daily

fortigate ssl vpn settings 하기

SSL-VPN이란 원격 즉 외부의 사용자가 VPN 터널을 통해 회사 내부 네트워크에 액세스함

fortigate ssl vpn 설정 단계

1. User 생성

2. SSL VPN Portal 설정

3. SSL VPN Settings 설정

4. SSL VPN 정책 설정

Fortigate OS 6.0대에서 진행했습니다. / 상위 버전에서도 설정 방법은 흡사함

먼저,

1. SSL VPN User 생성하기

fortigate GUI > User & Device

Create New를 눌러 생성하면 되고

저는 SYU라는 계정을 생성하였습니다.

2. SSL VPN Portal 설정

fortigate GUI > VPN > SSL VPN Portals

기존에 생성되어 있는 Portal을 수정하여도 되고 새로 생성해도 됩니다.

저는 생성되어 있는 full-access portal을 수정했습니다.

많이 사용되는 Tunnel Mode로 진행

Portal 설정

Enable Split Tunneling 활성화 및 비활성화

Enable Split Tunneling : 비활성화 시 SSL VPN 접속 후 모든 트래픽은 VPN 터널을 통해 전달되어 내부 네트워크 액세스뿐만이 아니라 인터넷 트래픽까지 터널을 통하기 때문에 인터넷 속도가 느릴 수 있음

Enable Split Tunneling : 활성화 시 Routing Address에 설정 된 내부 네트워크에 액세스하고 인터넷 트래픽은 터널로 전달하지 않음

그 외 웹모드 Host check기능은 따로 올리겠습니다.

3. SSL VPN Settings 설정

위에서 부터

Listen on Interface는 일반적으로 인터넷 인터페이스를 설정 / SSL VPN 접속 시 인터넷 인터페이스 IP로 접근

Listen Port는 default는 443이지만 > 사용하지 않는 Port 10443으로 변경

fortigate의 GUI 접속 Port도 default 443이기 때문에 둘 중 하나는 변경해줘야 한다

동일하게 설정이 되어 있으면 접속 시 SSL VPN 접속 화면이 열림

  Tunnel Mode Client Settings은 SSL VPN 접속 시 사용자가 할당받을 IP / Automatically assign addresses 선택 시 default로 만들어져 있는 SSL VPN IP대역 address 사용하고 Specify custom IP ranges를 선택하여 다른 IP대역을 할당해 줄 수도 있음 

Authentication/Portal Mapping은 SSL VPN User가 사용할 Portal 이전에 수정한 full-access 사용

Portal을 여러개 만들어 User 별로 다른 Portal 적용도 가능함

4. SSL VPN 정책 설정 ( Split Tunneling 활성화 시 )

마지막 정책 설정

Incoming Interface : SSL-VPN tunnel interface 

Outgoing Interface : internal / 내부 네트워크 인터페이스 설정하면 된다.

Source : default로 생성되어 있는SSL VPN IP 대역 그리고 SYU User / 테스트기 때문에 SYU User 하나만 적용 Group 및 다수 User도 적용이 가능

Destination : 내부 네트워크 IP 대역 객체

Schedule : always / 예를 들어 정책 스케쥴링을 통해 특정 시간에만 SSL VPN이 접속가능하게 설정 가능

Service : ALL

내부 네트워크 액세스 이기 때문에 NAT는 활성화하지 않아도 된다.

5. SSL VPN 정책 설정 ( Split Tunneling 비활성화 시 )

Split Tunneling 비활성화 시 모든 트래픽이 터널을 통하기 때문에 인터넷 액세스 정책도 만들어줘야 한다.

4번의 설정에서 Outgoing Interface는 인터넷 인터페이스(wan1), Destination 부분을 all 그리고 NAT를 활성화 시켜주면 됨

끝

설정이 끝나고 Forticlient로 SSL-VPN 접속 시도

원격 게이트웨이에는 SSL VPN Settings 부분에 지정해준 인터넷 인터페이스의 IP 입력

사용자 정의 포트번호도 10443으로 변경

비밀번호 입력 후 연결

보안 경고 > 예 클릭

SSL VPN 연결이 되면 내부 네트워크와 통신을 확인해보면 된다.

참고사항은.

fortigate SSL VPN 설정 방법 포스팅은...

SSL-VPN Tunnel Mode 아주 기본적인 설정입니다.^^

fortigate 로그인 실패 시 잠금관련 설정 알아보기

fortigate 로그인 3회 실패 시 1분간 계정이 잠긴다.

설정을 통하여 실패 횟수 및 계정이 잠기는 시간을 변경할 수 있다.

해당 설정은 cli에서만 변경이 가능

config system global

명령어 입력

admin-lockout-duration : 실패 시 잠기는 시간 60초 (default) / 잠기는 시간 1초 ~ 2147483647초까지 설정가능

admin-lockout-threshold : 실패 횟수 3 (default) / 횟수 1 ~ 10까지 설정가능

필요 시 요청에 맞추어 설정하면 된다.

fortigate login fail count setting / 로그인 실패 시 잠금시간 및 실패횟수 설정

fortigate process list

diagnose sys top

해당 명령어를 사용하면 fortigate에서 실행되고 있는 process list 확인이 가능

process 보는 방법

첫번째 줄 httpsd process 기준 

        process 이름              PID          process 상태      cpu 사용량      memory 사용량

          httpd               23190                   S                     8.9                  3.2

   PID 값, process 상태는 더 적어야 할 부분이 있는데 다음 포스팅에 자세히 적겠습니다.

전체 Process list

process 이름 / 역할

fortigate process list

꼭 알아야 할 부분

트러블 슈팅 시 찾게 됨ㅎㅎ

 Fortigate admin password recovery

fortigate 관리자 패스워드 복구

fortigate 패스워드 분실 시 재설정하는 방법

1단계

Fortigate 장비에 Console 연결

연결 후 확인사항

패스워드 복구를 하기 위해선

CLI > config system global > set admin-maintainer enable/disable이 enable되어 있어야 한다.

default로 enable 이지만 혹시 다른 누군가가 바꿔놨을 수도 있다는 가정하에 확인

패스워드 복구를 위해서 maintainer라는 계정으로 Login함

2단계

장비 재부팅

재부팅 후 maintainer Login

ID : maintainer

PW : bcpb<Fortigate S/N> / Ex. bcpbFGT100FXXXXXXX

bcpb뒤에 해당 Fortigate의 S/N가 오는데 대소문자를 구분한다.

그리고 장비가 켜지고 나서 30초 안에 maintainer 계정으로 Login해야 하기 때문에 패스워드는 미리 메모장에 적어놓고 복사/붙여넣기 해두는 게 좋다.

추가로 장비 재부팅은 물리적인 전원케이블이 절체되어야 한다. ( 장비 shutdown 후 전원케이블 절체, 약 10초 후 연결 )

명령어로 인한 재부팅 X

3단계 패스워드 재설정

maintainer Login에 성공하면

config system admin > edit admin으로 진입하여 패스워드 재설정을 해주면 된다.

마지막으로 maintainer로 Login 시 factoryreset(장비 공장초기화) 또는 admin으로 진입해 패스워드 복구만 가능하다.

이 외 다른 모든 설정 변경 불가능함

Fortigate admin password recovery

그리고..

maintainer 기능도 disable에 패스워드까지 분실하였다면 방법이 없다.

FortiEMS download

위 링크는 저번에 포스팅했던 FortiClient 다운로드에 관한 내용인데 참고해야 할 부분이 있어서 첨부!

제일 중요한건.. 6.2부터 Forticlient license 구매시 활성화를 위하여 반드시 fortiems 설치가 필요하다.

license를 FortiEMS에 등록하고 user별 카운터를 FortiEMS에서 하기 때문

FortiEMS의 역할?

FortiClient Endpoint Management Server (EMS)

주로 license 활성화와 더불어 client 중앙 관리 및 보안정책 배포, 클라이언트 설치 파일 배포등등

위 내용은 Fortinet 홈페이지에서 캡쳐해 온 내용인데

중요 부분은 FortiEMS는 설치 시 3개의 client를 연동시켜서 사용할 수 있다.

즉 무료로 3개의 license를 제공하는 것

3개의 client를 연결시켜 거의 모든 기능을 테스트 가능

Fortinet support site 링크

support site에 login하여 FortiEMS 설치 파일을 다운 받을 수 있다 <support site 계정이 필요함>

FortiEMS 및 Forticlient download 시 확인해야할 부분!!

바로 version 문제

FortiEMS 설치 시 client 뿐만아니라 Fortigate OS version까지 신경써줘야 한다.해당 부분을 참고하지 않고 설치 시 연동관련 문제가 생길 수 있기 때문

위 이미지는 최신 firmware version까지 나와 있음

설치 시 주의사항이 기억나는건 여기까지..ㅠ추가로 생각나는 부분이 있으면 수정하겠습니다.

FortiEMS downloadCompatibility Chart는 꼭 확인하기

Fortigate Log Severity

Fortigate 기준으로 disk가 있는 장비와 없는 장비가 있다.

Ex. Fortigate-100F와 Fortigate-101F

뒤에 1이 있는 장비가 disk가 있는 장비

disk가 있는 장비는 로그를 쌓고 리부팅하여도 로그가 삭제되지 않는다.

disk가 없는 장비의 경우는 따로 저장소가 없어 memory에 로그를 쌓게 되는데 리부팅시 삭제되고

로그를 쌓는것도 아주 제한적이어서 실시간으로 트래픽이 많아 로그가 많이 쌓이게 되면 오버라이드되면서 로그 확인이 힘들 수도 있다

Fortigate log severity 관련 설정은 CLI에서만 가능하다.

CLI > config log memory filter > set serverity

disk나 fortianalyzer(포티넷 로그 저장 장치)는 memory 부분만 바꿔서 넣어주면 설정 변경 가능

emergency - 시스템이 비정상 상태에 대한 로그

alert - 즉각 조치가 필요(Security탐지등)한 로그

critical - 기능에 영향 주는 로그

error - 오류에 대한 로그

warning - 기능에 영향을 줄 수 있는 로그

notification - 이벤트에 관한 일반적인 로그

information - fortigate 설정변경에 대한 로그

debug - 디버깅을 위한 상세 로그

이 설정을 관련하여 포스팅하는 이유는

disk가 없는 포티게이트는 severity 설정이 default로 warning으로 되어 있을 수 있는데

이렇게 되어 있으면 일반적인 traffic로그는 쌓이지 않기 때문에

포티게이트를 처음 다뤄보는 입장에서 로그가 왜 안쌓이지? 라는 생각을 할 수 있다.

그땐 해당 설정을 information으로 바꿔주면 일반적인 traffic로그도 위에서 말씀드린 것처럼 보이는데 적재량이 아주 적고 리부팅시 지워진다.

그리고..

메모리에 로그가 계속 쌓이면 메모리에 부하를 줄 수 있어 시스템적인 장애를 발생 시킬 수 있다.

그래서 disk가 없는 장비에 severity를 낮게 설정해서 사용하는건 권장하지 않는다.

그래서 처음 장비 구매 시 로그에 대한 부분을 잘 고려해서 구매하는 게 좋다.

Fortigate Log Severity

FortiClient 다운로드

VPN 및 Endpoint 보안 기능을 제공하는 FortiClient

FortiClient 6.2이상부터는 License 부분이 크게 변경되었습니다. (현재 FortiClient 7.0 버전 배포 중)

VPN기능만 사용이 가능한 VPN Only 버전과 ZTNA, EPP등 여러 License 체계의 FortiClient

<FortiClient는 위 링크를 통해 다운로드가 가능>

위 링크는 공식적인 다운르도 site이고 Fortinet support site를 통해서도 다운로드 가능

FortiClient 다운로드 시 기능관련 주의사항

위 이미지가 FortiClient VPN Only 버전입니다.

이 버전은 License 비용이 들지 않고 VPN만 사용할 경우 다운로드하셔서 사용하시면 됩니다.

Host Check, 보안기능 사용불가능

Host Check는 Process, 파일위치, Host Mac등 이러한 설정으로 SSL-VPN접근을 제어할 수 있는 기능입니다.

이 외 ZTNA, EPP/APT, SASE FortiClient 버전은 User별 License비용이 들어갑니다.

각각의 License 기능 지원여부

필요한 기능에 맞춰 구매하시면 됩니다.

License Activation의 경우

FortiEMS(Endpoint management service) Software가 설치된 서버가 필요하며 device 개수에 따라 차감되고

Forticlient가 EMS와 연동이되면 EMS에서 정책을 내려줍니다.