daily

fortinet product life cycle 확인 방법

product life cycle을 통해 fortigate 외 fortinet 장비들의 EOO, EOS 기간을 확인

확인을 위해서는 위 site에 로그인이 필요

로그인 후 상단의 support > Resources 클릭

다음 Quick Links 탭에서

Product Life Cycle을 클릭해줍니다.

클릭하면 Accessory 부터 나오고

스크롤을 내려주면 fortinet 제품들의 EOO 및 EOS 정보들이 보입니다.

EOO : 해당 제품의 판매 중단 날짜

EOS : 해당 제품의 RMA 및 기술지원 서비스 중단 날짜

추가로 FG-60C-PDC 제품을 클릭하면 해당 장비에 대한 Life Cycle정보를 다운 받아서 볼 수 있습니다. / 다른 제품도 클릭 시 다운 가능

Hardware뿐만 아니라 Software(OS)에 관한 Life Cycle도 있으니 이 부분도 확인해 보셔야 할 부분입니다.

fortinet product life cycle 확인 방법

fortigate routing table 확인 명령어

물론 GUI에서도 확인 가능합니다!

먼저 현재 장비의 routing 설정

default routing이 두개 설정되어 있습니다.

상세 설정의 차이점은

wan1의 경로는 distance : 5

wan2의 경로는 distance : 100

Fortigate OS 6.4 이상에서는 GUI > Dashboard > Network > Routing

현재 routing table에는 wan1의 default routing과 connected routing이 활성화 되어 있습니다.

wan1의 경로의 default routing만 보이는 이유는 fortigate 경로를 선택하는 우선순위가 있는데

첫번째는 작은 서브넷 단위

두번째는 distance가 낮은 것

세번째는 priority가 낮은것(dynamic routing인 경우 mectric)

네번째는 위 세가지 조건이 모두 동일하다면 ECMP로 동작(ECMP는 나중에 따로 포스팅)

그래서 지금은 첫번째 조건은 동일하고 두번째 조건 distance가 wan1이 낮기 때문에 wan1의 경로가 활성화 되어 있습니다.

추가로 PBR(Policy Based Routing)은 static & Dynamic 옆에 policy를 누르면 확인이 가능합니다.

CLI에서 routing table 확인

get router info routing-table all

해당 명령어는 GUI에서 보이는 것처럼 활성화된 routing table만 보여줍니다.

get router info routing-table database

최적의 경로로 선택되지는 않았지만 설정된 모든 routing을 보고 싶다면 위 명령어를 입력하시면 됩니다.

명령어를 실행시켜보니 위에서 보이지 않던 wan2 default routing도 보입니다.

추가로 앞에 빨간색 박스 S,C는

S - static routing

C - Connected routing

이 외 O(OSPF), B(BGP) 등 다른 routing protocol이 설정되어 있다면 알파벳 앞자리가 표시됩니다.

다음 [100/0]는

100 - distance

0 - priority

이상

fortigate routing table 확인 명령어

알아보기 끝

fortigate packet sniffer 하는 방법

fortigate에서 장애처리 시 자주 사용하는 명령어

해당 명령어를 사용하여 필터를 걸어서 특정 인터페이스 또는 모든 인터페이스로 들어오는 packet을 확인할 수 있다.

fortigate packet sniffer를 잘 활용하기 위한 옵션 확인해보기

기본 명령어는

diagnose sniffer packet <Interface> <Filter> <level> <count> <tsformat> 

Interface : any 또는 특정 Interface 지정 (ex. port1, wan1등등)

Filter : ICMP, TCP, UDP, Port, Subnet, host 여러가지 조건들을 and 또는 or 조건으로 filter를 걸어서 In/Out packet 확인

level : 아래 이미지 참조

1~6까지 사용이 가능한데 1만 입력할 경우 IP headers만 sniffer내용에 표시

일반적으로 많이 사용하는건 4번을 많이 사용하여 IP herders와 Port names 확인

count : 해당 packet을 몇번 남길건지 생략도 할 수 있다 / 생략 시 취소하기 전까지 계속 남김

tsformat : a와 I 옵션이 있는데 a는 UTC time, I는 Fortigate에 설정된 Time 시간이 표시되어 sniffer에 표시

예시. diagnose sniffer packet any 'icmp and host 8.8.8.8' 4

이렇게 filter를 걸어서 sniffer한 경우

해당 fortigate 모든 Interface를 통과하는 icmp packet을 탐지 물론 8.8.8.8 IP에 대해서만!

이런 방법으로 filter를 걸어 fortigate In/out 되는 packet 확인이 가능

fortigate packet sniffer 하는 방법

끝

fortigate session clear 및 list 확인 방법

CLI 명령어를 통하여 fortigate의 총 session 수 확인 또는 session 요약 또는 상세보기

그리고 특정 session을 보거나 clear 하는 방법 확인해보기

get sys session status

해당 VDOM에 총 몇 개의 session이 활성화되어 있는지 확인하는 명령어

get sys session list

활성화되어 있는 session을 간략하게 보여주는 명령어

한줄로 표시되며 source IP, destination IP, Port 정보를 포함

session 수가 많을 경우 찾고자 하는 session이 있을 때 grep 명령어를 사용하여 특정 session 확인이 가능

fortigate session clear 및 list 확인 방법

diagnose sys session list 명령어

위에서는 session의 정보를 간략하게 보여주었는데 위 명령어는 session의 정보를 자세하게 보여줍니다.

해당 session이 UDP인지 TCP인지 logging은 하는지 gateway정보

어떤 IP로 NAT되었는지등 세부 정보를 보여주기때문에 troubleshooting 시 자주 사용합니다.

추가로 해당 명령어도 fortigate의 활성화된 모든 session을 보여주기 때문에 filter를 걸어서 사용하는 게 좋습니다.

diagnose sys session filter 사용하여 찾고자 하는 session 확인이 가능합니다.

여러가지의 조건을 걸어서 사용할 수 있습니다.

filter 적용 후

diagnose sys session list 명령어 시 : 활성화된 session 중 filter와 match된 session만 보여줍니다.

diagnose sys session clear : 활성화된 session 중 filter와 match된 session만 삭제합니다.

주의사항

filter를 적용시키지 않고 diagnose sys session clear 시 fortigate의 모든 session이 삭제되기 때문에 filter를 걸었더라도 확인을 한 번 더 하는 게 좋습니다. 혹시 모를 장애 상황을 위해서요

fortigate session clear 및 list 확인 방법

끝

fortigate dialup ipsec vpn 설정하기

Dialup vpn은 hub and spoke 구성에서 사용합니다.

위 구성도처럼 Dialup VPN server가 hub이고 branch office가 spoke입니다.

hub는 상대방의 공인 IP를 모르기 때문에 VPN 연결을 기다리고 있는 상태이고 spoke가 hub의 공인 IP로 VPN 연결을 시도합니다.

Fortigate GUI > VPN > IPsec Wizard > Template Type을 Custom으로 생성

이전의 site to site IPsec VPN과 설정은 거의 동일합니다.

IPsec VPN Phase 1설정

여기서 차이점은 Remote Gateway를 Dialup User로 변경하여 만들어줍니다.

그리고 Interface는 Wan1 설정

site to site 설정 시 상대방의 공인 IP를 입력해 주어야 했습니다.

dialup은 연결을 기다리고 있는 상태이기 때문에 먼저 연결 시도를 하지 않고 wan1으로 오는 연결에 대해서만 VPN을 맺습니다.

IPsec VPN Phase2 설정

여기서 참고해야 할 부분은 Local address와 remote address 부분

IP대역을 위 구성대로 설정하였지만 연결하려고 하는 spoke가 많을 경우

remote address를 0.0.0.0/0 으로 설정합니다.

이유는 다수의 spoke의 연결을 해야 하기 때문입니다.

VPN 정책 설정

Incoming Interface : Dialup-VPN

Outgoing Interface : DMZ

Source : all

Destination : dmz IP 대역 (10.1.100.0/24)

해당 설정 생성 후 Clone reverse 로 VPN 양방향 정책을 만들어줍니다.

여기까지 Dialup VPN Server(Hub)에서 IPsec VPN관련된 설정은 끝입니다.

라우팅의 경우는 VPN이 맺어지면 상대방 Remote address에 대한 라우팅이 static하게 자동으로 추가됩니다./ hub만 해당

Branch office(spoke)는 Dialup VPN Server의 Local address 대역을 수동으로 추가해줘야 합니다.

fortigate dialup ipsec vpn 설정하기

끝

fortigate ssl vpn mac address check

ssl vpn 접속 시 host의 mac을 check하여 vpn 접속 제어

forticlient VPN Only version 6.2~7.0.2 사이에서는 mac address check기능 지원이 안됨

forticlient VPN Only version 7.0.3 이상으로 설치 또는 유료버전 사용하여야 지원

현재 기본적인 ssl vpn 설정은 되어 있는 상태

fortigate ssl vpn mac address check 설정 방법

1. fortigate GUI에서 CLI Console로 접속 (해당 설정은 CLI에서만 가능)

SSL-VPN Portals > 설정되어 있는 full-access에 mac-addr-check를 활성화 ( default 비활성화 )

활성화를 하고 나면 action을 설정해야 합니다.

allow는 설정해놓은 mac-list와 일치하면 vpn 연결 허용

deny는 mac-list와 일치하면 vpn 연결 차단

저는 allow로 설정 후 Test PC에 mac address를 틀리게 입력하여 진행하였습니다. 

2. mac-list 설정

config mac-addr-check-rule 명령어 진입 후 mac-check rule 생성

저는 Test라는 이름의 rule을 생성해주고

Test PC의 틀린 mac address 입력

그리고 mac address 입력의 경우 1개의 mac address입력만 되는 게 아니라 한 칸 띄어 쓰고 다음 mac address입력하고 여러 개의 mac address를 등록할 수 있습니다.

여기까지가 설정의 끝입니다. end를하여 저장하고 나와줍니다.

ssl vpn 접속 시도

접속이 실패되고 경고메시지 확인

fortigate에서 mac address를 확인하지 못했다는 log 확인

Test PC의 원래 mac address를 입력

ssl vpn 접속 확인

fortigate ssl vpn mac address check 설정 방법

완료

fortigate firmware upgrade path

upgrade path를 확인하여 올바른 firmware upgrade 진행

upgrade path를 확인하고 진행해야 하는 이유

fortigate는 firmware upgrade 시 CLI에서만 변경 가능한 설정이라던가 다른 세부적인 설정부분이 변경될 수 있는데

upgrade path를 지키지 않을 경우 설정이 변경되는 부분에 대해 정상적으로 이뤄지지 않아서

장애가 발생할 수 있다.

upgrade path를 맞춰야 해당 부분이 version에 맞게 변경된다.

fortigate firmware upgrade path 확인방법

먼저 위 fortinet support site에 로그인 후

상단의 support를 클릭하여 firmware download

다음화면에서 upgrade path 탭으로

current produce : upgrade 할 fortigate model 선택

current fortios vsersion : fortigate의 현재 OS version

upgrade to fortios version : 해당 OS version으로 upgrade

지금 위 이미지에서는 Fortigate-100F model OS 6.2.3 > 7.0.5로 올리려고 한다.

GO 클릭

그러면 이렇게 OS version 6.2.3 > 7.0.5로 upgrade를 위해서는 5번의 upgrade를 진행해야 한다.

upgrade마다 재부팅이 진행됨

firmware upgrade는 fortigate GUI > System > Firmware에서 진행

fortigate firmware upgrade path 확인

필수

Fortigate site to site IPsec VPN 설정방법

지난번 SSL-VPN에 이은 Fortigate IPsec VPN 설정하기

site to site 구성

Fortigate site to site IPsec VPN 간단한 구성도

A, B Fortigate 간 VPN 연결

A Fortigate Internal IP 대역의 Host에서 B Fortigate Interal IP로 통신 시도

A Fortigate에서 VPN Tunnel을 통해 트래픽이 전달되는지 sniffer

먼저 Fortigate GUI 접속 후 VPN > IPsec Tunnels

IPsec Tunnel 생성

여러가지 생성방법이 있는데 저는 Custom으로 진행했습니다.

site to site로 설정하면 wizard 방식으로 진행되서 주소, 라우팅, 정책, Phase1,2가 자동으로 생성됩니다.

편하기는 하지만 Custom으로 만들면서 설정 부분을 익히거나 추후 수정할 때도 더 도움 된다고 생각합니다.

VPN Name은 Test-VPN

먼저 Phase1부터

Phase1는 A,B Fortigate간 인증 암호화 방식 등 보안관련

Phase2는 Tunnel로 통신할 data 보안관련

Static IP Address 선택 후 상대방 Wan IP 입력 Interface는 자신의 Wan Interface를 선택해줍니다.

다음

NAT Traversal과 DPD 설정

DPD는 상대방이 살아 있는지 감지

위의 설정의 경우 DPD 트래픽을 20초마다 한번씩 세번 시도

응답이 없을시 터널 다운

NAT Traversal은 A,B Fortigate 사이에 NAT 장비가 있을 시 활성화

외 Pre-shared Key, Mode, 암호화 알고리즘 설정 등 상대방 설정과 맞춰줘야 합니다.

Fortigate site to site IPsec VPN 설정방법

Phase2

Local Address에는 A Fortigate Internal IP 대역

Remote Address에는 B Fortigate Internal IP대역을 입력해준다.

VPN 설정완료 확인 후 VPN 정책설정

Policy & Objects > Firewall Policy 정책 생성

정책 이름설정

Incoming Interface : VPN Interface(Test-VPN)

Outgoing Interface : Internal

Source 및 Destnation에는 각각 Internal IP 대역 설정

일반적으로 IPsec VPN 통신 시 NAT는 필요없으니 비활성화

Security Profiles은 필요시 설정

 Logging Options의 경우 Security는 보안기능에 탐지된 트래픽만 log를 남김

All Sessions은 모든 트래픽을 log로 남김

정책 설정 완료 후 해당 정책을 우클릭하여 Clone Reverse를 해주고 다시 우클릭하여 Paste해줍니다.

복붙이기는 하지만 Interface와 Source, Destination도 바뀌기 때문에 역방향 정책도 쉽게 만들 수 있습니다.

그리고 비활성화 상태로 Paste 되기 때문에 활성화해줘야 하고요

IPsec VPN관련 정책 설정 후 라우팅 설정

Network > Static Routes

192.168.30.0/24(B Fortigate Internal 대역)은 Test-VPN Interface로 경로 설정

여기까지 완료하면 IPsec VPN 설정은 끝입니다.

이제 통신확인!

Dashboard에 IPsec Monitor를 추가해줍니다.

Test-VPN이라는 이름으로 만든 VPN이 빨간색 화살표로 다운표시되어 있고

Bring Up > All Phase 2 Selectors를 눌러 Tunnel Up을 시켜줍니다.

VPN 설정이 제대로 되었다면 Tunnel Up이 됩니다.

Tunnel Up이 되지 않는 경우는 VPN 설정 매치가 안되는 부분이 제일 많습니다.!

설정 시 두 Fortigate 간의 설정을 잘 맞춰줘야 합니다.

그래도 안되면.. Debug을 통해 해결해야 합니다. 추후 포스팅

Tunnel UP 되고나서 

A Fortigate Host 192.168.1.110 > B Fortigate Internal IP 192.168.30.1로 ICMP 시도

Test-VPN을 통해 request, reply 확인

끝

Fortigate site to site IPsec VPN 설정방법

추후 Dial up 설정 방법도 포스팅하겠습니다.

Forticlient version 7.0.3 host check 기능 변경사항

이전의 글에서 Forticlient 6.2이상부터는 host check 기능을 사용하려면 License를 구매했어야 햇습니다.

위 링크 참조

하지만.. 변경된 부분이 있어 다시 포스팅!

Forticlient VPN Only 7.0.3 version 부터는 License 구매가 필요 없이 host check 기능이 사용 가능합니다.!

해당 부분은 아래 링크 참조

설정법까지 나와있습니다.

https://docs.fortinet.com/document/forticlient/7.0.0/new-features/651315/fortigate-powered-host-check-for-free-vpn-client-7-0-3

Host check 기능은 많이 요구하는 기능인데 이렇게 다시 VPN Only version에서도 사용하게 돼서 좋네요

하지만..

참고해야 할 사항

host check 설정 가능한 List

Operating system (OS) check
Antivirus (AV)-only
Firewall-only
AV and Firewall
Custom software host check:
- File
- Running process
- Registry

Forticlient version 7.0.3 host check 기능 변경사항

알아보기

fortianalyzer 및 fortimanager trial license

Fortinet은 fortianalyzer 와 fortimanager를 VM 버전으로 무료 제공

하지만 제약 사항이 있는 license

Fortimanager의 경우 3개의 Fortigate장비까지 관리가 가능, ADOM 2개까지 활성화

Fortianalyzer도 마찬가지로 3개의 Fortigate장비까지 등록하여 log를 받을 수 있고 일 최대 1GB로그 저장 최대 500GB 스토리지 지원

그리고 trial license는 무료 라이선스이기 때문에 기술지원은 받을 수 없음

두 장비의 웬만한 주요 기능은 다 사용할 수 있기 때문에 테스트용으로 사용하기에 매우 좋다.

fortianalyzer 및 fortimanager trial license 사용하기 위해서는 먼저

https://support.fortinet.com 

위 사이트에 회원가입이 되어 있어야 한다.

trial license 활성화 방법

먼저 fortianalyzer 와 fortimanager가 7.0 이상 VM이 설치되어 있어야한다.

설치가 완료되면 기본 네트워크 세팅하고 GUI 접속

접속하게 되면 이렇게 나오는데

Free Trial에 체크해놓고 위 support.fortinet.com 사이트에서 계정으로 로그인

로그인하면 support.fortinet.com > Asset Management > Product > Product List 부분에서 Fortimanager가 등록된걸 확인할 수 있다.

위 이미지처럼 FortiManager-VM 확인가능

Product List에서 License File을 다운받고

다시 Fortimanager GUI로 들어가서 License File을 업로드하면 된다.

Fortianalyzer도 7.0 이상 버전 설치 그리고 네트워크 세팅 후 위 방법처럼 동일하게 진행하면 된다.

Fortianalyzer 및 Fortimanager trial license

굿