セキュア SD-LAN 設定ガイド～中堅企業向け～...6 –FortiGate Secure SD-LAN...

1 –FortiGate Secure SD-LAN Configuration – 中堅企業向け – Ver1.10

Presented by Fortinet SE Team

セキュア SD-LAN 設定ガイド

～中堅企業向け～

Version 1.10

フォーティネットジャパン株式会社

2019 年 2 月



免責事項

本ドキュメントに関する著作権は、フォーティネットジャパン株式会社へ帰属します。

フォーティネットジャパン株式会社が事前に承諾している場合を除き、形態及び手段を

問わず本ドキュメントまたはその一部を複製する事は禁じられています。

また本内容は参考例となります。個別のセキュリティ対策に関する要件を満たすには、

ご利用者様ごとにプランニングおよび設定の調整が必要となりますので、予めご了承

下さい。尚、本ドキュメントの作成にあたっては最新の注意を払っておりますが、その

記述内容は予告なしに変更される事があります。



目次：

第１章：はじめに P 4

第 2 章： FortiClient P 7

第 3 章： FortiToken Mobile（二要素認証） P 10

第 4 章： IOC を用いた感染端末の自動隔離の設定 P 17

第５章：感染端末検出時の動作と隔離解除 P 27

Appendix : SSL-VPN 接続 P 33

改訂履歴 P 34



1. はじめに

この設定ガイドは「SMB セキュリティ in a Box」Mid Enterprise パッケージ向けに

作成されたセキュア SD-LAN 設定ガイドです。

セキュア SD-LAN とは、UTM から有線、無線、エンドポイント、リモートネットワ

ークをセキュアに保護することができ、クラウド型のサンドボックスとの連携で既知

の脅威だけでなく、未知の脅威からも保護することが可能なソリューションです。

「セキュア SD-LAN 設定ガイド – 中堅企業向け」では、FortiGate が持つ様々なセキ

ュリティ機能の中でも、特に、FortiToken を使った二要素認証の設定方法、

FortiAnalyzer の IOC 機能を利用した自動隔離についてご紹介しています。

<各パッケージに含まれる機能の違い>

パッケージユーザ数セキュリティ機能

セキュリ

ティ

未知＆既

知

クラウド

対応

可視化自動隔離二要素認

証

SOHO ~25

Small ~100

Mid

Enterprise1

~200

Mid

Enterprise2

200~400

※IOC とは、Indicator of Compromise(侵害指標)のことです。

※自動隔離には IOC ライセンスの有効な FortiAnalyzer が必要です。

※二要素認証には FortiToken のライセンスが必要です。

※FortiClient をインストールしたデバイスを管理するには FortiClient のライセンスが必要で

す。



1-1 利用機器と OS バージョン

FortiGate FortiGate 500E 6.0.3

FortiAnalyzer FortiAnalyzer 400E 6.0.2

FortiSwitch FortiSwitch 548D, 248E-POE 6.0.1

FortiAP FortiAP 221E 6.0.2

FortiClient Windows 8.1 6.0.3

1-2 物理構成と論理構成

物理構成論理構成

※本ガイドの物理構成、論理構成は「セキュア SD-LAN HA/MCLAG 構成編」を元にしていま

す。合わせてご参照下さい。



1-3 参考資料

本設定ガイドで紹介している設定は公式な設定ガイドに基づいています。より詳細な

情報が必要な場合は以下も合わせてご参照ください。

FortiGate

Fortinet Security Fabric

https://docs.fortinet.com/d/fortigate-security-fabric-60

FortiClient

https://docs.fortinet.com/d/forticlient-6.0.3-administration-guide

FortiToken

https://docs.fortinet.com/d/fortitoken-comprehensive-guide

FortiAnalyzer

https://docs.fortinet.com/d/fortianalyzer-6.0.2-admin-guide

FortiGate で管理可能な FortiSwitch、FortiAP の台数は Max Values Table を参照し

て下さい。

FortiOS 6.0.3 Maximum Values Table

https://docs.fortinet.com/d/fortigate-fortio-6.0.3-maximum-values-table

※FortiAP の設定については「セキュア SD-LAN 設定ガイド SOHO 向け」をご参照くださ

い。

https://docs.fortinet.com/d/fortigate-security-fabric-60

https://docs.fortinet.com/d/forticlient-6.0.3-administration-guide

https://docs.fortinet.com/d/fortitoken-comprehensive-guide

https://docs.fortinet.com/d/fortianalyzer-6.0.2-admin-guide

https://docs.fortinet.com/d/fortigate-fortio-6.0.3-maximum-values-table



2. FortiClient

FortiClient は FortiGate の統合脅威をネットワークのエンドポイントに拡張するオー

ルインワンのセキュリティソリューションです。本ガイドではエンドポイントの可視

化ツールとして PC にインストールしています。

※FortiGate 500E では FortiClient をインストールしたエンドポイントを無償で 10 台まで、

追加ライセンスをご購入いただくことで最大 2000 台まで管理することがが可能です。また、

FortiGate を HA 構成にした場合、すべての FortiGate で同じ台数分のライセンスが必要とな

ります。

2-1. FortiClient のインストール

FortiClient のインストール方法については「セキュア SD-LAN SOHO 編」の第 6 章

FortiClient の設定をご参照下さい。

2-2. FortiGate の設定 - FortiTelemetry

左メニュー「ネットワーク」→「インターフェース」をクリックし、FortiClient がイ

ンストールされたデバイスが接続するインターフェース（SSID: fortinet-demo）

で、FortiTelemetry を有効にします。

また、FortiClient コンプライアンスチェックを強制するを有効にします。



2-3. FortiGate の設定

左メニュー「セキュリティプロファイル」→「FortiClient コンプライアンス」をクリ

ックして default プロファイルを確認します。

※すでにアンチウイルスソフト等をインストールしている場合、FortiClient のセキュリティポ

スチャ機能を無効にすることで、FortiClient をエンドポイントの可視化ツールとしてインスト

ール、利用することが可能となります。



2-4. FortiClient モニタ

左メニュー「モニタ」→「FortiClient モニタ」をクリックします。FortiClient のイン

ストールされたデバイスのアドレスや FortiClient のバージョンを確認することができ

ます。



3. FortiToken Mobile (二要素認証)

FortiToken は FortiGate または FortiAuthenticator で管理をすることが可能です。

本ガイドでは FortiGate で FortiToken を管理する方法について説明しています。

※FortiGate 500E では FortiToken ライセンスを無償で 2 台、追加ライセンスをご購入いただ

くことで最大 5000 台まで管理することが可能です。また、FortiGate を HA 構成にした場

合、FortiToken ライセンスは FortiGate1 台分のライセンス数で利用可能です。

3-1. ユーザ定義

左メニュー「ユーザ＆デバイス」→「ユーザ定義」をクリックし、ユーザを新規作成

します。FortiGate は RADIUS サーバや LDAP サーバと連携し、ユーザ認証をするこ

とが可能です。本ガイドでは、FortiGate ローカル上にユーザを定義します。

ユーザタイプ：ローカルユーザ

ログインクレデンシャル：

ユーザ名： demo1

パスワード：任意のパスワードを設定

※設定画面の GUI は次のページにあります。



コンタクト情報：

E メールアドレス：任意のメールアドレス

二要素認証：有効

トークン：トークンを選択 ※無償で 2 ライセンス利用可能

アクティベーションコードを送信：有効

※設定は次のページに続きます。



エキストラ情報：

ユーザアカウントステータス：有効化済み

ユーザグループ：有効

ユーザグループの選択画面の「＋」ボタンをクリックし、新規作成します。名前を入

力して「OK」をクリックします。この時点ではメンバーは選択しません。



新しく作成したユーザグループを選択し、最後に「サブミット」をクリックして終了

です。ここで定義したユーザグループは 3-4. SSL VPN 接続設定の際に、認証/ポータ

ルマッピングで利用します。

3-2. FortiToken のアクティベーション

3-1.でサブミットをすると、FortiGate からコンタクト情報で設定した E メールアド

レス宛にアクティベートに必要な QR コードとアクティベーションコードが送られて

きます。



デバイスの「FortiToken」アプリを開き、＋をタップし、QR コードを読み込みま

す。

3-3. FortiToken ライセンスの管理

左メニュー「ユーザ＆デバイス」→「FortiToken」から Token の割り当て状況を確認

することができます。アクティベーションが完了すると「割り当て済み」と表示され

ます。



3-4. SSL VPN 接続

外部から FortiClient を利用して SSL VPN 接続を行います。ユーザ、パスワードを入

力して、「接続」をクリックします。

※FortiGate の SSL VPN の設定は Appendix に記載しています。

ユーザ名： demo1

パスワード： <任意のパスワード>

トークンを入力して「OK」をクリックすると、VPN 接続が完了します。



3-5. (オプション)FortiToken モバイルプッシュ機能

SSL VPN 接続の場合、FortiToken アプリをインストールしたデバイスにログインリ

クエストをプッシュ通知させることが可能です。（FOS 5.6～, FOS 6.0～）

まず、FortiGate の WAN 側インターフェースで、管理者アクセス「FTM」を有効に

します。

FortiGate の GUI 画面右上の「>_」をクリックし、CLI に接続し設定します。

config system ftm-push

set server-ip 10.255.255.99

set status enable

end

再度、FortiClient を利用して SSL VPN 接続を行います。FortiClient の「FTM プッシ

ュ」をクリックすると、FortiToken アプリをインストールしたデバイスにログインリ

クエストが届きます。トークンを入力することなく、「Approve」をするだけで、

VPN 接続が完了します。

FortiToken をインストールしたデバイス

が到達可能な FortiGate の IP であること



4. IOC を用いた感染端末の自動隔離の設定

IOC(Indicator of Compromise:侵害指標)とは、FortiAnalyzer に実装されている、

攻撃されたことを示す痕跡のあるホストを示してくれる機能です。FortiGate では

IOC 機能を利用することで、感染したデバイスを”自動で”隔離をすることが可能とな

ります。

※IOC 機能を利用した自動隔離を行うには IOC ライセンスが有効な FortiAnalyzer が必要で

す。

4-1. IOC ライセンスの確認

FortiAnalyzer の GUI 画面にアクセスし、「システム設定」をクリックします。ライ

センス情報欄の「FortiGuard Indicators of Compromise Service」が「ライセンス

あり」と表示されているか確認をします。



4-2. セキュリティファブリックの設定 – FortiAnalyzer ロギング

FortiGate の GUI 画面にアクセスし、左メニュー「セキュリティファブリック」→

「設定」をクリックし、「FortiAnalyzer ロギング」を有効にします。IP アドレスを

入力して、「適用」をクリックします。

IP アドレス： 10.130.207.150

※「FortiGate は承認されていません。」と表示された場合は FortiAnalyzer にアクセスし、

FortiGate を承認してください。設定方法は「セキュア SD-WAN 設定ガイド～Explicit プロキ

シ編」7 ページをご参照ください。

4-3. セキュリティファブリックの設定 – FortiGate テレメトリ

続けて、左メニュー「セキュリティファブリック」→「設定」画面で、「FortiGate

テレメトリ」を有効にします。グループ名を入力し、「適用」をクリックします。

グループ名：FG500E



4-4. セキュリティファブリックの確認（物理トポロジ）

左メニュー「セキュリティファブリック」→「物理トポロジ」をクリックします。

接続しているデバイスにマウスオーバーすると、デバイスの情報を確認できます。

スイッチにマウスオーバーすると、スイッチのシリアル番号やファームウェアのバー

ジョンを確認することができます。



4-5. セキュリティファブリックの確認（論理トポロジ）

左メニュー「セキュリティファブリック」→「論理トポロジ」をクリックします。

インターフェースにマウスオーバーすると、IP アドレスや DHCP クライアント数など

を確認することができます。



4-6. オートメーションステッチの新規作成

左メニュー「セキュリティファブリック」→「オートメーション」をクリックし、新

規作成します。

名前： IOC

トリガー：侵害されたホスト

脅威レベルしきい値：Medium

アクション：アクセスレイヤーから隔離、IP 禁止

※脅威レベルしきい値を Medium を選択した場合、脅威レベル Medium と High の両方の攻撃

をトリガーとします。



4-7. IPv4 ポリシーの確認

左メニュー「ポリシー＆オブジェクト」→「IPv4 ポリシー」をクリックし、ファイア

ウォールポリシーを確認します。IOC 自動隔離には Web フィルタもしくは DNS フィ

ルタのログ出力のいずれかが必要です。

セキュリティプロファイル：Web フィルタ（monitor-all）, DNS フィルタ



4-8. 隔離ネットワークの設定

隔離された端末向けの隔離ネットワークを作成します。本設定ガイドでは、隔離され

た端末は、社内 LAN へのアクセスは許可せず、HTTP/HTTPS 通信だけを許可する設

定にしています。どのような通信を許可するかは実環境のポリシーに合わせて設定を

しましょう。4-8 の設定をすることで、FortiGate は隔離された端末に対して、隔離

されたネットワークにいることがわかるように、Captive Portal で通知をすることが

可能となります。

左メニュー「ポリシー＆オブジェクト」→「IPv4 ポリシー」をクリックし、新規作成

します。

※4-8 は FOS 6.0.4 を使用して動作確認を行っています。

名前： wifi_qtn

入力インターフェース： wqt_root

出力インターフェース： port1

送信元： all

宛先： all

サービス： HTTP, HTTPS, DNS

セキュリティプロファイル：すべて有効化

ロギングオプション：すべてのセッション

※入力インターフェースに設定をした「wqt_root」インターフェースは WiFi インターフェー

ス作成時に自動的に生成されるインターフェースです。このインターフェースには WiFi イン

ターフェース「fortinet-demo」の隔離用インターフェース「wqtn.29.fortine」がメンバーに

なっています。



※サービスには HTTP, HTTPS だけでなく DNS 解決ができるように DNS を追加することを忘

れないようにしてください。

※送信元、宛先、セキュリティプロファイル、ロギングオプションはログを確認しやすくする

ために「すべて」を有効にしています。実環境の要件に合わせて設定変更してください。



4-9. (オプション)メッセージの日本語化

左メニュー「ネットワーク」→「インターフェース」から「wqt.root」インターフェ

ースをクリックし、「受付制御」の「ユーザアクセス」の項目の「ポータルメッセー

ジのカスタマイズ」横にあるアイコンをクリックします。

メッセージリストの中にある「免責事項ページ」を選択し、HTML を編集します。編

集が終わりましたら、「保存」をクリックし、「OK」をします。



隔離された端末には日本語でメッセージを表示します。



5. 感染端末検出時の動作と隔離解除

第 5 章では設定した内容がどのように動作するかについて説明をしています。

5-1. IOC 自動隔離 - FortiGate での確認

PC から脅威のあるサイトへアクセスをさせます。すると、PC は隔離 VLAN

（wqtn.31.fortine）へアサインされ、インターネットへ接続できなくなります。

左メニュー「セキュリティファブリック」→「物理トポロジ」をクリックします。

デバイスの円は赤くなり、黒と黄色の点線で囲まれる表示に変わります。デバイスに

マウスオーバーし、詳細を確認すると「侵害済」「隔離済み」であること、また、オ

ンラインインターフェースが隔離 VLAN に変更されたことがわかります。



5-2. IOC 自動隔離 - FortiAnalyzer での確認

FortiAnalyzer にアクセスをし、「FortiView」をクリックします。「脅威」→「侵害

されたホスト」をクリックします。

また、「NOC-SOC」ページにある「侵害されたホストの監視」をクリックします。



5-3. 隔離された端末の動き

ブラウザの上に「インターネットへ接続するには、このネットワークにログインする

必要があります。」と表示されます。右の「ネットワークのログインページを開く」

をクリックしてください。

隔離された端末には下記のメッセージが表示されます。

「Accept」をクリックするとウェブサイトへアクセスすることが可能となります。



5-4. IOC 自動隔離からの解除

＜隔離の解除＞

左メニュー「モニタ」→「隔離モニタ」をクリックし、「すべてを削除」もしくは隔

離されたデバイスの MAC アドレスと IP アドレスをぞれぞれ選択して「削除」をクリ

ックします。

＜侵害されたホスト判定のリリース＞

FortiAnalyzer にアクセスをし、「FortiView」をクリックします。「脅威」→「侵害

されたホスト」をクリックします。確認項目の「Ack」をクリックし、コメントを記

入し「Submit」をクリックします。

※侵害されたホストからの解除は FortiAnalyzer での Ack が必須です。Ack を行わない限り、

FortiGate の隔離モニタから MAC アドレス、IP アドレスを削除しても、侵害されたホストと

して認識され続け、FortiGate のセキュリティファブリックで確認すると黒と黄色の点線で囲

まれる表示は消えますが、デバイスの円は赤く表示されたままとなります。



5-5. (オプション)FortiExplorer を使った IOC 自動隔離端末の解除

FortiExplorer は iOS デバイスから FortiGate の設定や管理、監視をするのに利用でき

るアプリケーションです。FortiGate 2 台までは無償で登録することができます。

まず、Appleストアから「FortiExplorer」をダウンロードします。FortiExplorer ア

プリを開いて、右上の「Add」をクリックし、FortiGate の IP アドレス、ユーザネー

ム、パスワードを入力して「Done」をクリックします。

追加したデバイスを開き、左上の「 Ξ 」をクリックします。一番下の Monitor にあ

る「Quarantine」を開きます。隔離された端末の情報（※ここでは MAC アドレスと

IP アドレス）が表示されます。

※アプリの表示画面のキャプチャは次のページにあります。



解除したい IP アドレスを選択し、「Lift IP Ban」をクリックします。同様に、MAC

アドレスも解除します。すべて解除すると、右のような画面になります。



Appendix : SSL VPN 設定

SSL VPN 設定

認証/ポータルマッピングで 3-1.で作成したユーザグループを利用しています。下記

の SSL－VPN の設定と、左メニュー「ポリシー＆オブジェクト」→「IPv4 ポリシ

ー」からファイアウォールのルールを設定をして完了です。



改訂履歴

バージョンリリース日改訂内容

1.0.0 2018.11.02 初版制定

1.1.0 2019.2.22 4-8 修正追記, 4-9, 5-5 追記

セキュア SD-LAN 設定ガイド～中堅企業向け～...6 –FortiGate Secure SD-LAN...

Documents

Transcript of セキュア SD-LAN 設定ガイド～中堅企業向け～...6 –FortiGate Secure SD-LAN...

セキュア SD-LAN 設定ガイド ～中堅企業向け～...6 –FortiGate Secure SD-LAN...

Documents

Transcript of セキュア SD-LAN 設定ガイド ～中堅企業向け～...6 –FortiGate Secure SD-LAN...

セキュア SD-LAN 設定ガイド～中堅企業向け～...6 –FortiGate Secure SD-LAN...

Transcript of セキュア SD-LAN 設定ガイド～中堅企業向け～...6 –FortiGate Secure SD-LAN...