daily

Fortigate SSL-VPN 98% 멈춤 현상 시 추가 방법

지난번에 올린 SSL-VPN 특정 % 멈춤 현상에 대한 글입니다.

98%의 경우 Forticlient를 삭제 후 재설치로 포스팅하였는데 추가로.. 해 볼 방법이 있어 포스팅해 봅니다.

PC 인터넷 네트워크 어댑터 설정 부분에 IPv6가 활성화되어 있으면 98% 멈춤 현상이 발생할 수 있다고 하네요.

Fortigate SSL-VPN 98% 멈춤 현상 시 추가 방법

forticlient 이전 버전 다운로드 하는 방법

forticlient 다운로드 공식 사이트를 들어가서 다운로드를 하게 되면 최신의 버전의 forticlient를 다운 받습니다.

현재 공식사이트에서는 forticlient 7.2 버전 다운로드가 가능합니다.

7.2 이전 버전의 forticlient를 다운 받으려면, 먼저 fortinet support site접속이 필요합니다.

사이트 로그인 후

상단의 Support > Firmware Download 클릭

Select Product를 클릭하여 FortiClient 선택

다음 Download 클릭 후 OS 선택 > Firmware를 선택하여 다운로드 해주면 됩니다.

아주 예전의 버전까지 다운로드가 가능합니다.

결론은 fortinet support site 계정만 있다면 쉽게 다운로드가 가능합니다!

forticlietn 이전 버전 다운로드 하는 방법

Fortigate 초기 구성 GUI 접속 방법 확인

Fortigate 장비를 수령 후 개봉한 다음 PC에 IP 설정 후 장비 GUI 접속까지 기본적인 내용 알아보기

먼저 수령한 Fortigate 장비 전원을 키면 OS는 설치되서 옵니다. / 어떤 OS가 설치되어 오는지는 알 수 없음

그 다음 기본적으로 설정된 장비의 IP를 확인하고 PC의 IP를 설정하여 GUI를 접속합니다.

기본적으로 설정된 장비의 IP를 확인하는 방법

첫 번째 장비 상단에 Local Setup이라고 적혀 있습니다.

어떤 Port에 연결하면 되는지, 해당 인터페이스에서 어떤 IP 대역을 할당 받는지, 접속 IP 확인 등

IP는 모든 장비가 거의 동일하게 192.168.1.99로 설정이 되어 있고 인터페이스만 조금씩 다릅니다.

두 번째 Quick Start Guide 검색

Quick Start Guide는 장비 접속 방법 및 인터페이스, 파워, 구성품 정보를 확인 할 수 있습니다.

위 이미지는 Fortigate-100F기준 접속 방법이고 구글에 <Fortigate xxxF GSQ> 라고 검색하시면 나옵니다.

조금 친절하게? 그림까지 잘 나와있습니다.

MGMT Port로 케이블 연결 후 IP : 192.168.1.99 접속하면 되고 연결 시 터미널 프로그램에 필요한 정보까지 나와 있습니다.!

이건 다 아시는 부분이지만 PC에서 

cmd창 실행 후 > ncpa.cpl 입력 > 네트워크 어댑터 우클릭 > 속성 > 인터넷 프로토콜 버전 4 진입 후 IP를 설정하여 주시면 됩니다.

마지막으로는 Web browser 실행 후 IP 입력!

이상 끝~

Fortigate 초기 구성 GUI 접속 방법 확인

fortigate snat-route-change 활성화/비활성화 시 동작

해당 명령어의 활성화/비활성화 시 SNAT Session 동작

설정은 config system global > set snat-route-change <enable/disable> 

default 설정은 disable

예시의 default 라우팅 2개와 snat-route-change가 disable 일 때

Host는 port1번으로 인터넷 통신하게 됩니다. / priority가 낮아 Port1으로 통신

이 상태에서 edit 2의 라우팅 설정 priority를 1로 바꾸게 된다면?

동일한 목적지일 경우 위 이미지 기준 priority값에 의해 라우팅 됩니다. Port2 라우팅 설정 priority값을 1로 수정했으니 port2로 인터넷 통신되어야 하는 거 아닌가 ? 라는 생각이 들지만

SNAT Session은 해당 Session이 종료 또는 지우기 전까지 인터넷은 Port1번으로 통신합니다. 

결론은 snat-route-change <disable> : 라우팅 정보가 변경된 후에도 기존 SNAT Session의 경로로 통신, 변경된 라우팅 정보를 반영시키려면 해당 SNAT Session을 지워야 합니다.

다음,

snat-route-change가 enbale 일 때

위 상황처럼 edit2의 라우팅 설정 priority를 1로 바꾸게 된다면?

SNAT Session의 라우팅 정보가 플러시 되어 Port1번으로 통신하게 됩니다. / SNAT Session 종료를 기다리거나 지우지 않아도 됨

fortigate snat-route-change disable 시 라우팅 정보를 변경하여도 적용이 되지 않아 장애 상황처럼 느낄 수 있을 것 같습니다.

fortigate snat-route-change 활성화/비활성화 시 동작

Fortigate 권장 Firmware Versions 확인하기

Fortinet 본사에서 권장하는 Firmware Versions

가끔 안정적인 Firmware가 뭐에요? 라는 질문에 유용하게 쓰일 자료일 것 같아서 공유드립니다.

해당 링크의 문서는 안정성을 위한 일반 고객 배포에 대한 Firmware Versions이라고 하네요

거의 동일한 버전이기는 하지만..!

참고 자료

Fortigate 권장 Firmware Versions 확인하기

Mac OS에서 forticlient 삭제하는 방법

좋은 정보여서 링크로 가져왔습니다..

Mac OS 즉 맥북을 쓰시는 분들이라면 한 번 쯤? 겪어보셨을만한 문제사항

forticlient가 정상적으로 삭제되지 않는 문제 발생

보통 맥북에서는 삭제 시 휴지통으로 이동 후 delete하면 삭제되는데..이상하게 forticlient는 제대로 삭제가 되지 않아 재설치도 힘들었던 적이 있었습니다.

삭제하는 방법은 위 링크 참조!!

친절하게 설명이 나와 있어 좋습니다.

forticlient 관련된 파일을 스크립트로 만들어서 삭제하는 방법입니다.

a-z까지 잘 설명되어 있습니다.

Mac OS에서 forticlient 삭제하는 방법

fortigate deep-inspection이 필요한 application control 확인 방법

SSL/TLS로 암호화된 트래픽을 검사하기 위해서는 deep-inspection이 필요합니다.

certificate-inspection의 경우 암호화된 트래픽을 검사하지 못하고 Header만으로 검사수행

application control의 경우 deep-inspection이 필요한 application과 필요하지 않은 application 시그니처가 있습니다.

7.2.x대 license 없는 application signature list 입니다. 약 2400개 정도가 있고 license가 있다면 약 5000개의 application signature로 업데이트가 됩니다.

application signature list에서 youtube를 검색해보았습니다.

그러면 체크해놓은 것처럼 signature 옆에 구름표시가 있는데 이런 signature들은 deep-instpection이 필요한 signature입니다.

해당 application들은 certificate-inspection으로 검사해도 탐지가 되지 않습니다.

이렇게 확인하는 방법도 있고

fortiguard site에서 확인하는 방법도 있습니다. 아래

fortiguard site > service > application control > signature name 검색

youtube를 검색해서 위 이미지 application list에 있는 youtube와 youtube_video.play라는 signature를 들어가 보았습니다.

추가로 site에서는 signature에 대한 자세한 정보 확인이 가능합니다. / 다른 security signature도 동일

여기서 Deep App Ctrl을 비교해서봐주시면 될 것 같습니다. / Yes or No

당연히! Yes가 deep-inpsection 필요입니다.

fortigate deep-inspection이 필요한 application controll 확인 방법

fortigate GUI에서 Packet Capture하는 방법

해당 방법은 fortiOS 7.2.x 기준입니다.

하지만 다른 버전에서나 하는 방법은 거의 똑같습니다. 버전별로 위치 또는 이름만 변경될 뿐!

fortigate GUI > Network > Diagnostics > Packet Capture 탭

Packet Capture 화면

7.0.x 버전에서는 Diagnostic가 아닌 Packet Capture 탭이 따로 있을겁니다.

아무튼.. 여기서 이제 Filter를 걸어서 사용해주면 됩니다. 간단함

Filter 예시

Interface : Wan1 / 해당 Interface로 통신하는 Packet만 Capture

Host : 192.168.1.10 / 해당 IP만 Capture

Port : 443 / 해당 Port만 Capture

위 처럼  Interface, Host, Port, Protocol Number 등 Filter를 걸어 Packet Capture가 가능합니다.

이렇게 7.2.x 버전에서는 GUI에서도 Packet Capture 부분 확인이 가능합니다. / 아래 버전에서는 해당 내용은 보이지 않음

Packet의 Header 부분만 확인이 가능

다음 Save as pcap을 눌러주면,

해당 내용이 Pcap 파일로 다운로드 되면서 wireshark에서 자세한 내용 확인이 가능합니다.

wireshark만 설치되어 있다면 클릭 시 바로 실행됨!

fortigate GUI에서 Packet Capture하는 방법

Fortigate admin password policy 설정 방법

Fortigate GUI 또는 CLI 접속 시 관리자 계정의 password policy를 적용

Ex. password 길이, 대소문자 유무, 특수문자 등을 포함하여 password 생성

해당 설정은 SSL-VPN 접속 시 사용되는 password policy가 아닙니다!!

GUI에서 설정하는 방법

fortigate GUI login > Dashboard Tab > System > Settings

클릭 후 password policy 부분에서 Admin Tab을 선택합니다. (default 설정은 Off)

-

Minimum length와 Minimum number of new characters

password 최소 길이와 기존 password 외 새 글자 수

-

문자 요구사항

Upper case : 대문자 N개 이상

Lower case : 소문자 N개 이상

Numbers : 숫자 N개 이상

Special : 특수문자 N개 이상

-

Fortigate admin password policy 설정 방법 마지막

Allow password reuse : passowrd 변경 시 기존 password 재사용 유무 / 3회인가..5회전까지 재사용 불가능 정확히 기억이 나지 않네요

Password expiration : 예를 들어 90일 설정 시 설정된 기간이 지나면 password 변경

이상입니다.

추가로 IPsec VPN 설정 시 사용되는 preshared-key값에도 password policy 적용이 가능합니다.

Fortigate admin password policy 설정 방법

fortigate VM license 상태 확인 방법

먼저 fortigate VM을 사용하기 위해선 license를 활성화 시켜줘야 합니다.

위 링크에서 license를 upload하는 방법이 나옵니다.

간단하게 말씀 드리면 fortigate VM license 구매 > fortigate VM license PDF 파일 수령 > PDF에 있는 Code를 support site에 등록 > 등록 후 lic파일을 다운 받아 upload입니다.

license upload 시 VM이 재부팅됩니다.!!!

재부팅이 완료되면 fortigate CLI 진입 후 diagnose debug vm-print-lincese 입력

# diagnose debug vm-print-license
SerialNumber: FGVM08**********
CreateDate: Tue Dec 10 00:57:32 2019
License expires: Thu Dec 10 00:00:00 2020
Expiry: 366
Key: yes
Cert: yes
Key2: yes
Cert2: yes
Model: 08 (11)
CPU: 8
MEM: 2147483647

입력 시 해당 fortigate VM의 S/N 언제 등록했는지, 언제 만료가 되는지 확인이 가능합니다.

# diagnose hardware sysinfo vm full
UUID:     abbe****************************
valid:    1
status:   1
code:     200
warn:     0
copy:     0
received: 4604955037
warning:  4600905081
recv:     202009152207
dup:

그 다음 diagnose hardware sysinfo vm full을 입력하면 fortigate VM의 license 상태 확인이 가능합니다.

여기서 valid와 status만 봐도 될 것 같습니다.

valid에는 0과 1이 표시가 되는데

valid : 0 / license 비활성화

valid : 1 / license 활성화

그 다음 

valid : 1, status : 1 / license 정상 작동 중 status : 1 = success

valid : 1, status : 4 / license 중복 사용(다른 VM에서도 license사용 중) status : 4 = Duplicate

-

valid : 0, status : 2 / 해당 VM이 Fortiguard와 통신이 되지 않음 status : 2 = Warning

valid : 0, status : 3 / 해당 VM license 기간 만료 또는 license 없음 status : 3 = Error

fortigate VM license 상태 확인 방법