password policy 설정 방법