※ ローカルユーザの認証ならびにADでの認証の定義手順あり。
・テスト環境
%2Bfor%2Bremote%2Baccess001.PNG)
・全体の流れ
%2Bfor%2Bremote%2Baccess003.PNG)
・Firewall Address
%2Bfor%2Bremote%2Baccess005.PNG) |
| システム管理者ととして、ログイン |
%2Bfor%2Bremote%2Baccess006.PNG)
%2Bfor%2Bremote%2Baccess007.PNG)
%2Bfor%2Bremote%2Baccess008.PNG "接しているLANを定義します") |
| 接しているLANを定義・設定 |
%2Bfor%2Bremote%2Baccess009.PNG "内部のLANを定義します(そう言えば、ここ行きのゲートウェイ設定は説明無かったな)") |
| 内部LANを定義・設定 (内部に行くためにゲートウェイが必要なはずだが、割愛されている? インターフェイスのIPや、デフォルトゲートウェイも?) |
%2Bfor%2Bremote%2Baccess010.PNG)
%2Bfor%2Bremote%2Baccess011.PNG)
%2Bfor%2Bremote%2Baccess012.PNG)
・リモートSSL VPNユーザ
%2Bfor%2Bremote%2Baccess021.PNG)
%2Bfor%2Bremote%2Baccess022.PNG) |
| SSL VPNアプライアンスのローカルユーザを定義 |
%2Bfor%2Bremote%2Baccess023.PNG)
%2Bfor%2Bremote%2Baccess025.PNG)
%2Bfor%2Bremote%2Baccess027.PNG) |
| AD機のLDAPサービスにアクセスするための定義。 (特定のADグループにのみアクセスを 許可したいが、ここでは言及無し。) |
%2Bfor%2Bremote%2Baccess028.PNG)
%2Bfor%2Bremote%2Baccess029.PNG) |
| "Windows AD Server"を選択、[OK] ※ ここで特定ADグループ限定指定が出来そう? |
%2Bfor%2Bremote%2Baccess029-02.PNG) |
| "Windows AD Server"が追加された。 |
・SSL VPNポータルの構成
%2Bfor%2Bremote%2Baccess031.PNG) |
| "Enable Split Tunneling"すると、ローカル資源も利用可能に。 "Save Password"チェック無しなら、エンドユーザに都度入力を強制可能か。 "Always Up"チェック無しの切断条件は、ここでは未詳。 |
%2Bfor%2Bremote%2Baccess033.PNG) |
| LANのメールサーバを定義 |
%2Bfor%2Bremote%2Baccess035.PNG)
・Firewall Policyの作成
%2Bfor%2Bremote%2Baccess037.PNG)
%2Bfor%2Bremote%2Baccess038.PNG)
%2Bfor%2Bremote%2Baccess039-2.PNG){kind=small}
%2Bfor%2Bremote%2Baccess039-3.PNG)
・リモートユーザがWebモードでアクセスする場合
%2Bfor%2Bremote%2Baccess040.PNG)
%2Bfor%2Bremote%2Baccess041.PNG)
%2Bfor%2Bremote%2Baccess042.PNG) |
| ユーザがポータルメニューを設定可能。 ここではsshサーバを追加。 |
%2Bfor%2Bremote%2Baccess043.PNG)
%2Bfor%2Bremote%2Baccess044.PNG) |
| User Name, Passwordを入力 |
%2Bfor%2Bremote%2Baccess045.PNG) |
| 接続されました |
%2Bfor%2Bremote%2Baccess047.PNG) |
| LANへのpingも試してみる |
%2Bfor%2Bremote%2Baccess048.PNG) |
| ping疎通可能が確認できた |
・リモートユーザがブラウザで、トンネルモードで接続する場合
%2Bfor%2Bremote%2Baccess050.PNG)
%2Bfor%2Bremote%2Baccess051.PNG)
%2Bfor%2Bremote%2Baccess052.PNG)
%2Bfor%2Bremote%2Baccess054.PNG) |
| 説明に従いインストール |
%2Bfor%2Bremote%2Baccess055.PNG) |
| ブラウザのAdd-onとして動作するようです |
%2Bfor%2Bremote%2Baccess056.PNG) |
| 再度ポータルにログイン後、[Connect] |
%2Bfor%2Bremote%2Baccess057.PNG)
%2Bfor%2Bremote%2Baccess058.PNG)
%2Bfor%2Bremote%2Baccess059.PNG)
%2Bfor%2Bremote%2Baccess059-02.PNG)
・リモートユーザが、SSL VPNクライアントソフト(FortiClient)でアクセスする場合
%2Bfor%2Bremote%2Baccess059-03.PNG) |
| FortiClientは次からダウンロード可能1) http://www.forticlient.com または 2) SSL VPN Webポータルの 「FortiClient Download」ウィジェット |
%2Bfor%2Bremote%2Baccess059-05.PNG)
%2Bfor%2Bremote%2Baccess059-06.PNG)
%2Bfor%2Bremote%2Baccess059-07.PNG)
%2Bfor%2Bremote%2Baccess059-08.PNG)
%2Bfor%2Bremote%2Baccess059-09.PNG)
%2Bfor%2Bremote%2Baccess059-10.PNG)
%2Bfor%2Bremote%2Baccess059-11.PNG)
%2Bfor%2Bremote%2Baccess059-12.PNG)
%2Bfor%2Bremote%2Baccess059-13.PNG) |
| SSL VPNのセッションをモニターできる |
・出展
ソース
Remote Access with SSL VPN (Web & Tunnel Mode)
http://video.fortinet.com/video/50/remote-access-with-ssl-vpn-web-tunnel-mode
ならびに
https://www.youtube.com/watch?v=5TshymeoXdo
--> 2020.03.04追記
・関連
ソフトウェアバージョンは新しくしておこう。以下、そっちの関連記事記事いろいろ、VPN hack, http-methods, enum4linux, cudahushcat (2020/02/22)
https://akasaka-taro.blogspot.com/2020/02/blog-post_22.html
FortiGate、POODLE FAQ、徳丸浩氏が明かす“セキュリティ人材不足”の解決策、CSIRT ほか (2018/10/25)
https://akasaka-taro.blogspot.com/2018/10/fortigatepoodle-faq.html
No comments:
Post a Comment