Fortigate

はじめに Azure Gateway Load Balancer が GA になりました。 Generally available: Azure Gateway Load Balancer 公式ドキュメントによると、Gateway Load Balancer には次のメリットがあります。 Azure Gateway Load Balancer を使用すると、管理上のオーバーヘッドが増えずに、高度なネットワーク機能を簡単に追加または削除できます。 これにより、パブリック エンドポイントへのすべてのトラフィックがアプリケーションの前にアプライアンスに最初に送信されるのを確認するために必要な、ネットワーク内の Bump-in-the-wire テクノロジが提供されます。 NVA を使用するシナリオでは、フローが対称的である点が特に重要です。 Azure Gateway Load Balancer は、バックエンド プール内の特定のインスタンスへのフローの保持性と、フローの対称性を維持します。 その結果、手動で構成することなく、追加ネットワーク仮想アプライアンスへの一貫したルートが保証されます。 その結果、パケットは両方向に同じネットワーク パスを通過し、このキー機能を必要とするアプライアンスはシームレスに機能できます。 ...

はじめに このエントリでは、Active/Passive な FortiGate を Azure 上に構築する手順と、切り替えたときの挙動を説明します。 参考ドキュメント https://aimless.jp/blog/archives/2019-03-21-public-cloud-and-nva/ https://docs.fortinet.com/vm/azure/fortigate/6.2/azure-cookbook/6.2.0/632940/single-fortigate-vm-deployment https://docs.fortinet.com/vm/azure/fortigate/6.2/azure-cookbook/6.2.0/227656/deploying-and-configuring-active-passive-ha-between-multiple-zones 構築の手順 Azure リソースの構築 上記の参考ドキュメントのとおり、FortiGate はシングルゾーン上での冗長化とゾーンをまたいだ冗長化の両方をサポートしています。今回は構築が簡単なシングルゾーン版を前提とします。 ...

Introduction By e-mail, I recieved the question about how to update the FortiGate's policy by rest api. So I write this content. If you don't know a token and a cookie to access FortiGate by rest api, Please confirm the following content (Japanese only). FortiGateをREST APIで管理する Our environment is FortiGate 30D (v5.6.3). Get a policy You can get all policy by the following command. ...

BGP対応のAzure VPN GatewayをPowerShellでデプロイするで作成したBGP対応のVPN GatewayをFortiGateと接続します。FortigateとAWSをIPSecで接続したことがあれば、同じイメージで対応できます。動作確認で利用したFortiGateはFortiGate 50B（v4.0 MR3 Patch 14）です。古いモデルで申し訳ない。 ...

背景 FortiOSがREST APIに対応していることに気が付いたので試してみました。 参考：FortiOS REST API ドキュメントやフォーラムを見る限りだと2年前くらいにリリースされたv5.2.3からREST APIに対応していたみたいです。2年前に知りたかった。公式サイトにドキュメントが見当たらないので、開発者専用の機能なのかもしれません。 ...

　イマイチ使いどころが見つけられないAWS上のUTM製品について、オンデマンド版（ライセンスこみで使えるAMI）の費用を比較しました。 なお、AWS上には、Barracuda NG FirewallやPaloalto VM-Seriesもあるのですが、これらはオンデマンド版が存在せずBYOL版のみのため、記載していません。オンデマンド版があれば、評価しやすいのに。。。 ...

　AWSにFortiGateをデプロイしてみた（ネットワーク設定編）の続きです。AWS上に設置したFortiGateでNATとFWポリシーを試します。 VPC環境 FortiGate-VM 項目 ID プライベートIP EIP ENI(Exernal) eni-921a6ecb 10.175.1.195 54.65.151.103 ENI(internal) eni-6304703a 10.175.2.195 – CIDR 項目 値 VPC CIDR 10.175.0.0/16 external_subnet 10.175.1.0/24 internal_subnet 10.175.2.0/24 external_subnetのroute-table Destination Target 10.175.0.0/16 local 0.0.0.0 IGW internal_subnetのroute-table ...

　AWS上にデプロイしたForiGate-VMは、デフォルトではログが出力されなかったので、ログを出力するために必要な作業をメモします。 初期状態 デプロイ直後の状況は以下の通りです。 ...

　いつの日か、AWS上の通信ログを取りたくなる日が来るだろうということで、使い慣れているFortiGateのVM版をAWS上にデプロイしてみました。 ...

はじめに ShellShockに関して、私の業務と関わりのあるネットワーク機器ベンダのSecurity Advisoryが揃ってきたので、現時点での情報を簡単にまとめます。 ...

　UTM製品は、SSLによって暗号化されている通信の中身を見てUTM処理を行うものがあります。イマイチ振る舞いが分からなかったので、いろいろと調べました。きっとこんな感じだろレベルであり、あってるかどうかは不明です。なお、絵を描く気力はなかったです。 ...

　週明けからの対応に向けて、自分に影響のありそうなベンダのアナウンスを調べたのでメモ。（6/7 21:30現在です） CVE-2010-5298がCVE-2014-5298になっていたので、修正しました（6/9）　...

メモ。 定義ファイルの更新を確認する方法 1．イベントログ FortiGate® Log Message Referenceより。41000（成功）はよく見るけど、42000（失敗）は見たことがない。 Event-pattern Event-pattern logs are recorded whenever an administrator updates virus, IPS, and antispam databases from the FortiGuard network. 41000 41001 ...

　勢いだけで、FortiGateのsyslogをパースするためのFluentdプラグインを作りました。fluent-plugin-fortigate-traffic-logです。（命名センスなし） 「ファイアウォールの通信ログを気軽に分析できれば、ユーザへの提案に繋がる何かが生まれそうだなー」と思い、FortiGateのsyslogをFluentd+Elastic Search+kibana3の組み合わせに乗せるべく試行錯誤した結果です。当初は普通のTailインプットプラグインでサポートされている正規表現で頑張るつもりでしたが、FortiGateのsyslogのフォーマットが一定でなかったため、カスタムパーサを作った次第です。 ...

　いつも忘れてしまうのでメモ。デフォルトはmore。 # show system console config system console set output standard end

JANOGのMLで話題になっているGeoIPがFortigateでも使えるよーというお話です。弄ってたら気付きました。 設定方法 アドレスオブジェクトのタイプを「地域」を選択して、国を選択します。今回は日本にしてみました。 ...

いつか仕事でやることもあるだろうという事で、FortigateのSSL-VPNでの二要素認証のやり方をメモします。FortiOSはv4 MR3 Patch 6です。仕組みとしてはハードウェアトークン（FortiToken）、Email、SMSの3種類ありますが、今回はEmailになります。 ...

現在自宅では、Cisco892JとFortigate-50Bが24時間稼働しています。導入後初めての夏を迎え「エアコンなしの部屋でどうなるかなー」と思っていたのですが、Fortigateの表面がやや熱い。 ...

そのうち仕事でやるだろうということで、自宅で試した手順をメモしておきます。環境は、Fortigate-50B＋FortiOS4.0 MR3 Patch 6です。 ...