daily

fortigate ssl vpn mac address check

ssl vpn 접속 시 host의 mac을 check하여 vpn 접속 제어

forticlient VPN Only version 6.2~7.0.2 사이에서는 mac address check기능 지원이 안됨

forticlient VPN Only version 7.0.3 이상으로 설치 또는 유료버전 사용하여야 지원

현재 기본적인 ssl vpn 설정은 되어 있는 상태

fortigate ssl vpn mac address check 설정 방법

1. fortigate GUI에서 CLI Console로 접속 (해당 설정은 CLI에서만 가능)

SSL-VPN Portals > 설정되어 있는 full-access에 mac-addr-check를 활성화 ( default 비활성화 )

활성화를 하고 나면 action을 설정해야 합니다.

allow는 설정해놓은 mac-list와 일치하면 vpn 연결 허용

deny는 mac-list와 일치하면 vpn 연결 차단

저는 allow로 설정 후 Test PC에 mac address를 틀리게 입력하여 진행하였습니다. 

2. mac-list 설정

config mac-addr-check-rule 명령어 진입 후 mac-check rule 생성

저는 Test라는 이름의 rule을 생성해주고

Test PC의 틀린 mac address 입력

그리고 mac address 입력의 경우 1개의 mac address입력만 되는 게 아니라 한 칸 띄어 쓰고 다음 mac address입력하고 여러 개의 mac address를 등록할 수 있습니다.

여기까지가 설정의 끝입니다. end를하여 저장하고 나와줍니다.

ssl vpn 접속 시도

접속이 실패되고 경고메시지 확인

fortigate에서 mac address를 확인하지 못했다는 log 확인

Test PC의 원래 mac address를 입력

ssl vpn 접속 확인

fortigate ssl vpn mac address check 설정 방법

완료

fortigate firmware upgrade path

upgrade path를 확인하여 올바른 firmware upgrade 진행

upgrade path를 확인하고 진행해야 하는 이유

fortigate는 firmware upgrade 시 CLI에서만 변경 가능한 설정이라던가 다른 세부적인 설정부분이 변경될 수 있는데

upgrade path를 지키지 않을 경우 설정이 변경되는 부분에 대해 정상적으로 이뤄지지 않아서

장애가 발생할 수 있다.

upgrade path를 맞춰야 해당 부분이 version에 맞게 변경된다.

fortigate firmware upgrade path 확인방법

먼저 위 fortinet support site에 로그인 후

상단의 support를 클릭하여 firmware download

다음화면에서 upgrade path 탭으로

current produce : upgrade 할 fortigate model 선택

current fortios vsersion : fortigate의 현재 OS version

upgrade to fortios version : 해당 OS version으로 upgrade

지금 위 이미지에서는 Fortigate-100F model OS 6.2.3 > 7.0.5로 올리려고 한다.

GO 클릭

그러면 이렇게 OS version 6.2.3 > 7.0.5로 upgrade를 위해서는 5번의 upgrade를 진행해야 한다.

upgrade마다 재부팅이 진행됨

firmware upgrade는 fortigate GUI > System > Firmware에서 진행

fortigate firmware upgrade path 확인

필수

Fortigate site to site IPsec VPN 설정방법

지난번 SSL-VPN에 이은 Fortigate IPsec VPN 설정하기

site to site 구성

Fortigate site to site IPsec VPN 간단한 구성도

A, B Fortigate 간 VPN 연결

A Fortigate Internal IP 대역의 Host에서 B Fortigate Interal IP로 통신 시도

A Fortigate에서 VPN Tunnel을 통해 트래픽이 전달되는지 sniffer

먼저 Fortigate GUI 접속 후 VPN > IPsec Tunnels

IPsec Tunnel 생성

여러가지 생성방법이 있는데 저는 Custom으로 진행했습니다.

site to site로 설정하면 wizard 방식으로 진행되서 주소, 라우팅, 정책, Phase1,2가 자동으로 생성됩니다.

편하기는 하지만 Custom으로 만들면서 설정 부분을 익히거나 추후 수정할 때도 더 도움 된다고 생각합니다.

VPN Name은 Test-VPN

먼저 Phase1부터

Phase1는 A,B Fortigate간 인증 암호화 방식 등 보안관련

Phase2는 Tunnel로 통신할 data 보안관련

Static IP Address 선택 후 상대방 Wan IP 입력 Interface는 자신의 Wan Interface를 선택해줍니다.

다음

NAT Traversal과 DPD 설정

DPD는 상대방이 살아 있는지 감지

위의 설정의 경우 DPD 트래픽을 20초마다 한번씩 세번 시도

응답이 없을시 터널 다운

NAT Traversal은 A,B Fortigate 사이에 NAT 장비가 있을 시 활성화

외 Pre-shared Key, Mode, 암호화 알고리즘 설정 등 상대방 설정과 맞춰줘야 합니다.

Fortigate site to site IPsec VPN 설정방법

Phase2

Local Address에는 A Fortigate Internal IP 대역

Remote Address에는 B Fortigate Internal IP대역을 입력해준다.

VPN 설정완료 확인 후 VPN 정책설정

Policy & Objects > Firewall Policy 정책 생성

정책 이름설정

Incoming Interface : VPN Interface(Test-VPN)

Outgoing Interface : Internal

Source 및 Destnation에는 각각 Internal IP 대역 설정

일반적으로 IPsec VPN 통신 시 NAT는 필요없으니 비활성화

Security Profiles은 필요시 설정

 Logging Options의 경우 Security는 보안기능에 탐지된 트래픽만 log를 남김

All Sessions은 모든 트래픽을 log로 남김

정책 설정 완료 후 해당 정책을 우클릭하여 Clone Reverse를 해주고 다시 우클릭하여 Paste해줍니다.

복붙이기는 하지만 Interface와 Source, Destination도 바뀌기 때문에 역방향 정책도 쉽게 만들 수 있습니다.

그리고 비활성화 상태로 Paste 되기 때문에 활성화해줘야 하고요

IPsec VPN관련 정책 설정 후 라우팅 설정

Network > Static Routes

192.168.30.0/24(B Fortigate Internal 대역)은 Test-VPN Interface로 경로 설정

여기까지 완료하면 IPsec VPN 설정은 끝입니다.

이제 통신확인!

Dashboard에 IPsec Monitor를 추가해줍니다.

Test-VPN이라는 이름으로 만든 VPN이 빨간색 화살표로 다운표시되어 있고

Bring Up > All Phase 2 Selectors를 눌러 Tunnel Up을 시켜줍니다.

VPN 설정이 제대로 되었다면 Tunnel Up이 됩니다.

Tunnel Up이 되지 않는 경우는 VPN 설정 매치가 안되는 부분이 제일 많습니다.!

설정 시 두 Fortigate 간의 설정을 잘 맞춰줘야 합니다.

그래도 안되면.. Debug을 통해 해결해야 합니다. 추후 포스팅

Tunnel UP 되고나서 

A Fortigate Host 192.168.1.110 > B Fortigate Internal IP 192.168.30.1로 ICMP 시도

Test-VPN을 통해 request, reply 확인

끝

Fortigate site to site IPsec VPN 설정방법

추후 Dial up 설정 방법도 포스팅하겠습니다.

Forticlient version 7.0.3 host check 기능 변경사항

이전의 글에서 Forticlient 6.2이상부터는 host check 기능을 사용하려면 License를 구매했어야 햇습니다.

위 링크 참조

하지만.. 변경된 부분이 있어 다시 포스팅!

Forticlient VPN Only 7.0.3 version 부터는 License 구매가 필요 없이 host check 기능이 사용 가능합니다.!

해당 부분은 아래 링크 참조

설정법까지 나와있습니다.

https://docs.fortinet.com/document/forticlient/7.0.0/new-features/651315/fortigate-powered-host-check-for-free-vpn-client-7-0-3

Host check 기능은 많이 요구하는 기능인데 이렇게 다시 VPN Only version에서도 사용하게 돼서 좋네요

하지만..

참고해야 할 사항

host check 설정 가능한 List

Operating system (OS) check
Antivirus (AV)-only
Firewall-only
AV and Firewall
Custom software host check:
- File
- Running process
- Registry

Forticlient version 7.0.3 host check 기능 변경사항

알아보기

fortianalyzer 및 fortimanager trial license

Fortinet은 fortianalyzer 와 fortimanager를 VM 버전으로 무료 제공

하지만 제약 사항이 있는 license

Fortimanager의 경우 3개의 Fortigate장비까지 관리가 가능, ADOM 2개까지 활성화

Fortianalyzer도 마찬가지로 3개의 Fortigate장비까지 등록하여 log를 받을 수 있고 일 최대 1GB로그 저장 최대 500GB 스토리지 지원

그리고 trial license는 무료 라이선스이기 때문에 기술지원은 받을 수 없음

두 장비의 웬만한 주요 기능은 다 사용할 수 있기 때문에 테스트용으로 사용하기에 매우 좋다.

fortianalyzer 및 fortimanager trial license 사용하기 위해서는 먼저

https://support.fortinet.com 

위 사이트에 회원가입이 되어 있어야 한다.

trial license 활성화 방법

먼저 fortianalyzer 와 fortimanager가 7.0 이상 VM이 설치되어 있어야한다.

설치가 완료되면 기본 네트워크 세팅하고 GUI 접속

접속하게 되면 이렇게 나오는데

Free Trial에 체크해놓고 위 support.fortinet.com 사이트에서 계정으로 로그인

로그인하면 support.fortinet.com > Asset Management > Product > Product List 부분에서 Fortimanager가 등록된걸 확인할 수 있다.

위 이미지처럼 FortiManager-VM 확인가능

Product List에서 License File을 다운받고

다시 Fortimanager GUI로 들어가서 License File을 업로드하면 된다.

Fortianalyzer도 7.0 이상 버전 설치 그리고 네트워크 세팅 후 위 방법처럼 동일하게 진행하면 된다.

Fortianalyzer 및 Fortimanager trial license

굿

fortigate ssl vpn settings 하기

SSL-VPN이란 원격 즉 외부의 사용자가 VPN 터널을 통해 회사 내부 네트워크에 액세스함

fortigate ssl vpn 설정 단계

1. User 생성

2. SSL VPN Portal 설정

3. SSL VPN Settings 설정

4. SSL VPN 정책 설정

Fortigate OS 6.0대에서 진행했습니다. / 상위 버전에서도 설정 방법은 흡사함

먼저,

1. SSL VPN User 생성하기

fortigate GUI > User & Device

Create New를 눌러 생성하면 되고

저는 SYU라는 계정을 생성하였습니다.

2. SSL VPN Portal 설정

fortigate GUI > VPN > SSL VPN Portals

기존에 생성되어 있는 Portal을 수정하여도 되고 새로 생성해도 됩니다.

저는 생성되어 있는 full-access portal을 수정했습니다.

많이 사용되는 Tunnel Mode로 진행

Portal 설정

Enable Split Tunneling 활성화 및 비활성화

Enable Split Tunneling : 비활성화 시 SSL VPN 접속 후 모든 트래픽은 VPN 터널을 통해 전달되어 내부 네트워크 액세스뿐만이 아니라 인터넷 트래픽까지 터널을 통하기 때문에 인터넷 속도가 느릴 수 있음

Enable Split Tunneling : 활성화 시 Routing Address에 설정 된 내부 네트워크에 액세스하고 인터넷 트래픽은 터널로 전달하지 않음

그 외 웹모드 Host check기능은 따로 올리겠습니다.

3. SSL VPN Settings 설정

위에서 부터

Listen on Interface는 일반적으로 인터넷 인터페이스를 설정 / SSL VPN 접속 시 인터넷 인터페이스 IP로 접근

Listen Port는 default는 443이지만 > 사용하지 않는 Port 10443으로 변경

fortigate의 GUI 접속 Port도 default 443이기 때문에 둘 중 하나는 변경해줘야 한다

동일하게 설정이 되어 있으면 접속 시 SSL VPN 접속 화면이 열림

  Tunnel Mode Client Settings은 SSL VPN 접속 시 사용자가 할당받을 IP / Automatically assign addresses 선택 시 default로 만들어져 있는 SSL VPN IP대역 address 사용하고 Specify custom IP ranges를 선택하여 다른 IP대역을 할당해 줄 수도 있음 

Authentication/Portal Mapping은 SSL VPN User가 사용할 Portal 이전에 수정한 full-access 사용

Portal을 여러개 만들어 User 별로 다른 Portal 적용도 가능함

4. SSL VPN 정책 설정 ( Split Tunneling 활성화 시 )

마지막 정책 설정

Incoming Interface : SSL-VPN tunnel interface 

Outgoing Interface : internal / 내부 네트워크 인터페이스 설정하면 된다.

Source : default로 생성되어 있는SSL VPN IP 대역 그리고 SYU User / 테스트기 때문에 SYU User 하나만 적용 Group 및 다수 User도 적용이 가능

Destination : 내부 네트워크 IP 대역 객체

Schedule : always / 예를 들어 정책 스케쥴링을 통해 특정 시간에만 SSL VPN이 접속가능하게 설정 가능

Service : ALL

내부 네트워크 액세스 이기 때문에 NAT는 활성화하지 않아도 된다.

5. SSL VPN 정책 설정 ( Split Tunneling 비활성화 시 )

Split Tunneling 비활성화 시 모든 트래픽이 터널을 통하기 때문에 인터넷 액세스 정책도 만들어줘야 한다.

4번의 설정에서 Outgoing Interface는 인터넷 인터페이스(wan1), Destination 부분을 all 그리고 NAT를 활성화 시켜주면 됨

끝

설정이 끝나고 Forticlient로 SSL-VPN 접속 시도

원격 게이트웨이에는 SSL VPN Settings 부분에 지정해준 인터넷 인터페이스의 IP 입력

사용자 정의 포트번호도 10443으로 변경

비밀번호 입력 후 연결

보안 경고 > 예 클릭

SSL VPN 연결이 되면 내부 네트워크와 통신을 확인해보면 된다.

참고사항은.

fortigate SSL VPN 설정 방법 포스팅은...

SSL-VPN Tunnel Mode 아주 기본적인 설정입니다.^^

fortigate 로그인 실패 시 잠금관련 설정 알아보기

fortigate 로그인 3회 실패 시 1분간 계정이 잠긴다.

설정을 통하여 실패 횟수 및 계정이 잠기는 시간을 변경할 수 있다.

해당 설정은 cli에서만 변경이 가능

config system global

명령어 입력

admin-lockout-duration : 실패 시 잠기는 시간 60초 (default) / 잠기는 시간 1초 ~ 2147483647초까지 설정가능

admin-lockout-threshold : 실패 횟수 3 (default) / 횟수 1 ~ 10까지 설정가능

필요 시 요청에 맞추어 설정하면 된다.

fortigate login fail count setting / 로그인 실패 시 잠금시간 및 실패횟수 설정

fortigate process list

diagnose sys top

해당 명령어를 사용하면 fortigate에서 실행되고 있는 process list 확인이 가능

process 보는 방법

첫번째 줄 httpsd process 기준 

        process 이름              PID          process 상태      cpu 사용량      memory 사용량

          httpd               23190                   S                     8.9                  3.2

   PID 값, process 상태는 더 적어야 할 부분이 있는데 다음 포스팅에 자세히 적겠습니다.

전체 Process list

process 이름 / 역할

fortigate process list

꼭 알아야 할 부분

트러블 슈팅 시 찾게 됨ㅎㅎ

Fortigate log filter 특정 로그 예외 처리하는 방법

해당 명령어를 사용하여

특정 log만 syslog 서버 또는 fortianalyzer(Fortinet log 저장 장치)로 보내거나

특정 log를 저장하지 않게 설정이 가능

log filter 설정 필요 상황 예시

특정 불필요한 log가 많이 저장돼서 다른 log 확인이 힘들 때

해당 설정을 적용시켜 불필요한 log 예외 처리

테스트 시나리오

1. 내부 네트워크 대역이 8.8.8.8로 ping 차단 정책 설정

2. 해당 정책으로 인한 차단 log 확인 후 log-filter 설정

3. 차단 시 log가 저장되지 않는지 확인

먼저 내부 네트워크 대역이 목적지 8.8.8.8 ICMP 차단 정책을 만들어 줍니다.

그 다음

내부 PC에서 8.8.8.8로 Ping을 시도해봅니다.

차단이 되고

Fortigate GUI > Log & Report > Foward Traffic에서 deny log를 확인합니다.

거의 바로 차단되는 log 확인이 가능

해당 log를 더블클릭해 보면 자세한 내용 확인이 가능합니다

여기서 제가 필요한건 log filter를 걸기 위해 event level과 log id

log id = 13

event level = notice

log id는 직설적으로 확인이 가능하지만

security level의 경우 표시해 놓은 것처럼 칸수로 나오는데

저기에 마우스를 올리면 notice라고 표시됨

filter를 걸기 위해 CLI (해당 설정은 CLI에서만 가능)

config log <memory> filter

위 이미지는 기본 설정입니다.

filter-type이 include로 설정되어 있고 모든 log를 저장

 여기에 filter를 걸어주면 filter에 걸린 log만 memory에 저장

<> 친 이유는 테스트를 memory에 저장되는 log로 테스트 했기 때문

syslog나 fortianalyzer에 적용시키고 싶다면 <>부분만 바꿔주신 후 설정하시면 됩니다.

테스트 설정

filter > 아까 확인한 logid와 event level 설정

filter 설정 방법 관련 링크

filter type > exclude 변경

참고사항

- filter-type만 exclude로 변경 시 모든 log가 예외 처리되지 않는다. 이 땐 filter에 걸어 놓고 매칭되는 log만 예외 처리 -

설정 후 내부 PC에서 8.8.8.8 Ping 시도

차단이 되지만 log를 저장하지 않는다.

이렇게만 올리면 의심이 갈 수 있어 debug 내용까지 첨부하려 했지만.. 테스트 해보시기를 바라며^^

Fortigate log filter 특정 로그 예외 처리하는 방법

 Fortigate admin password recovery

fortigate 관리자 패스워드 복구

fortigate 패스워드 분실 시 재설정하는 방법

1단계

Fortigate 장비에 Console 연결

연결 후 확인사항

패스워드 복구를 하기 위해선

CLI > config system global > set admin-maintainer enable/disable이 enable되어 있어야 한다.

default로 enable 이지만 혹시 다른 누군가가 바꿔놨을 수도 있다는 가정하에 확인

패스워드 복구를 위해서 maintainer라는 계정으로 Login함

2단계

장비 재부팅

재부팅 후 maintainer Login

ID : maintainer

PW : bcpb<Fortigate S/N> / Ex. bcpbFGT100FXXXXXXX

bcpb뒤에 해당 Fortigate의 S/N가 오는데 대소문자를 구분한다.

그리고 장비가 켜지고 나서 30초 안에 maintainer 계정으로 Login해야 하기 때문에 패스워드는 미리 메모장에 적어놓고 복사/붙여넣기 해두는 게 좋다.

추가로 장비 재부팅은 물리적인 전원케이블이 절체되어야 한다. ( 장비 shutdown 후 전원케이블 절체, 약 10초 후 연결 )

명령어로 인한 재부팅 X

3단계 패스워드 재설정

maintainer Login에 성공하면

config system admin > edit admin으로 진입하여 패스워드 재설정을 해주면 된다.

마지막으로 maintainer로 Login 시 factoryreset(장비 공장초기화) 또는 admin으로 진입해 패스워드 복구만 가능하다.

이 외 다른 모든 설정 변경 불가능함

Fortigate admin password recovery

그리고..

maintainer 기능도 disable에 패스워드까지 분실하였다면 방법이 없다.