FortiGateの設計/設定ガイド

FortiGateの設計・設定方法を詳しく書いたサイトです。 FortiGateの基本機能であるFW(ファイアウォール)、IPsec、SSL‐VPN(リモートアクセス)だけでなく、次世代FWとしての機能、セキュリティ機能(アンチウイルス、Webフィルタリング、SPAM対策)、さらにはHA,可視化、レポート設定までも記載します。初期化方法やバージョンアップなどの管理面も書いています。標的型攻撃を守るためのゲートウェイとしても導入されることが多いので、セキュリティ機能に関しては充実した記載を心がけます。

カテゴリ:2.基本設定 > 2.10 試験

FWおよびUTMの試験について簡単に記載します。
これがすべてではないので、あくまでも参考としてお考え下さい。

■1.試験方法
①設定の目視確認
 設計書と実機を見比べる目視確認により、設定パラメータやポリシーの確認をする
②実地試験
 pingで実際に通信させたり、攻撃をしかけるなどして試験をする

■2.試験内容
(1)基本機能の試験
・ネットワークの設定
・DNS、NTPなど
(2)通信試験
 FWの各セグメントから、ポリシー通りに通信ができるか、および禁止されている通信が拒否されるかを確認する。
(3)UTM試験
・AV 
 →eicarによるテスト
 http://www.viva-fortigate.com/archives/70854400.html
・IPS
 →SQLインジェクションの攻撃を入れてみる、またはURLに/etc/passwdをつけてみる。
 http://www.viva-fortigate.com/archives/cat_660096.html
・URLフィルタ
・アプリケーションコントロール
など
(4)侵入テスト、脆弱性試験
①ポートスキャン
空いているポートを確認
②ツールによる試験
Nessusなどを使って、簡易なプラットフォーム診断
(5)各種管理機能の試験
・SNMPによる管理
・ログが取得できているか など
(6)冗長化試験
切り替わり、切断時間、セッションの維持ができるか
切り戻りについても確認(多くは、自動切り戻りしない設定にしているはず)

PortScanもFWの重要な試験の一つである。

①nmap
Linuxにてnmapをイントール
# yum install nmap
# nmap 203.0.113.212  ←このIPの空いているポートを探す。
または、以下のようにオプション-sSをつけるとステルススキャン
# nmap 203.0.113.212 -sS
結果は以下のような感じ。
PORT     STATE SERVICE
21/tcp   open  ftp
22/tcp   open  ssh
80/tcp   open  http
443/tcp  open  https
※なぜかFTPがいつも空いていると表示される。

②telnetコマンド
または、PCにてtelnetclientを有効にする。
プログラム>プログラムと機能>Windowsの機能の有効化または無効化>Telnet Clientを有効に
# telnet 203.0.113.212 21 ←ポート番号を指定して接続接続できれば空いている。 

スポンサードリンク

↑このページのトップヘ