Fortigateの小技集を作ってみた

Pocket

こんにちは。30代未経験ネットワークエンジニアのshin@7月からセキュリティエンジニアになることが出来ましたです。

今回はFortigateを設定していて「あれ、こういった場合はどうするんだろう?」といった簡単な内容をまとめてみました。

名前なしのポリシーを設定したい

システム>フィーチャー選択>その他フィーチャー
・名前なしポリシー許可:オン

 

FortigateをDNSサーバ(キャッシュサーバ)にしたい

システム>フィーチャー選択>その他フィーチャー
・DNSデータベース:オン

ネットワーク>DNSサーバ

インタフェース上のDNSサービス>新規作成
・インタフェース:LAN側のインタフェースを選択
・モード:システムのDNSサーバに転送

パソコンのDNS設定をForigateのLAN側IPアドレスに設定する

 

行きと帰りのルートが違ってもパケットを破棄したくない

CLIより設定

●設定
# config system settings
(settings)# set asymroute enable
(settings)# end

●確認
# config system settings
(settings)# get | grep asymroute

asymroute : enable
※enableになっていることを確認します。

●設定削除するとき
(settings)# set asymroute disable
(settings)# end

 

LOGの保存レベルを変更したい

CLIより設定

●設定
 # config log memory filter 
(filter) # set severity information
(filter) # end

●確認
 # config log memory filter 
(settings)# get
severity:information
※informationになっていることを確認

 

今思いついているものについては以上になります。また思いつきましたら追記していきまる。

もし、こんな設定はどうするみたいなものがあったら気軽にお問合せください。

以上です。ありがとうございました。

Pocket

Fortigateを使ってIPSec-VPNを構築してみる(Fortigate60D-RTX1100編)

Pocket

こんにちは。30代未経験ネットワークエンジニアのshin@7月からセキュリティエンジニアになることが出来ましたです。

今回はFortigate60DとRTX1100でIPsec-VPNを構築してみたいと思います。

以下サイトを参考にしながら構築してみました。
サイトではMainモードで構築していますが、今回はAggressiveモードで構築しています。

https://kb.fortinet.com/kb/documentLink.do?externalID=13885

●構成

以下のような構成で構築しました。

Foritigateに必要な設定は以下になります

・VPN
・ポリシー

それでは設定していきます。

●手順_Fortigate

まずは、VPNの設定からやっていきましょう

●VPNの設定

「VPN」>「IPsecトンネル」>「新規作成」

以下のように設定します。

名前:ToRTX1100
テンプレートタイプ:カスタム

ネットワーク
IPバージョン:IPv4
リモートゲートウェイ:ダイアルアップユーザ
インターフェース:wan1
モード設定:無し
NATトラバーサル:有効
Dead Peer Detection:オンデマンド

認証
方式:事前共有鍵
事前共有鍵:testvpn

IKE
バージョン:1
モード:アグレッシブ

ピアオプション
受け入れるタイプ:任意のピアID

Phase1プロポーザル
暗号化:AES128 認証:SHA1
Diffie-Hellman Group:2
鍵の有効時間(秒):28800
ローカルID:無し

XAUTH
タイプ:無効

Phase2の作成
名前:ToRTX1100
ローカルアドレス:192.168.41.0/24
リモートアドレス:192.168.1.0/24

Phase2プロポーザル
暗号化:AES128 認証:SHA1
ReplayDetectionを有効:有効
Perfect Forward Secrecy(PFS)を有効:有効
Diffie-Hellman Group:2
ローカルポート:チェック
リモートポート:チェック
プロトコル:チェック
自動鍵キープアライブ:なし
鍵の有効時間:秒
秒:28800

●ポリシーの設定

ポリシーについては設定値のみ記載します。
詳細な設定方法については以下のページを参照ください。

ポリシーの設定

・ポリシーの値

入力インターフェース:internal
出力インターフェース:ToRX1100
送信元;all
宛先:all
サービス:ALL
NAT:無効

以上で、Forigate側の設定は以上となります。

動画も取りましたのでよかったら是非見て言ってください。

続いて、RTX1100側の設定に移ります。

手順_RTX1100

コンソールやリモートでRTXへ接続し、以下コマンドを実行。
VPNのパラメータはFortigate側と合わせています。

 

ip route 192.168.41.0/24 gateway tunnel 1
tunnel select 1
tunnel name To_FG60D
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac
ipsec ike always-on 1 on
ipsec ike encryption 1 aes-cbc
ipsec ike esp-encapsulation 1 on
ipsec ike group 1 modp1024
ipsec ike hash 1 sha
ipsec ike keepalive log 1 on
ipsec ike local address 1 192.168.1.1
ipsec ike local id 1 192.168.1.0/24
ipsec ike local name 1 rtx1100 key-id
ipsec ike pfs 1 on
ipsec ike pre-shared-key 1 text testvpn
ipsec ike remote address 1 192.168.102.254
ipsec ike remote id 1 192.168.41.0/24
ipsec auto refresh 1 on
ip tunnel tcp mss limit auto
tunnel enable 1
nat descriptor type 1000 masquerade
nat descriptor masquerade static 1000 1 192.168.1.1 udp 500
nat descriptor masquerade static 1000 2 192.168.1.1 esp
nat descriptor masquerade static 1000 3 192.168.1.1 udp 4500
ipsec auto refresh on
ipsec ike retry 10 5

 

 

以上で、RTX側の設定も以上です。
続いてVPNが正常にUPしているか確認します。

 

●FortigateVPN確認手順

「モニタ」>「IPSecモニタ」画面で、以下ステータスを確認
ステータス:アップ

 

●RTXVPN確認手順

以下コマンドを実行

show status tunnel 1

# show status tunnel 1
TUNNEL[1]:
説明:
インタフェースの種類: IPsec
トンネルインタフェースは接続されています
開始: 1980/01/06 09:43:49
通信時間: 32分41秒
受信: (IPv4) 2 パケット [120 オクテット]
(IPv6) 0 パケット [0 オクテット]
送信: (IPv4) 2 パケット [120 オクテット]
(IPv6) 0 パケット [0 オクテット]

上記のように「トンネルインタフェースは接続されています」と表示されればUPしています。

●確認

ちゃんとVPN接続されているか確認してみます。

Fortigate配下のPCからRTX1100のLAN側のIPアドレスに対してping、traceを実行してみます。

・VPNがUP時

 

・VPNがDown時

 

今回はRTXが1100と古い機種だったので、選べる暗号化が脆弱となっていますので、もしRTX1200シリーズで構築される方は、暗号化強度を上げて設定してみてください。

 

もし、IPsec-VPNを使って拠点間を構築したいよという方がおりましたら依頼お待ちしております。

以上です。ありがとうございました。

以下は参考書になります。(2020/4/23追加)
あくまでも各機器に対しての参考書ですので、ForigateとRTXのVPNの設定はありませんので、お気を付けください。

ネットワークエンジニアのための ヤマハルーター実践ガイド

FortiGateで始める 企業ネットワークセキュリティ

Pocket

2019年の計画を一緒に立てませんか_中間報告

Pocket

こんにちは。30代未経験ネットワークエンジニアのshin@7月セキュリティエンジニアになることができましたです。

今回は、2019年の最初に書いた「2019年の計画を一緒に立てませんか」の中間報告したいと思います。

もしまだ目標を立てていない人がいましたら一緒にやりましょう。

それでは、現在の状況について書いていきたいと思います。

2019年の目標

1.腹筋を割る

腹筋をという目標に対して現在の体脂肪は以下のようになっています。

2019年開始時の体脂肪:13.7% ※健康診断時の数字
現在の体脂肪率:12.5%(マイナス1.2%)※体脂肪計の数字

健康診断で計測した機械と家で使用している機械では単純比較できませんが鏡で見る限り確かに引き締まってきているように見えました。

そのため達成度としては、

達成度:○

このまま、継続して取り組みを続けていきたいと思います。

腹筋をやるために行ったことは次の通りです。

・リーンゲインズ
リーンゲインズとは、食べる時間8時間に制限するという食事法です。
詳しい内容は、以下パレオな男のブログを参照してください。

「8時間ダイエット」(リーンゲインズ)を1年間ほど続けてみた感想

いつも朝食を抜いて昼の12時~20時の間でご飯を食べるようにしています。

・筋トレ

筋トレを週3回(火、木、土)で行っています。

メニューは、こんな感じです。

●ダンベルプレス 10回×2セット
 →2セット終了後、レストポーズ法を最近取り入れています。

レストポーズ法を詳しく知りたい方は、以下サイトを参照ください。
パレオな男_レストポーズ法

●デッドリフト 10回×2セット
●スプリットスクワット 10回×2セット

2.副業で3000円~5000円稼ぐ

現在の達成金額ですが、次の通りです。

目標金額:1500円~2500円

実際金額:500円(マイナス1000円~2000円)

そのため達成度としては、

達成度:×

やっぱり副業はいきなり稼ぐのは難しいなと思いました。

ただ、残り1000円なので目標は変えずにやり方を考えてやっていこうかと思います。

目標達成のためにやること

・クラウドワークスなどのサイトへ月に一つは応募する

→現在月1では応募できていないので、どんな仕事でもいいからまずは応募してみようかと思います。

3.セキュリティエンジニアの仕事をする

現在の達成状況ですが、次の通りです。

目標:求人の応募する
実際:7月からセキュリティエンジニアの仕事に就く

そのため達成度としては、

達成度:◎

というわけで、この目標は達成することが出来ました!!

まだ、仕事をしたわけではないので継続して以下のことをやっていきたいと思います。

・セキュリティのイベントに参加する
CTFやOWASPなどのイベントに参加して技術を高める

というわけで、2019年6月の中間報告は以上です。

現在行っている目標達成のための筋トレや自己学習を継続して続けていくには習慣化が大事だなと思いました。

今は、筋トレなどを習慣化することでモチベーションなしで、続けることが出来ています。

もし習慣化する技術を身に着けたいという方がいたら、以下の動画を参考にしてみてください。

腕立て1回から始める「いい習慣を量産する技術」

もしまだ、2019年の目標を立てていたい方がいれば、今からでもいいので一緒にやりませんか?

お互い監視できるような仲間がいればきっと楽しく目標達成できるかと思います。

以上です。ありがとうございました。

↓は計画を立てた時に使用した参考本です。

Pocket