IT BLOG(KR)

안녕하세요.

오늘은 FortiGate를 이용해서 SSL VPN Remote Access에 대해서 알아보겠습니다.

PC에 Forticlient를 설치해서 FortiGate Firewall에 연결해서 내부 자원을 접속 할 수 있습니다.

1. Remote Access User가 사용할 Group를 생성 합니다.

User & Authentication -> User Groups -> Create New

REMOTE_USER  그룹이 생성 되었습니다. 

2. Remote Access User가 사용할 계정을 생성 합니다. 

User & Authentication -> User Definition -> Create New

User가 생성 완료되었습니다. 

3. SSL VPN Remote Access를 설정 합니다.

Listen on interface: wan1

Listen on Port: 55443

Server Certificate: Fortinet_Factory

IP Rnage를 REMOTE_ACCESS_SUBNET를 생성하고 IP주소는 10.10.10.0/24를 선택합니다.

원하시는 IP주소를 지정하시면 됩니다. 
FortiClient로 FortiGate에 접속하면 10.10.10.0/24 대역에 IP주소를 할당받아서 FortiGate내부 자원에 접속 하게 됩니다. 

4. 방화벽을 정책을 설정 합니다.

5. 테스트를 진행 합니다.

Remote Access User정보를 입력합니다. 

FortiClient를 다운로드 받고 설치 합니다. 

FortiClient를 실행합니다.

아래와 같이 VPN를 설정 합니다. 

FortiClient를 이용해서 FortiGate에 접속을 시도 합니다.

연결과 동시에  Internet를 사용 할수 없습니다.

모든 트래픽이 다 VPN를 향하고 있습니다. 포티넷에서 Remote Access VPN User가 인터넷을 나가는 방화벽 정책이 없어서 인터넷 사용이 불가능 합니다.

인터넷은 자체 인터넷을 사용하고 FortiGate내부에 있는 자원에 네트워크 대해서만 VPN통해서 접속하고 싶습니다.

Splite Tunnel를 설정합니다.

Full-access portal에 설정값을 확인 합니다. 

방화벽 정책에 목적지 주소를 확인하여 그 주소에 대해서만 Split Tunnel이 적용 된다고 합니다. 

아래 Destination를 Any가 아니라 FortiGate 내부안에 서브넷을 설정 합니다. 

그리고 FortiClient를 다시 접속합니다. 

PC에 라우팅 테이블 확인

인터넷은 로컬인터넷, 그리고 FortiGate 내부 자원은 VPN을 이용해서 접속 가능 합니다. 

지금까지 글을 읽어주셔서 감사합니다. 

안녕하세요.

이번에는 Fortigate 61E 7.0.9에서 7.2.10로 업그레이드 하는 방법에 대해서 알아보겠습니다.

꼭 업그레이드를 Fortigate 홈페이지에서 제공하는 Upgrade Path를 따라서 Firmware 업그레이드 하시길 바랍니다.

https://docs.fortinet.com/upgrade-tool/fortigate

1. 7.2.4F firmware를 다운로드 받습니다. 

System -> Firmware -> File Upload 에서 7.2.4F를 선택합니다.

2. Upgrade를 다하고 로그인합니다. 그리고 Firmware Version를 확인합니다.

3. 이번에는 7.2.6 F Firmware를 다운로드 받고 업그레이드를 합니다. 

콘솔포트에 콘솔을 연결하면 아래처럼 진행 상황을 볼수 있습니다. 

4. 이번에는 7.2.8 M Firmware를 다운로드 받고 업그레이드를 합니다. 

5. 이번에는 7.2.10 M Firmware를 다운로드 받고 업그레이드를 합니다.

Upgrade Path를 참고하지 않고 원하는 Firmware를 Upgrade할 경우, 제대로 부팅이 되지 않습니다.

지금까지 글을 앍어주셔서 감사합니다. 

안녕하세요. 

이번에는 fortigate firewall를 upgrade path를 지키지 않고 업그레이드 했을 경우에 제대로 부팅이 되지 않는 경우가 있습니다.

예를 들어서, 현재 버전은 7.0.9 입니다. 저는 7.2.9로 업그레이드 하고 싶습니다. 

https://docs.fortinet.com/upgrade-tool/fortigate

위에처럼 업그레이드를 진행해야 합니다.

만약에 위에 과정대로 업그레이드하지 않으면 방화벽이 제대로 부팅이 되지 않습니다.

방화벽을 재부팅해도 위와 같은 똑같은 증상입니다.

해결방법, 이전 방화벽 Firmware를 불러오게 설정하면 됩니다.

Please wait for OS to boot, or press any key to display configuration menu..

이 부분에서 아무 키가 누릅니다.

그리고 

B: boot with backup firmware and set as default 를 선택합니다.

부팅이 정상적으로 완료 되고 FortiGate-61E 로그인창을 볼수 있습니다. 

지금까지 글을 읽어주셔서 감사합니다. 

Fortigate 공식 홈페이지 KB

https://community.fortinet.com/t5/FortiGate/Technical-Tip-Boot-the-backup-firmware-and-config-via-console/ta-p/317013

안녕하세요.

이번에는 Fortigate Passowrd Recovery에 대해서 알아보겠습니다.

1. 콘솔 케이블을 fortigate방화벽에 연결하고 부팅합니다.

2. 10초안에 정보를 입력해야지 로그인 가능 합니다.

username: maintainer

password: bcpb+serial number - bcpbFGT61E4QXXXXXXXX

serial 정보는 부팅할때  serial number를 확인 가능하고 또는 장비에서 뒷면에서 시리얼번호를 확인 가능 합니다. 

3. 패스워드를 변경합니다. 그리고 변경된 패스워드로 로그인 합니다. 

지금까지 fortigate 방화벽 Password Recovery에 대해서 알아보았습니다.

안녕하세요.

이번에는 Fortigate LACP에 대해서 알아보겠습니다.

Fortigate 설정 입니다.

1. LACP Interface를 설정합니다.

name: LACP01

Alias: LACP01

Type: 802.3ad aggregate

Interface member: port5 and port6

Role: Lan

IP: none

그리고 Save를 클릭 합니다. 

2. VL10 Interface를 설정합니다.

Name: VL10

Alias: VL10

Type: VLAN

Interface LACP01

VLAN ID: 10

Role: LAN

IP: 10.10.10.254/24

2. VL20 Interface를 설정합니다.

Name: VL20

Alias: VL20

Type: VLAN

Interface LACP01

VLAN ID: 20

Role: LAN

IP: 10.10.10.254/24

Interface를 확인 합니다. 

SW 설정입니다.

1. LACP 설정

2. VLAN and SVI 설정

3. Status 상태 확인

4. 케이블 연결

5. LACP 확인

6. Ping 테스트

지금까지 fortigate인터페이스를 LACP설정하고 VLAN10 and VLAN20 interface 만들어서 Cisco Switch랑 통신 하는 방법에 대해서 알아보았습니다.

지금까지 글을 읽어주셔서 감사합니다.

안녕하세요. 

이번에는 VLAN를 Port에 할당해서 설정하는 방법에 대해서 알아보겠습니다.

방화벽 설정

1. Create New버튼을 클릭 합니다. 

2.  VL10 interface를 설정합니다. 

Name: VL10

Alias: VL10

Type: VLAN

Interface: Port6

VLAN ID: 10

Role: LAN

IP: 10.10.10.254/24

2.  VL20 interface를 설정합니다. 

Name: VL20

Alias: VL20

Type: VLAN

Interface: Port6

VLAN ID: 20

Role: LAN

IP: 20.20.20.254/24

아래처럼 Port6에 VLAN interface들이 생성 되었습니다. 

Switch에서 설정합니다.

1. Vlan 설정

2 Trunk 설정 Gi1/0/1

3. SVI 설정

케이블을 연결 합니다.

Fortigate port6 <---> port g1/0/1 SW

4. Switch에서 상태 확인. VLAN and interface

5. Ping테스트

지금까지 방화벽 Port6에 VLAN interface를 생성해서 동작하는 방법에 대해서 알아보았습니다. 

지금까지 글을 읽어주셔서 감사합니다. 

안녕하세요. 

이번에는 Fortigate STP에 대해서 알아보겠습니다.

Software-Switch 또는 VLAN-switch(Hardware-Switch)에 포함된 Port가 스위치에 2개 이상 연결 되었을때 Layer2 Loop가 발생합니다.

이 Layer2 Loop를 방지하기 위해서 Spanning-Tree가 동작하여 Layer2 Loop를 방지 하게 됩니다. 

Fortigate 방화벽 입장에서는 어떻게 동작하는지 확인해보겠습니다.

모든 firewall 벤더가 똑같이 동작하는 것이 아닙니다. 벤더 문서를 꼭 읽어주시길 바랍니다.

1. network -> Interface -> Create New를 클릭하시면 아래 같이 Interface Type를 선택 할수 있습니다.

Software Switch - STP 미동작 

VLAN switch(hardware switch) - STP 동작

위에 두가지 차이점은 나중에 자세히 설명하겠습니다. 

https://itblog-kr.tistory.com/79

기본 설정은 위에 글을 참고 부탁드립니다. 이번 글에서 STP 설정에 대해서만 다루겠습니다.

1. Switch에서 G1/0/1 and G1/0/2를 Trunk를 설정 합니다. 

2. Fortigate에서 stp설정을 확인 합니다.

디폴트롤 STP enable입니다. 

3. Switch에서 STP를 확인 합니다.

디폴트로 STP enable 입니다. 그리고 G1/0/2가 Blocking Port입니다. 

4. Ping테스트를 해보겠습니다.

정상적으로 동작 합니다. 

5. 포티넷 방화벽에서 port1 케이블을 제거 합니다.

6. Switch에서 STP상태를 확인 합니다.

7. Ping 테스트를 합니다.

정상적으로 동작합니다.

지금까지 글을 읽어주셔서 감사합니다. 

안녕하세요. 

오늘은 SSL Inspection기능에 대해서 알아보겠습니다.

오래전에 패킷들은 암호화 되지 않는 패킷들이었기 때문에 방화벽 입장에서는 패킷을 확인하고 정책에 의해서 차단 또는 허용이 가능 했습니다.

하지만 요즘 시대에는 대부분에 패킷들이 암호화되어서 통신 하기 때문에 방화벽 입장에서 암호화한 패킷을 복호화해서 패킷을 확인 해야지 차단 또는 허용 할 수 있고 Profile도 사용 가능 합니다. 

대부분에 통신은 HTTPs, TLS and SSL을 사용 합니다.

이 기능을 사용 하기 위해서는 방화벽이 SSL Proxy처럼 동작합니다.

1. 암호화된 Traffic이 방화벽에 들어왔을때, 방화벽은 암호화된 패킷을 복호화 합니다. 

2. 그리고 검사를 시작 합니다.

3. 이상이 없으면 다시 암호화해서 상대방쪽으로 전달 합니다. 

4. 그리고 서버에서 패킷을 받으면 다시 PC에게 전달합니다

이 과정에서 방화벽 입장에서는 Certificate를 자기 자신으로 바꾸어서 사용 해야 합니다.

1. self signed certiicate

2. 외부에서 인증 받은 certificate

만약에 외부에서 인증 받은 certificate를 방화벽이 사용 한다면 PC입장에서는 이미 외부에서 공식적으로 인증 받은 certificate이기 때문에 Trust합니다.

하지만 만약에 방화벽  self signed certificate을 사용 하면 PC입장에서는 이 인증서를 trust폴더에 설치 해야 합니다.

설치를 않하면 인증서때문에 warning message가 계속 발생 합니다. 

Wireshark를 통해서 패킷을 캡처해 보겠습니다. 

wifi를 선택합니다. 

일반적은 트래픽을 계속 발생 시키고 패킷을 보면 TLS패킷을 볼수 있습니다. 

구글을 접속해 보면 아래 처럼 인증서를 확인 할수 있습니다.

 HTTPS

외부 기간( WR2)에서 이미 공식적으로 인증 받은 인증서를 사용 하기 때문에, 아무런 warning 메시지 없이 사용 가능 합니다. 

google chrome은 

이렇게 인증서 확인이 가능 합니다. 

자체적으로 인증서를 발급 할수도 있고, 외부에 인증서를 추가 할수도 있습니다. 

외부 인증서 기관에서 인증서를 구매할 수 있습니다.

예제)

https://www.digicert.com/

지금까지 글을 읽어주셔서 감사합니다. 

안녕하세요.

오늘은 Fortigate 라이센스에 대해서 알아보도록 하겠습니다.

UTM 장비를 구매 할때 사용 하고자 하는 기능에 따라서 라이센스를 구매 해야 합니다. 

24x7 FortiCare Contract

• RMA(하드웨어 수리 서비스)
• 제조사의 S/W 업데이트 지원

Advanced Threat Protection(ATP)

• 24x7 FortiCare (RMA(하드웨어 수리 서비스), 제조사의 S/W 업데이트 지원)
• IPS, Advanced Malware Protection, Application Control

Unified Threat Protection(UTP)

• 24x7 FortiCare (RMA(하드웨어 수리 서비스), 제조사의 S/W 업데이트 지원)
• IPS, Advanced Malware Protection, Application Control, Web & Video Filtering, Antispam Service

Enterprise Protection

• 24x7 FortiCare (RMA(하드웨어 수리 서비스), 제조사의 S/W 업데이트 지원)
• IPS, Advanced Malware Protection, Application Control, Web & Video Filtering, Antispam, Security Rating, IoT Detection, Industrial Security, FortiConverter service

지금까지 라이센스에 대해서 알아보았습니다. 

자세한 내용은 포티넷 공식 라이센스 문서를 참고 부탁드립니다. 

https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/og-fortiguard.pdf

안녕하세요.

이번에는 포티넷 방화벽에 시큐리티 프로파일에 대해서 알아보겠습니다.

실제 장비에 접속해서 Security Profiles메뉴를 클릭하면 아래와 같은 정보들을 확인 할 수 있습니다. 

이 기능들은 라이센스가 있어야지 사용 가능합니다. 라이센스 부분은 추후에 다시 설명 하도록 하겠습니다./

각 기능을 디폴트값으로 사용 할수도 있고 새로 만들어서 사용 할수도 있습니다.

이 기능을 적용은 방화벽 정책 맨 아래 부분에 Profile를 Enable하고 Profile를 선택 하면 됩니다.

1. Packet이 Interface에 Inbound 들어오거나 Outbound로 패킷을 Inspection 해서 Profile에 의해서 패킷을 검사합니다. 

2. 방화벽 정책을 확인합니다.

3. 방화벽 정책안에 Profile을 확인 합니다. 

4. Profile에 의해서 패킷이 차단 되었으면 Log를 발생 시킵니다. 

** 방화벽 정책이 Allow설정 되었어도 Profile에서 바이러스 등 감지가 되면 패킷이 Drop 됩니다. **

UTM기능을 사용할떄 방화벽 정책에서 Inspection Mode 확인이 필요 합니다. 

Flow-base 또는 proxy-base 확인 하는 방법은 방화벽 정책 에서 아래 사진처럼 확인 가능 합니다. 

Profile기능을 사용 하기전에 Fortigate 장비를 Fortiguard에 등록해서 라이센스를 적용 시킵니다.

포티넷 방화벽이 fortiguard에 등록하고 라이센스가 적용 되면 아래 처럼 확인 가능 합니다.

System - > FortiGuard에서 확인 가능 합니다.

아래처럼 Every - 2hours으로 선택하면 2시간마다 Fortiguard를 통해서 백신 IPS등등 자동으로 업데이트 가능 합니다. 

저는 Automatic를 선택합니다. 서버쪽에서 새로운 업데이트가 있으면 즉시 다운로드 받아서 적용 하게 합니다. 

Profile에 의해서 패킷이 차단되었을때 user에서 표시될 페이지 입니다.

디폴트 값을 사용 해도 되고 수정해서 사용 해도 됩니다. 

각 Profile 기능들에 대해서는 다음 글에서 다루도록 하겠습니다. 

지금 까지 글을 읽어주셔서 감사합니다.