セキュア SD-LAN 設定ガイド ~中堅企業向け~...6 –FortiGate Secure SD-LAN...
Transcript of セキュア SD-LAN 設定ガイド ~中堅企業向け~...6 –FortiGate Secure SD-LAN...
1 –FortiGate Secure SD-LAN Configuration – 中堅企業向け – Ver1.10
Presented by Fortinet SE Team
セキュア SD-LAN 設定ガイド
~中堅企業向け~
Version 1.10
フォーティネットジャパン株式会社
2019 年 2 月
2 –FortiGate Secure SD-LAN Configuration – 中堅企業向け – Ver1.10
Presented by Fortinet SE Team
免責事項
本ドキュメントに関する著作権は、フォーティネットジャパン株式会社へ帰属します。
フォーティネットジャパン株式会社が事前に承諾している場合を除き、形態及び手段を
問わず本ドキュメントまたはその一部を複製する事は禁じられています。
また本内容は参考例となります。個別のセキュリティ対策に関する要件を満たすには、
ご利用者様ごとにプランニングおよび設定の調整が必要となりますので、予めご了承
下さい。尚、本ドキュメントの作成にあたっては最新の注意を払っておりますが、その
記述内容は予告なしに変更される事があります。
3 –FortiGate Secure SD-LAN Configuration – 中堅企業向け – Ver1.10
Presented by Fortinet SE Team
目次:
第1章: はじめに P 4
第 2 章: FortiClient P 7
第 3 章: FortiToken Mobile(二要素認証) P 10
第 4 章: IOC を用いた感染端末の自動隔離の設定 P 17
第5章: 感染端末検出時の動作と隔離解除 P 27
Appendix : SSL-VPN 接続 P 33
改訂履歴 P 34
4 –FortiGate Secure SD-LAN Configuration – 中堅企業向け – Ver1.10
Presented by Fortinet SE Team
1. はじめに
この設定ガイドは「SMB セキュリティ in a Box」Mid Enterprise パッケージ向けに
作成されたセキュア SD-LAN 設定ガイドです。
セキュア SD-LAN とは、UTM から有線、無線、エンドポイント、リモートネットワ
ークをセキュアに保護することができ、クラウド型のサンドボックスとの連携で既知
の脅威だけでなく、未知の脅威からも保護することが可能なソリューションです。
「セキュア SD-LAN 設定ガイド – 中堅企業向け」では、FortiGate が持つ様々なセキ
ュリティ機能の中でも、特に、FortiToken を使った二要素認証の設定方法、
FortiAnalyzer の IOC 機能を利用した自動隔離についてご紹介しています。
<各パッケージに含まれる機能の違い>
パッケージ ユーザ数 セキュリティ機能
セキュリ
ティ
未知&既
知
クラウド
対応
可視化 自動隔離 二要素認
証
SOHO ~25
Small ~100
Mid
Enterprise1
~200
Mid
Enterprise2
200~400
※IOC とは、Indicator of Compromise(侵害指標)のことです。
※自動隔離には IOC ライセンスの有効な FortiAnalyzer が必要です。
※二要素認証には FortiToken のライセンスが必要です。
※FortiClient をインストールしたデバイスを管理するには FortiClient のライセンスが必要で
す。
5 –FortiGate Secure SD-LAN Configuration – 中堅企業向け – Ver1.10
Presented by Fortinet SE Team
1-1 利用機器と OS バージョン
FortiGate FortiGate 500E 6.0.3
FortiAnalyzer FortiAnalyzer 400E 6.0.2
FortiSwitch FortiSwitch 548D, 248E-POE 6.0.1
FortiAP FortiAP 221E 6.0.2
FortiClient Windows 8.1 6.0.3
1-2 物理構成と論理構成
物理構成 論理構成
※本ガイドの物理構成、論理構成は「セキュア SD-LAN HA/MCLAG 構成編」を元にしていま
す。合わせてご参照下さい。
6 –FortiGate Secure SD-LAN Configuration – 中堅企業向け – Ver1.10
Presented by Fortinet SE Team
1-3 参考資料
本設定ガイドで紹介している設定は公式な設定ガイドに基づいています。より詳細な
情報が必要な場合は以下も合わせてご参照ください。
FortiGate
Fortinet Security Fabric
https://docs.fortinet.com/d/fortigate-security-fabric-60
FortiClient
https://docs.fortinet.com/d/forticlient-6.0.3-administration-guide
FortiToken
https://docs.fortinet.com/d/fortitoken-comprehensive-guide
FortiAnalyzer
https://docs.fortinet.com/d/fortianalyzer-6.0.2-admin-guide
FortiGate で管理可能な FortiSwitch、FortiAP の台数は Max Values Table を参照し
て下さい。
FortiOS 6.0.3 Maximum Values Table
https://docs.fortinet.com/d/fortigate-fortio-6.0.3-maximum-values-table
※FortiAP の設定については「セキュア SD-LAN 設定ガイド SOHO 向け」をご参照くださ
い。
7 –FortiGate Secure SD-LAN Configuration – 中堅企業向け – Ver1.10
Presented by Fortinet SE Team
2. FortiClient
FortiClient は FortiGate の統合脅威をネットワークのエンドポイントに拡張するオー
ルインワンのセキュリティソリューションです。本ガイドではエンドポイントの可視
化ツールとして PC にインストールしています。
※FortiGate 500E では FortiClient をインストールしたエンドポイントを無償で 10 台まで、
追加ライセンスをご購入いただくことで最大 2000 台まで管理することがが可能です。また、
FortiGate を HA 構成にした場合、すべての FortiGate で同じ台数分のライセンスが必要とな
ります。
2-1. FortiClient のインストール
FortiClient のインストール方法については「セキュア SD-LAN SOHO 編」の第 6 章
FortiClient の設定をご参照下さい。
2-2. FortiGate の設定 - FortiTelemetry
左メニュー「ネットワーク」→「インターフェース」をクリックし、FortiClient がイ
ンストールされたデバイスが接続するインターフェース (SSID: fortinet-demo)
で、FortiTelemetry を有効にします。
また、FortiClient コンプライアンスチェックを強制するを有効にします。
8 –FortiGate Secure SD-LAN Configuration – 中堅企業向け – Ver1.10
Presented by Fortinet SE Team
2-3. FortiGate の設定
左メニュー「セキュリティプロファイル」→「FortiClient コンプライアンス」をクリ
ックして default プロファイルを確認します。
※すでにアンチウイルスソフト等をインストールしている場合、FortiClient のセキュリティポ
スチャ機能を無効にすることで、FortiClient をエンドポイントの可視化ツールとしてインスト
ール、利用することが可能となります。
9 –FortiGate Secure SD-LAN Configuration – 中堅企業向け – Ver1.10
Presented by Fortinet SE Team
2-4. FortiClient モニタ
左メニュー「モニタ」→「FortiClient モニタ」をクリックします。FortiClient のイン
ストールされたデバイスのアドレスや FortiClient のバージョンを確認することができ
ます。
10 –FortiGate Secure SD-LAN Configuration – 中堅企業向け – Ver1.10
Presented by Fortinet SE Team
3. FortiToken Mobile (二要素認証)
FortiToken は FortiGate または FortiAuthenticator で管理をすることが可能です。
本ガイドでは FortiGate で FortiToken を管理する方法について説明しています。
※FortiGate 500E では FortiToken ライセンスを無償で 2 台、追加ライセンスをご購入いただ
くことで最大 5000 台まで管理することが可能です。また、FortiGate を HA 構成にした場
合、FortiToken ライセンスは FortiGate1 台分のライセンス数で利用可能です。
3-1. ユーザ定義
左メニュー「ユーザ&デバイス」→「ユーザ定義」をクリックし、ユーザを新規作成
します。FortiGate は RADIUS サーバや LDAP サーバと連携し、ユーザ認証をするこ
とが可能です。本ガイドでは、FortiGate ローカル上にユーザを定義します。
ユーザタイプ: ローカルユーザ
ログインクレデンシャル:
ユーザ名: demo1
パスワード: 任意のパスワードを設定
※設定画面の GUI は次のページにあります。
11 –FortiGate Secure SD-LAN Configuration – 中堅企業向け – Ver1.10
Presented by Fortinet SE Team
コンタクト情報:
E メールアドレス: 任意のメールアドレス
二要素認証: 有効
トークン: トークンを選択 ※無償で 2 ライセンス利用可能
アクティベーションコードを送信: 有効
※設定は次のページに続きます。
12 –FortiGate Secure SD-LAN Configuration – 中堅企業向け – Ver1.10
Presented by Fortinet SE Team
エキストラ情報:
ユーザアカウントステータス: 有効化済み
ユーザグループ: 有効
ユーザグループの選択画面の「+」ボタンをクリックし、新規作成します。名前を入
力して「OK」をクリックします。この時点ではメンバーは選択しません。
13 –FortiGate Secure SD-LAN Configuration – 中堅企業向け – Ver1.10
Presented by Fortinet SE Team
新しく作成したユーザグループを選択し、最後に「サブミット」をクリックして終了
です。ここで定義したユーザグループは 3-4. SSL VPN 接続設定の際に、認証/ポータ
ルマッピングで利用します。
3-2. FortiToken のアクティベーション
3-1.でサブミットをすると、FortiGate からコンタクト情報で設定した E メールアド
レス宛にアクティベートに必要な QR コードとアクティベーションコードが送られて
きます。
14 –FortiGate Secure SD-LAN Configuration – 中堅企業向け – Ver1.10
Presented by Fortinet SE Team
デバイスの「FortiToken」アプリを開き、+をタップし、QR コードを読み込みま
す。
3-3. FortiToken ライセンスの管理
左メニュー「ユーザ&デバイス」→「FortiToken」から Token の割り当て状況を確認
することができます。アクティベーションが完了すると「割り当て済み」と表示され
ます。
15 –FortiGate Secure SD-LAN Configuration – 中堅企業向け – Ver1.10
Presented by Fortinet SE Team
3-4. SSL VPN 接続
外部から FortiClient を利用して SSL VPN 接続を行います。ユーザ、パスワードを入
力して、「接続」をクリックします。
※FortiGate の SSL VPN の設定は Appendix に記載しています。
ユーザ名: demo1
パスワード: <任意のパスワード>
トークンを入力して「OK」をクリックすると、VPN 接続が完了します。
16 –FortiGate Secure SD-LAN Configuration – 中堅企業向け – Ver1.10
Presented by Fortinet SE Team
3-5. (オプション)FortiToken モバイルプッシュ機能
SSL VPN 接続の場合、FortiToken アプリをインストールしたデバイスにログインリ
クエストをプッシュ通知させることが可能です。(FOS 5.6~, FOS 6.0~)
まず、FortiGate の WAN 側インターフェースで、管理者アクセス「FTM」を有効に
します。
FortiGate の GUI 画面右上の「>_」をクリックし、CLI に接続し設定します。
config system ftm-push
set server-ip 10.255.255.99
set status enable
end
再度、FortiClient を利用して SSL VPN 接続を行います。FortiClient の「FTM プッシ
ュ」をクリックすると、FortiToken アプリをインストールしたデバイスにログインリ
クエストが届きます。トークンを入力することなく、「Approve」をするだけで、
VPN 接続が完了します。
FortiToken をインストールしたデバイス
が到達可能な FortiGate の IP であること
17 –FortiGate Secure SD-LAN Configuration – 中堅企業向け – Ver1.10
Presented by Fortinet SE Team
4. IOC を用いた感染端末の自動隔離の設定
IOC(Indicator of Compromise:侵害指標)とは、FortiAnalyzer に実装されている、
攻撃されたことを示す痕跡のあるホストを示してくれる機能です。FortiGate では
IOC 機能を利用することで、感染したデバイスを”自動で”隔離をすることが可能とな
ります。
※IOC 機能を利用した自動隔離を行うには IOC ライセンスが有効な FortiAnalyzer が必要で
す。
4-1. IOC ライセンスの確認
FortiAnalyzer の GUI 画面にアクセスし、「システム設定」をクリックします。ライ
センス情報欄の「FortiGuard Indicators of Compromise Service」が「ライセンス
あり」と表示されているか確認をします。
18 –FortiGate Secure SD-LAN Configuration – 中堅企業向け – Ver1.10
Presented by Fortinet SE Team
4-2. セキュリティファブリックの設定 – FortiAnalyzer ロギング
FortiGate の GUI 画面にアクセスし、左メニュー「セキュリティファブリック」→
「設定」をクリックし、「FortiAnalyzer ロギング」を有効にします。IP アドレスを
入力して、「適用」をクリックします。
IP アドレス: 10.130.207.150
※「FortiGate は承認されていません。」と表示された場合は FortiAnalyzer にアクセスし、
FortiGate を承認してください。設定方法は「セキュア SD-WAN 設定ガイド~Explicit プロキ
シ編」7 ページをご参照ください。
4-3. セキュリティファブリックの設定 – FortiGate テレメトリ
続けて、左メニュー「セキュリティファブリック」→「設定」画面で、「FortiGate
テレメトリ」を有効にします。グループ名を入力し、「適用」をクリックします。
グループ名:FG500E
19 –FortiGate Secure SD-LAN Configuration – 中堅企業向け – Ver1.10
Presented by Fortinet SE Team
4-4. セキュリティファブリックの確認(物理トポロジ)
左メニュー「セキュリティファブリック」→「物理トポロジ」をクリックします。
接続しているデバイスにマウスオーバーすると、デバイスの情報を確認できます。
スイッチにマウスオーバーすると、スイッチのシリアル番号やファームウェアのバー
ジョンを確認することができます。
20 –FortiGate Secure SD-LAN Configuration – 中堅企業向け – Ver1.10
Presented by Fortinet SE Team
4-5. セキュリティファブリックの確認(論理トポロジ)
左メニュー「セキュリティファブリック」→「論理トポロジ」をクリックします。
インターフェースにマウスオーバーすると、IP アドレスや DHCP クライアント数など
を確認することができます。
21 –FortiGate Secure SD-LAN Configuration – 中堅企業向け – Ver1.10
Presented by Fortinet SE Team
4-6. オートメーションステッチの新規作成
左メニュー「セキュリティファブリック」→「オートメーション」をクリックし、新
規作成します。
名前: IOC
トリガー: 侵害されたホスト
脅威レベルしきい値:Medium
アクション: アクセスレイヤーから隔離、IP 禁止
※脅威レベルしきい値を Medium を選択した場合、脅威レベル Medium と High の両方の攻撃
をトリガーとします。
22 –FortiGate Secure SD-LAN Configuration – 中堅企業向け – Ver1.10
Presented by Fortinet SE Team
4-7. IPv4 ポリシーの確認
左メニュー「ポリシー&オブジェクト」→「IPv4 ポリシー」をクリックし、ファイア
ウォールポリシーを確認します。IOC 自動隔離には Web フィルタもしくは DNS フィ
ルタのログ出力のいずれかが必要です。
セキュリティプロファイル:Web フィルタ(monitor-all), DNS フィルタ
23 –FortiGate Secure SD-LAN Configuration – 中堅企業向け – Ver1.10
Presented by Fortinet SE Team
4-8. 隔離ネットワークの設定
隔離された端末向けの隔離ネットワークを作成します。本設定ガイドでは、隔離され
た端末は、社内 LAN へのアクセスは許可せず、HTTP/HTTPS 通信だけを許可する設
定にしています。どのような通信を許可するかは実環境のポリシーに合わせて設定を
しましょう。4-8 の設定をすることで、FortiGate は隔離された端末に対して、隔離
されたネットワークにいることがわかるように、Captive Portal で通知をすることが
可能となります。
左メニュー「ポリシー&オブジェクト」→「IPv4 ポリシー」をクリックし、新規作成
します。
※4-8 は FOS 6.0.4 を使用して動作確認を行っています。
名前: wifi_qtn
入力インターフェース: wqt_root
出力インターフェース: port1
送信元: all
宛先: all
サービス: HTTP, HTTPS, DNS
セキュリティプロファイル:すべて有効化
ロギングオプション: すべてのセッション
※入力インターフェースに設定をした「wqt_root」インターフェースは WiFi インターフェー
ス作成時に自動的に生成されるインターフェースです。このインターフェースには WiFi イン
ターフェース「fortinet-demo」の隔離用インターフェース「wqtn.29.fortine」がメンバーに
なっています。
24 –FortiGate Secure SD-LAN Configuration – 中堅企業向け – Ver1.10
Presented by Fortinet SE Team
※サービスには HTTP, HTTPS だけでなく DNS 解決ができるように DNS を追加することを忘
れないようにしてください。
※送信元、宛先、セキュリティプロファイル、ロギングオプションはログを確認しやすくする
ために「すべて」を有効にしています。実環境の要件に合わせて設定変更してください。
25 –FortiGate Secure SD-LAN Configuration – 中堅企業向け – Ver1.10
Presented by Fortinet SE Team
4-9. (オプション)メッセージの日本語化
左メニュー「ネットワーク」→「インターフェース」から「wqt.root」インターフェ
ースをクリックし、「受付制御」の「ユーザアクセス」の項目の「ポータルメッセー
ジのカスタマイズ」横にあるアイコンをクリックします。
メッセージリストの中にある「免責事項ページ」を選択し、HTML を編集します。編
集が終わりましたら、「保存」をクリックし、「OK」をします。
26 –FortiGate Secure SD-LAN Configuration – 中堅企業向け – Ver1.10
Presented by Fortinet SE Team
隔離された端末には日本語でメッセージを表示します。
27 –FortiGate Secure SD-LAN Configuration – 中堅企業向け – Ver1.10
Presented by Fortinet SE Team
5. 感染端末検出時の動作と隔離解除
第 5 章では設定した内容がどのように動作するかについて説明をしています。
5-1. IOC 自動隔離 - FortiGate での確認
PC から脅威のあるサイトへアクセスをさせます。すると、PC は隔離 VLAN
(wqtn.31.fortine)へアサインされ、インターネットへ接続できなくなります。
左メニュー「セキュリティファブリック」→「物理トポロジ」をクリックします。
デバイスの円は赤くなり、黒と黄色の点線で囲まれる表示に変わります。デバイスに
マウスオーバーし、詳細を確認すると「侵害済」「隔離済み」であること、また、オ
ンラインインターフェースが隔離 VLAN に変更されたことがわかります。
28 –FortiGate Secure SD-LAN Configuration – 中堅企業向け – Ver1.10
Presented by Fortinet SE Team
5-2. IOC 自動隔離 - FortiAnalyzer での確認
FortiAnalyzer にアクセスをし、「FortiView」をクリックします。「脅威」→「侵害
されたホスト」をクリックします。
また、「NOC-SOC」ページにある「侵害されたホストの監視」をクリックします。
29 –FortiGate Secure SD-LAN Configuration – 中堅企業向け – Ver1.10
Presented by Fortinet SE Team
5-3. 隔離された端末の動き
ブラウザの上に「インターネットへ接続するには、このネットワークにログインする
必要があります。」と表示されます。右の「ネットワークのログインページを開く」
をクリックしてください。
隔離された端末には下記のメッセージが表示されます。
「Accept」をクリックするとウェブサイトへアクセスすることが可能となります。
30 –FortiGate Secure SD-LAN Configuration – 中堅企業向け – Ver1.10
Presented by Fortinet SE Team
5-4. IOC 自動隔離からの解除
<隔離の解除>
左メニュー「モニタ」→「隔離モニタ」をクリックし、「すべてを削除」もしくは隔
離されたデバイスの MAC アドレスと IP アドレスをぞれぞれ選択して「削除」をクリ
ックします。
<侵害されたホスト判定のリリース>
FortiAnalyzer にアクセスをし、「FortiView」をクリックします。「脅威」→「侵害
されたホスト」をクリックします。確認項目の「Ack」をクリックし、コメントを記
入し「Submit」をクリックします。
※侵害されたホストからの解除は FortiAnalyzer での Ack が必須です。Ack を行わない限り、
FortiGate の隔離モニタから MAC アドレス、IP アドレスを削除しても、侵害されたホストと
して認識され続け、FortiGate のセキュリティファブリックで確認すると黒と黄色の点線で囲
まれる表示は消えますが、デバイスの円は赤く表示されたままとなります。
31 –FortiGate Secure SD-LAN Configuration – 中堅企業向け – Ver1.10
Presented by Fortinet SE Team
5-5. (オプション)FortiExplorer を使った IOC 自動隔離端末の解除
FortiExplorer は iOS デバイスから FortiGate の設定や管理、監視をするのに利用でき
るアプリケーションです。FortiGate 2 台までは無償で登録することができます。
まず、Appleストアから「FortiExplorer」をダウンロードします。FortiExplorer ア
プリを開いて、右上の「Add」をクリックし、FortiGate の IP アドレス、ユーザネー
ム、パスワードを入力して「Done」をクリックします。
追加したデバイスを開き、左上の「 Ξ 」をクリックします。一番下の Monitor にあ
る「Quarantine」を開きます。隔離された端末の情報(※ここでは MAC アドレスと
IP アドレス)が表示されます。
※アプリの表示画面のキャプチャは次のページにあります。
32 –FortiGate Secure SD-LAN Configuration – 中堅企業向け – Ver1.10
Presented by Fortinet SE Team
解除したい IP アドレスを選択し、「Lift IP Ban」をクリックします。同様に、MAC
アドレスも解除します。すべて解除すると、右のような画面になります。
33 –FortiGate Secure SD-LAN Configuration – 中堅企業向け – Ver1.10
Presented by Fortinet SE Team
Appendix : SSL VPN 設定
SSL VPN 設定
認証/ポータルマッピングで 3-1.で作成したユーザグループを利用しています。下記
の SSL-VPN の設定と、左メニュー「ポリシー&オブジェクト」→「IPv4 ポリシ
ー」からファイアウォールのルールを設定をして完了です。
34 –FortiGate Secure SD-LAN Configuration – 中堅企業向け – Ver1.10
Presented by Fortinet SE Team
改訂履歴
バージョン リリース日 改訂内容
1.0.0 2018.11.02 初版制定
1.1.0 2019.2.22 4-8 修正追記, 4-9, 5-5 追記