SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

FortiGate OS6.2 Azure VPN接続とかんたん可視化

セキュリティ
2020.04.13

FortiGate OS6.2 Azure VPN接続とかんたん可視化

この記事ではFortiOS6.2でのAzureとのVPN接続とオンプレ側のFortigateを利用してAzureからのトラフィックを可視化する方法をご紹介します。

可視化をする際に、工程を短くするためにFortigate Security Fabricの機能を利用しているためFortiAnalyzerと連携していることをおすすめします。

01.PNG


❏ FortiGate OS6.2でのAzure VPN接続

①リソースグループの作成

02.PNG


②仮想NW・サブネットの作成

Azure Portal上の[仮想ネットワーク]からAzure NW環境を構築します。

03.PNG

04.PNG


③Virtual Machines・SQL Databaseの作成

ネットワークを配置した後、移動ができなくなる為、[仮想ネットワーク]の用意が終わってから各マシンやデータベースを新規作成します。

05.PNG

06.PNG


④ネットワーク セキュリティ グループ(NSG)の適用

Virtual Machines・SQL Databaseの作成が終わってから各機器へのトラフィックの許可・拒否をネットワークセキュリティグループ(NSG)から設定します。ここでは全てのリソースに対して共通のNSGプロファイルを適用する方法をお伝えします。

まずは新しいNSGを作成します。

07.PNG

その後NSGの通信規則設定を行います。

08.PNG

設定したNSGを各リソースのネットワークインターフェイスに設定します。

09.PNG

10.PNG


⑤仮想ネットワークゲートウェイの設定1

VPN接続用にAzure側にVPN接続ゲートウェイを用意します。VPN接続用に新しいグローバルIPの割当てなどが行われるため作成後リソース割当完了までに30分ほどかかります。

この項目では仮想ネットワークゲートウェイの作成まで行いますが、Fortigate側のVPN設定完了後に設定を追加します。

13.PNG

15.PNG

16.PNG

17.PNG


⑥ローカルネットワークゲートウェイの設定1

オンプレ環境側のVPN接続ゲートウェイ情報を入力します。

18.PNG


⑦Fortigate側のVPN接続設定

ここからはオンプレ側のFortigate側のVPN設定を行います。

Fortigate[VPN]>[IPsecウィザード]を選択します。

19.PNG

20.PNG

フェーズ2のプロポーザル情報はフェーズ1と同様です。

VPN設定完了後、VPN接続用ポリシーを作成します。

UTM機能を利用される場合には別途UTM Protection ライセンスが必要です。(Azure VPN上必須ではありません)

21.PNG

設定したポリシーに対してCLIからTCP最大セグメントサイズ(MSS)の上限を設定します。

config firewall policy
edit <policy-id>
set tcp-mss-sender 1350
set tcp-mss-receiver 1350
next
end

Azure向けのルーティングを設定します。

[ネットワーク]>[スタティックルート]からルーティングを追加します。

22.PNG


⑧仮想ネットワークゲートウェイの設定2

最後にAzure側でVPN設定を追加します。

手順5で作成した仮想ネットワークゲートウェイに事前共有鍵の情報などを設定します。

23.PNG

対象の仮想ネットワークゲートウェイの設定>接続から[+追加]をクリック

24.PNG

25.PNG


⑨Azure側端末へのICMPの代理応答設定

Virtual MachinesはICMP応答に対応していません。Azure側でICMP通信が遮断されるためです。Azureリソースに対して通信を行う端末にTCPにてICMP代理応答を行えるツールをインストールします。ここではオンプレ側の端末にインストールします。

[Microsoft社サイト PSPing]こちらからツールのダウンロードを行ってください。

ダウンロード後解凍し、フォルダをCドライブ配下に格納します。

12.PNG

疎通確認を行う場合にはコマンドプロンプトから以下のコマンドを実施してください。

CD C:\PSTools
PSping.exe <IPアドレス>:<ポート番号>

(例)RDPサービスを許可している場合
CD C:\PSTools 
PSping.exe 172.18.42.4:3389


⑩VPN接続確認

FortigateのVPNモニターから確認していきましょう。

[モニター]>[IPsecモニター]からAzure向けVPNトンネルのステータスを確認します。この段階でフェーズ1/2がアップしているか確認します。

アップしていない場合はAzure向けVPNトンネルを選択した状態で画面上の[アップ]をクリックしVPN接続を行います。

26.PNG

次にAzure側のVPN接続状態を確認しましょう。

FortigateよりAzure側のほうがトンネルアップを識別するまでに時間がかかります。

対象の仮想ネットワークゲートウェイの設定>接続から項目8で設定した[接続]のステータスを確認します。状態が接続済みとなっていれば完了です。

27.PNG

FortigateおよびAzure仮想ネットワーク側でのVPN接続状態の確認後、端末間でPingおよびPSPing Toolsを利用し疎通確認を行い、動作テストは完了です。


❏ Azure VPNトラフィック かんたん可視化

ここからはAzureとFortigate間を接続することでFortigateでAzure VPNのトラフィックを可視化していきます。オンプレ側のFortigateで最小限の設定変更でトラフィックの可視化を簡単に行うことができるようになります。

Fortigateの[ネットワーク]>[インターフェース]に移動し、LAN側インターフェイスの配下にあるAzrue VPN接続向けのトンネルインターフェイスを選択します。管理者アクセス項目の[Security Fabric Connection]を有効化します。

28.PNG

Fortinetでのネットワーク可視化・コントロール機能であるSecurity Fabricの論理トポロジ図にAzureVPNトンネルインターフェイスが表示されます。Azure VPNインターフェイスを右クリックし[ドリルダウンして詳細を表示]を選択します。

SecuirtyFabricの基本設定はこちら


・Azure VPNトラフィックの可視化

30.PNG

FortiView画面からAzure VPNとFG間のトラフィックが可視化され、送信トラフィック・利用アプリケーション・UTMセキュリティ情報などがリアルタイムに表示することが可能です。

・特定の期間内にAzure VPN経由で通信があった端末情報を一覧にして表示

31.PNG

33.PNG

・Azure VPN経由で利用したアプリケーションも可視化される。

34.PNG

・Azure VPN経由でのWebアクセスに限定されるがWebアクセス情報も可視化も可能

35.PNG

・UTM機能をセキュリティイベント情報もひと目で確認が出来る

36.PNG


・Azure VPNトラフィックの隔離

さらにこのような機能を利用したモニタリングの結果Azure側の端末をブロックしたい場合は、ポリシーを変更せずとも隔離という方法でブロックが出来ます。ここでは手動隔離を案内します。

隔離したい端末を右クリックし[禁止IP]を選択

37.PNG

隔離期間を選択すると隔離端末からのアクセスはFortigateにて遮断される。

39.PNG

隔離解除もワンクリックで可能

40.PNG


❏ まとめ

本記事ではオンプレのFortigateを活用したAzure VPN通信の可視化についてお伝えしました。

もう一歩踏み込んでAzure内トラフィック全体を可視化・ントロールを行うこともFortigateがあれば可能です。その場合はAzure側にもFortigate VMを設置しオンプレ側のFortigateと連携していきます。

41.PNG

このAzure側にもFortigateを設置しオンプレ・クラウド環境全体を可視化・コントロールする方法についてはまた別の記事でご紹介させて頂きます。

【Fortinet】ブログ総集編

著者紹介

SB C&S株式会社
技術統括部 第3技術部 2課
橋本 紗代子

関西の湖畔で動物たちと暮らしています。