FortiGate OS6.2 Azure VPN接続とかんたん可視化

この記事ではFortiOS6.2でのAzureとのVPN接続とオンプレ側のFortigateを利用してAzureからのトラフィックを可視化する方法をご紹介します。

可視化をする際に、工程を短くするためにFortigate Security Fabricの機能を利用しているためFortiAnalyzerと連携していることをおすすめします。

---

❏ FortiGate OS6.2でのAzure VPN接続

①リソースグループの作成

---

②仮想NW・サブネットの作成

Azure Portal上の［仮想ネットワーク］からAzure NW環境を構築します。

---

③Virtual Machines・SQL Databaseの作成

ネットワークを配置した後、移動ができなくなる為、［仮想ネットワーク］の用意が終わってから各マシンやデータベースを新規作成します。

---

④ネットワーク セキュリティ グループ(NSG)の適用

Virtual Machines・SQL Databaseの作成が終わってから各機器へのトラフィックの許可・拒否をネットワークセキュリティグループ(NSG)から設定します。ここでは全てのリソースに対して共通のNSGプロファイルを適用する方法をお伝えします。

まずは新しいNSGを作成します。

その後NSGの通信規則設定を行います。

設定したNSGを各リソースのネットワークインターフェイスに設定します。

---

⑤仮想ネットワークゲートウェイの設定1

VPN接続用にAzure側にVPN接続ゲートウェイを用意します。VPN接続用に新しいグローバルIPの割当てなどが行われるため作成後リソース割当完了までに30分ほどかかります。

この項目では仮想ネットワークゲートウェイの作成まで行いますが、Fortigate側のVPN設定完了後に設定を追加します。

---

⑥ローカルネットワークゲートウェイの設定1

オンプレ環境側のVPN接続ゲートウェイ情報を入力します。

---

⑦Fortigate側のVPN接続設定

ここからはオンプレ側のFortigate側のVPN設定を行います。

Fortigate［VPN］>［IPsecウィザード］を選択します。

フェーズ2のプロポーザル情報はフェーズ1と同様です。

VPN設定完了後、VPN接続用ポリシーを作成します。

NGFW機能を利用される場合には別途UTP ライセンスが必要です。（Azure VPN上必須ではありません）

設定したポリシーに対してCLIからTCP最大セグメントサイズ（MSS）の上限を設定します。

config firewall policy
edit <policy-id>
set tcp-mss-sender 1350
set tcp-mss-receiver 1350
next
end

Azure向けのルーティングを設定します。

［ネットワーク］＞［スタティックルート］からルーティングを追加します。

---

⑧仮想ネットワークゲートウェイの設定2

最後にAzure側でVPN設定を追加します。

手順5で作成した仮想ネットワークゲートウェイに事前共有鍵の情報などを設定します。

対象の仮想ネットワークゲートウェイの設定＞接続から［＋追加］をクリック

---

⑨Azure側端末へのICMPの代理応答設定

Virtual MachinesはICMP応答に対応していません。Azure側でICMP通信が遮断されるためです。Azureリソースに対して通信を行う端末にTCPにてICMP代理応答を行えるツールをインストールします。ここではオンプレ側の端末にインストールします。

［Microsoft社サイト PSPing］こちらからツールのダウンロードを行ってください。

ダウンロード後解凍し、フォルダをCドライブ配下に格納します。

疎通確認を行う場合にはコマンドプロンプトから以下のコマンドを実施してください。

CD C:\PSTools
PSping.exe <IPアドレス>:<ポート番号>

（例）RDPサービスを許可している場合
CD C:\PSTools　
PSping.exe 172.18.42.4:3389

---

⑩VPN接続確認

FortigateのVPNモニターから確認していきましょう。

［モニター］>［IPsecモニター］からAzure向けVPNトンネルのステータスを確認します。この段階でフェーズ1/2がアップしているか確認します。

アップしていない場合はAzure向けVPNトンネルを選択した状態で画面上の［アップ］をクリックしVPN接続を行います。

次にAzure側のVPN接続状態を確認しましょう。

FortigateよりAzure側のほうがトンネルアップを識別するまでに時間がかかります。

対象の仮想ネットワークゲートウェイの設定＞接続から項目8で設定した［接続］のステータスを確認します。状態が接続済みとなっていれば完了です。

FortigateおよびAzure仮想ネットワーク側でのVPN接続状態の確認後、端末間でPingおよびPSPing Toolsを利用し疎通確認を行い、動作テストは完了です。

---

❏ Azure VPNトラフィック かんたん可視化

ここからはAzureとFortigate間を接続することでFortigateでAzure VPNのトラフィックを可視化していきます。オンプレ側のFortigateで最小限の設定変更でトラフィックの可視化を簡単に行うことができるようになります。

Fortigateの［ネットワーク］>［インターフェース］に移動し、LAN側インターフェイスの配下にあるAzrue VPN接続向けのトンネルインターフェイスを選択します。管理者アクセス項目の［Security Fabric Connection］を有効化します。

Fortinetでのネットワーク可視化・コントロール機能であるSecurity Fabricの論理トポロジ図にAzureVPNトンネルインターフェイスが表示されます。Azure VPNインターフェイスを右クリックし［ドリルダウンして詳細を表示］を選択します。

SecuirtyFabricの基本設定はこちら。

---

・Azure VPNトラフィックの可視化

FortiView画面からAzure VPNとFG間のトラフィックが可視化され、送信トラフィック・利用アプリケーション・NGFWセキュリティ情報などがリアルタイムに表示することが可能です。

・特定の期間内にAzure VPN経由で通信があった端末情報を一覧にして表示

・Azure VPN経由で利用したアプリケーションも可視化される。

・Azure VPN経由でのWebアクセスに限定されるがWebアクセス情報も可視化も可能

・NGFW機能をセキュリティイベント情報もひと目で確認が出来る

---

・Azure VPNトラフィックの隔離

さらにこのような機能を利用したモニタリングの結果Azure側の端末をブロックしたい場合は、ポリシーを変更せずとも隔離という方法でブロックが出来ます。ここでは手動隔離を案内します。

隔離したい端末を右クリックし［禁止IP］を選択

隔離期間を選択すると隔離端末からのアクセスはFortigateにて遮断される。

隔離解除もワンクリックで可能

---

❏ まとめ

本記事ではオンプレのFortigateを活用したAzure VPN通信の可視化についてお伝えしました。

もう一歩踏み込んでAzure内トラフィック全体を可視化・ントロールを行うこともFortigateがあれば可能です。その場合はAzure側にもFortigate VMを設置しオンプレ側のFortigateと連携していきます。

このAzure側にもFortigateを設置しオンプレ・クラウド環境全体を可視化・コントロールする方法についてはまた別の記事でご紹介させて頂きます。