daily

FortiClientEMS에서 FortiGate Webfilter Profile 가져오는 방법

Fortigate에서 사용중인 Webfilter Profile을 FortiClientEMS Profile로 가져와 EMS 정책에 적용

먼저 Fortigate에서 EMS-Webfilter라는 테스트용 Profile을 생성해 줍니다.

FortiGuard Category Based Filter는 비활성화인 상태이고 URL Filter에서 네이버만 Static으로 차단 설정

FortiClientEMS GUI > Endpoint Profile > Web Filter 오른쪽 상단의 Import 클릭

Fortigate IP 및 ID/PW 입력

Fortigate WebFilter Profile 리스트

테스트용으로 생성한 EMS-Webfilter 선택

One Time Pull : 일회성 가져오기 / Fortigate WebFilter Profile이 변경되어도 동기화 되지 않음

Group Schedule : n개 이상 Profile 선택 시 선택한 모든 Profile에 대한 일괄 동기화 스케줄 설정

Individual Schedule : n개 이상 Profile 선택 시 선택한 Profile에 대한 개별 동기화 스케줄 설정

저는 One Time Pull로 진행

불러온 EMS-Webfilter Profile

Webfilter Profile 설정 확인

Categories base는 비활성화 되어 있고 아래 Static으로 네이버 static 차단 설정 확인

FortiClientEMS에서 FortiGate Webfilter Profile 가져오는 방법

ForticlientEMS 인증서 다운로드 방법 / Forticlient EMS Certificate

해당 작업은 Fortigate와 ForticlientEMS와 Fabric연결 시 나오는 경고창을 해결하기 위함

Fortigate GUI > Security Fabric > Fabric Connectors > Forticlient EMS

EMS Server IP 및 Name 입력하는 부분

IP를 입력하고 OK를 누르면,

빨간색 박스에 Failed to verify the certificate for server "EMS"라는 문구로 시작하여 에러창이 표시가 됩니다.

그러면 이제 ForticlientEMS의 인증서 업로드 작업을 해주면 됩니다.

인증서를 다운로드 하기 위해서는,

"ForticlientEMS가 설치된 PC에 접속 후 다운로드 해주셔야 합니다."

접속 > 컴퓨터 인증서 관리 > 신뢰할 수 있는 루트 인증 기관 > 인증서 > FortiClient Enterprise Management Server 우클릭 후 내보내기

Base-64로 선택하여 내보내기

해당 인증서를 Fortigate GUI > System > Certificates > Create/Import > CA Certificate > ForticlientEMS에서 다운받은 인증서 파일 업로드

해당 작업이 끝나고 다시 Fabric Connectors에서 연결을 시도하면 에러창이 아닌

위 이미지처럼 창이 나옵니다. Accept 누르고 OK까지 눌러주고 ForticlientEMS 접속 후 Authorize까지 해주면 끝

이상입니다.

ForticlientEMS 인증서 다운로드 방법 / Forticlient EMS Certificate

Fortigate SSL-VPN 98% 멈춤 현상 시 추가 방법

지난번에 올린 SSL-VPN 특정 % 멈춤 현상에 대한 글입니다.

98%의 경우 Forticlient를 삭제 후 재설치로 포스팅하였는데 추가로.. 해 볼 방법이 있어 포스팅해 봅니다.

PC 인터넷 네트워크 어댑터 설정 부분에 IPv6가 활성화되어 있으면 98% 멈춤 현상이 발생할 수 있다고 하네요.

Fortigate SSL-VPN 98% 멈춤 현상 시 추가 방법

forticlient 이전 버전 다운로드 하는 방법

forticlient 다운로드 공식 사이트를 들어가서 다운로드를 하게 되면 최신의 버전의 forticlient를 다운 받습니다.

현재 공식사이트에서는 forticlient 7.2 버전 다운로드가 가능합니다.

7.2 이전 버전의 forticlient를 다운 받으려면, 먼저 fortinet support site접속이 필요합니다.

사이트 로그인 후

상단의 Support > Firmware Download 클릭

Select Product를 클릭하여 FortiClient 선택

다음 Download 클릭 후 OS 선택 > Firmware를 선택하여 다운로드 해주면 됩니다.

아주 예전의 버전까지 다운로드가 가능합니다.

결론은 fortinet support site 계정만 있다면 쉽게 다운로드가 가능합니다!

forticlietn 이전 버전 다운로드 하는 방법

Mac OS에서 forticlient 삭제하는 방법

좋은 정보여서 링크로 가져왔습니다..

Mac OS 즉 맥북을 쓰시는 분들이라면 한 번 쯤? 겪어보셨을만한 문제사항

forticlient가 정상적으로 삭제되지 않는 문제 발생

보통 맥북에서는 삭제 시 휴지통으로 이동 후 delete하면 삭제되는데..이상하게 forticlient는 제대로 삭제가 되지 않아 재설치도 힘들었던 적이 있었습니다.

삭제하는 방법은 위 링크 참조!!

친절하게 설명이 나와 있어 좋습니다.

forticlient 관련된 파일을 스크립트로 만들어서 삭제하는 방법입니다.

a-z까지 잘 설명되어 있습니다.

Mac OS에서 forticlient 삭제하는 방법

windows11에서 forticlient 설치

windows11에서는 forticlient가 특정 버전이상에서만 지원합니다.

그러므로 user가 windows 11을 사용하는 경우

forticlient 버전 6.4.x대에서는 6.4.7이상의 forticlient 버전을 설치해서 사용해야 합니다.

아래는 forticlient 6.4.7에서 지원한다는 링크이고 Release notes에서 버전을 6.4.6으로 변경해서 보시면 windows11이 support OS 부분에서 빠져있습니다.

forticlient 버전 7.0.x대에서는 7.0.2이상의 forticlient 버전을 설치해서 사용해야 합니다.

아래 링크도 마찬가지로 forticlient 버전 7.0.2부터 windows 11 support 확인 가능

현재 forticlient는 7.2.0까지 나와있고 해당 버전에서는 windows11을 지원합니다.

추가로 forticlient download 공식 홈페이지에서는 최신 버전의 forticlient가 다운되기 때문에 6.4.x, 7.0.x 버전의 forticlient는 fortinet support site에서 다운로드해야 합니다.

windows11에서 forticlient 설치 알아보기 끝

Forticlient 자동연결, 비밀번호 저장, 항상 연결 활성화 방법

먼저 Forticlient의 SSL-VPN Login 화면입니다.

위 자동연결, 비밀번호 저장, 항상 연결이 비활성화 된 상태!

영어 명칭은 auto-connect, save-password, always-up 입니다.

SSL-VPN에서 위 기능 활성화 방법의 경우

Fortigate CLI > config vpn ssl web portal > edit <설정하려면 SSL-VPN Portal Name> 진입

set 명령어를 사용하여 위 세 가지를 활성화시켜줍니다. (기본 설정은 비활성화)

활성화를 시켜주고 나서 SSL-VPN 접속했다가 로그아웃

로그아웃을 하고 다시 Forticlient 화면을 보면 세 가지 기능이 활성화된 걸 확인할 수 있습니다.

- 주의사항 -

해당 기능은 Forticlient 6.2이상 무료버전(Only-VPN)에서는 지원하지 않습니다. 

Forticlient 자동연결, 비밀번호 저장, 항상연결 활성화 방법 알아보기 끝

Forticlient version 7.0.3 host check 기능 변경사항

이전의 글에서 Forticlient 6.2이상부터는 host check 기능을 사용하려면 License를 구매했어야 햇습니다.

위 링크 참조

하지만.. 변경된 부분이 있어 다시 포스팅!

Forticlient VPN Only 7.0.3 version 부터는 License 구매가 필요 없이 host check 기능이 사용 가능합니다.!

해당 부분은 아래 링크 참조

설정법까지 나와있습니다.

https://docs.fortinet.com/document/forticlient/7.0.0/new-features/651315/fortigate-powered-host-check-for-free-vpn-client-7-0-3

Host check 기능은 많이 요구하는 기능인데 이렇게 다시 VPN Only version에서도 사용하게 돼서 좋네요

하지만..

참고해야 할 사항

host check 설정 가능한 List

Operating system (OS) check
Antivirus (AV)-only
Firewall-only
AV and Firewall
Custom software host check:
- File
- Running process
- Registry

Forticlient version 7.0.3 host check 기능 변경사항

알아보기

fortigate ssl vpn settings 하기

SSL-VPN이란 원격 즉 외부의 사용자가 VPN 터널을 통해 회사 내부 네트워크에 액세스함

fortigate ssl vpn 설정 단계

1. User 생성

2. SSL VPN Portal 설정

3. SSL VPN Settings 설정

4. SSL VPN 정책 설정

Fortigate OS 6.0대에서 진행했습니다. / 상위 버전에서도 설정 방법은 흡사함

먼저,

1. SSL VPN User 생성하기

fortigate GUI > User & Device

Create New를 눌러 생성하면 되고

저는 SYU라는 계정을 생성하였습니다.

2. SSL VPN Portal 설정

fortigate GUI > VPN > SSL VPN Portals

기존에 생성되어 있는 Portal을 수정하여도 되고 새로 생성해도 됩니다.

저는 생성되어 있는 full-access portal을 수정했습니다.

많이 사용되는 Tunnel Mode로 진행

Portal 설정

Enable Split Tunneling 활성화 및 비활성화

Enable Split Tunneling : 비활성화 시 SSL VPN 접속 후 모든 트래픽은 VPN 터널을 통해 전달되어 내부 네트워크 액세스뿐만이 아니라 인터넷 트래픽까지 터널을 통하기 때문에 인터넷 속도가 느릴 수 있음

Enable Split Tunneling : 활성화 시 Routing Address에 설정 된 내부 네트워크에 액세스하고 인터넷 트래픽은 터널로 전달하지 않음

그 외 웹모드 Host check기능은 따로 올리겠습니다.

3. SSL VPN Settings 설정

위에서 부터

Listen on Interface는 일반적으로 인터넷 인터페이스를 설정 / SSL VPN 접속 시 인터넷 인터페이스 IP로 접근

Listen Port는 default는 443이지만 > 사용하지 않는 Port 10443으로 변경

fortigate의 GUI 접속 Port도 default 443이기 때문에 둘 중 하나는 변경해줘야 한다

동일하게 설정이 되어 있으면 접속 시 SSL VPN 접속 화면이 열림

  Tunnel Mode Client Settings은 SSL VPN 접속 시 사용자가 할당받을 IP / Automatically assign addresses 선택 시 default로 만들어져 있는 SSL VPN IP대역 address 사용하고 Specify custom IP ranges를 선택하여 다른 IP대역을 할당해 줄 수도 있음 

Authentication/Portal Mapping은 SSL VPN User가 사용할 Portal 이전에 수정한 full-access 사용

Portal을 여러개 만들어 User 별로 다른 Portal 적용도 가능함

4. SSL VPN 정책 설정 ( Split Tunneling 활성화 시 )

마지막 정책 설정

Incoming Interface : SSL-VPN tunnel interface 

Outgoing Interface : internal / 내부 네트워크 인터페이스 설정하면 된다.

Source : default로 생성되어 있는SSL VPN IP 대역 그리고 SYU User / 테스트기 때문에 SYU User 하나만 적용 Group 및 다수 User도 적용이 가능

Destination : 내부 네트워크 IP 대역 객체

Schedule : always / 예를 들어 정책 스케쥴링을 통해 특정 시간에만 SSL VPN이 접속가능하게 설정 가능

Service : ALL

내부 네트워크 액세스 이기 때문에 NAT는 활성화하지 않아도 된다.

5. SSL VPN 정책 설정 ( Split Tunneling 비활성화 시 )

Split Tunneling 비활성화 시 모든 트래픽이 터널을 통하기 때문에 인터넷 액세스 정책도 만들어줘야 한다.

4번의 설정에서 Outgoing Interface는 인터넷 인터페이스(wan1), Destination 부분을 all 그리고 NAT를 활성화 시켜주면 됨

끝

설정이 끝나고 Forticlient로 SSL-VPN 접속 시도

원격 게이트웨이에는 SSL VPN Settings 부분에 지정해준 인터넷 인터페이스의 IP 입력

사용자 정의 포트번호도 10443으로 변경

비밀번호 입력 후 연결

보안 경고 > 예 클릭

SSL VPN 연결이 되면 내부 네트워크와 통신을 확인해보면 된다.

참고사항은.

fortigate SSL VPN 설정 방법 포스팅은...

SSL-VPN Tunnel Mode 아주 기본적인 설정입니다.^^

FortiEMS download

위 링크는 저번에 포스팅했던 FortiClient 다운로드에 관한 내용인데 참고해야 할 부분이 있어서 첨부!

제일 중요한건.. 6.2부터 Forticlient license 구매시 활성화를 위하여 반드시 fortiems 설치가 필요하다.

license를 FortiEMS에 등록하고 user별 카운터를 FortiEMS에서 하기 때문

FortiEMS의 역할?

FortiClient Endpoint Management Server (EMS)

주로 license 활성화와 더불어 client 중앙 관리 및 보안정책 배포, 클라이언트 설치 파일 배포등등

위 내용은 Fortinet 홈페이지에서 캡쳐해 온 내용인데

중요 부분은 FortiEMS는 설치 시 3개의 client를 연동시켜서 사용할 수 있다.

즉 무료로 3개의 license를 제공하는 것

3개의 client를 연결시켜 거의 모든 기능을 테스트 가능

Fortinet support site 링크

support site에 login하여 FortiEMS 설치 파일을 다운 받을 수 있다 <support site 계정이 필요함>

FortiEMS 및 Forticlient download 시 확인해야할 부분!!

바로 version 문제

FortiEMS 설치 시 client 뿐만아니라 Fortigate OS version까지 신경써줘야 한다.해당 부분을 참고하지 않고 설치 시 연동관련 문제가 생길 수 있기 때문

위 이미지는 최신 firmware version까지 나와 있음

설치 시 주의사항이 기억나는건 여기까지..ㅠ추가로 생각나는 부분이 있으면 수정하겠습니다.

FortiEMS downloadCompatibility Chart는 꼭 확인하기