FortiGateの設計/設定ガイド

FortiGateの設計・設定方法を詳しく書いたサイトです。 FortiGateの基本機能であるFW(ファイアウォール)、IPsec、SSL‐VPN(リモートアクセス)だけでなく、次世代FWとしての機能、セキュリティ機能(アンチウイルス、Webフィルタリング、SPAM対策)、さらにはHA,可視化、レポート設定までも記載します。初期化方法やバージョンアップなどの管理面も書いています。標的型攻撃を守るためのゲートウェイとしても導入されることが多いので、セキュリティ機能に関しては充実した記載を心がけます。

アプリケーションコントロール

1.アプリケーションコントロール概要

1.1 アプリケーションコントロールとは

FortiGateに限った機能ではありません。アプリケーションコントロールとは、アプリケーション単位での管理です。FWでは、HTTPの通信であれば、それを許可するか拒否するしかできません。でも、今ではGoogle検索、Web閲覧、Facebook、大手掲示板、Twitterなど、ほとんどがHTTP(HTTPS)通信です。それらのアプリケーション単位で制御するのがアプリケーションコントロールです。

1.2 アプリケーションのカテゴリ

セキュリティプロファイル > アプリケーションコントロール からdefaultを見てみましょう。

以下から、上記7.2.3のOSに該当するものを抜粋
https://www.fortiguard.com/appcontrol/categories

Category Description 注意が必要なアプリケーション
Business Business related applications such as office suites  
Cloud.IT Cloud based applications AWSやMicrosoft.Azureなどの代表的なクラウドサービスも含まれる
Collaboration Applications used for desktop sharing, remote meetings and other connected collaboration  
Email Applications for sending/receiving and processing email  
Game Game applications  
General.Interest General interest tools, applications  
Mobile Mobile application communications  
Network.Service Applications used for network related services and communications  
P2P Peer-to-Peer applications used for sharing files WinMX,Winny,Shareなどのファイル共有アプリ
Proxy Proxy and VPN applications torを含めた数。日本のSoftEtherも含まれている
Remote.Access Remote access applications for file transfer or remote control  
Social.Media Online social media applications 5ch,Facebook,instagramなどたくさん
Storage.Backup Online storage applications for storage of files and photos  
Update Communications to update servers for various applications  
Video/Audio Video sharing, streaming and broadcasting applications  
VoIP Voice over IP applications  
Web.Client HTTP based client applications  
Unknown All traffic that was not detected by any of the other application categories  

1.3 アプリケーションシグニチャ詳細

上記のカテゴリにマウスを使づけ、「シグニチャを表示」を押すことで、カテゴリに含まれているシグニチャ内容を確認できます。

Proxyの場合

アプリケーションの詳細は以下でも確認できます。
http://www.fortiguard.com/encyclopedia/applications/
※2014年11月現在、3550 のアプリケーション種類を識別可能です。

1.4 アクション

アクションはカテゴリ上でクリックすることで選択できます。
必要なアプリケーションをモニター、ブロックに変更します。

アクション 英語表記 説明
モニタ Monitor Passes the traffic and generates a log message.
許可 Allow Passes the traffic but does not generate a log message.
ブロック Block Drops the detected traffic and generates a log message.
隔離 Quarantine Blocks the traffic from an attacker IP address until the expiration time is reached and generates a log message.

アクションの上書きを行うこともできます。
全体的なカテゴリアクアションから一部のシグニチャを除いた設定を行えます。

2.アプリケーションコントロールの設定

セキュリティプロファイル>アプリケーションコントロールから設定します。

2.1 デフォルトのプロファイル

以下の3つがある。

名前 表記 解説
block-high-risk   P2PとProxyがブロックされます
default Monitor all applications. 全てモニター
wifi-default Default configuration for offloading WiFi traffic. 全て許可

2.2 プロファイルの作成

・デフォルトからあるのblock-high-riskの設定の通り、セキュリティ面から、Torが含まれるProxyや、ShareなどがあるP2Pなどは禁止しておきましょう。また、Social.Mediaには、Facebook、Twitter、2chなどがあり、不要ならブロックしておこう

2.3 ポリシーへの適用

・アプリケーションコントロールをするにはDEEP Inspectionが必要である。SSLで暗号化されると、何のアプリケーションかがわからないからだ。であるから、DEEP Inspectionを設定して、PCには証明書を入れましょう。

2.4 通信テスト 抜けてしまう場合

Deep-inspectionは必須なので、抜けてしまう場合はまずはそこをチェック。
とはいえ、Deep-inspectionにしても、抜けるやつもある。機能を全部止めえられるというより、機能ごとにドメインも変わったりしているため、部分的に止められるようなっているくらいかなあという印象。特に、2chとかはドメインも変更されたりしているので、あまり止められない気がします。

3.設定例

3.1 Web会議のアップロード禁止

ZOOM等でのファイルアップロードの禁止に関して、以下に記載があります。
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/sdwan_deploy_guide_lbo_local_gov.pdf

上記にありますように、以下をブロックします。
Zoom_File.Upload
WebEx_File.Upload
Microsoft.Teams_File.Upload